Passer au contenu principal

Sécurité organisationnelle

Programme de sécurité de l’information

  • Nous avons mis en place un programme de sécurité de l’information qui est communiqué à travers toute l’organisation. Notre programme de sécurité de l’information suit les critères établis par le cadre SOC 2. SOC 2 est une procédure d’audit de la sécurité de l’information largement connue, créée par l’American Institute of Certified Public Accountants.

Vérifications par des tiers

  • Notre organisation subit des évaluations indépendantes par des tiers pour tester nos contrôles de sécurité et de conformité.

Tests d’intrusion par un tiers

  • Nous effectuons une pénétration indépendante par un tiers au moins une fois par année afin de garantir que la posture de sécurité de nos services ne soit pas compromise.

Rôles et responsabilités

  • Les rôles et responsabilités liés à notre programme de sécurité de l’information et à la protection des données de nos clients sont bien définis et documentés. Les membres de notre équipe doivent examiner et accepter toutes les politiques de sécurité.

Formation à la sensibilisation à la sécurité

  • Les membres de notre équipe doivent suivre une formation de sensibilisation à la sécurité des employés, couvrant les pratiques standard de l’industrie et des sujets de sécurité de l’information tels que l’hameçonnage et la gestion des mots de passe.

Confidentialité

  • Tous les membres de l’équipe doivent signer et respecter une entente de confidentialité standard de l’industrie avant leur première journée de travail.

Vérifications des antécédents

  • Nous effectuons des vérifications des antécédents de tous les nouveaux membres de l’équipe conformément aux lois locales.

Sécurité infonuagique

Chiffrement au repos

  • Toutes les bases de données sont chiffrées au repos.

Chiffrement en transit

  • Nos applications chiffrent en transit uniquement avec TLS/SSL.

Balayage des vulnérabilités

  • Nous effectuons des analyses de vulnérabilités et surveillons activement les menaces.

Journalisation et surveillance

  • Nous surveillons et enregistrons activement divers services infonuagiques.

Continuité des activités et reprise après sinistre

  • Nous utilisons des services de sauvegarde standards de l’industrie pour réduire tout risque de perte de données en cas de défaillance matérielle. Nous utilisons des services de surveillance pour alerter l’équipe en cas de défaillances affectant les utilisateurs.

Intervention en cas d’incident

  • Nous avons un processus pour gérer les événements de sécurité de l’information qui comprend des procédures d’escalade, des mesures d’atténuation rapide et des communications.

Sécurité d’accès

Permissions et authentification

  • L’accès à l’infrastructure infonuagique et à d’autres outils sensibles est limité aux employés autorisés qui en ont besoin pour leur rôle.
  • Lorsque disponible, nous avons des politiques de connexion unique (SSO), d’authentification à deux facteurs (2FA) et de mots de passe forts pour assurer la protection de l’accès aux services cloud.

Contrôle d’accès à moindre privilège

  • Nous suivons le principe du moindre privilège en ce qui concerne la gestion de l’identité et de l’accès.

Revues trimestrielles d’accès

  • Nous effectuons des revues trimestrielles de l’accès de tous les membres de l’équipe ayant accès à des systèmes sensibles.

Exigences de mot de passe

  • Tous les membres de l’équipe doivent respecter un ensemble minimal d’exigences et de complexité de mots de passe pour l’accès.

Gestionnaires de mots de passe

  • Tous les ordinateurs portables fournis par l’entreprise utilisent un gestionnaire de mots de passe permettant aux membres de l’équipe de gérer les mots de passe et de maintenir la complexité des mots de passe.

Gestion des fournisseurs et des risques

Évaluations annuelles des risques

  • Nous subissons au moins des évaluations annuelles des risques afin d’identifier toute menace potentielle, y compris les considérations liées à la fraude.

Gestion des risques fournisseurs

  • Le risque du fournisseur est déterminé et les examens appropriés sont effectués avant d’autoriser un nouveau fournisseur

Contactez-nous

Si vous avez des questions, des commentaires ou des préoccupations, ou si vous souhaitez signaler un problème de sécurité potentiel, veuillez contacter :

Ferroque Systems Inc.
430 – 5975 Whittle Road
Mississauga, ON, L4Z 3N1, Canada
1-888-664-6954
 security@ferroquesystems.com