Politique de sécurité

Politique de sécurité

Dernière modification : 4 juillet 2023

Télécharger cette politique au format PDF
Electrotechnik Pty Ltd ("ELEK") s'engage à fournir à ses clients logiciels une protection contre les cybermenaces, à prévenir la perte de données et à répondre aux exigences de conformité.

Nous avons adopté les principes de la norme ISO/IEC 27001, qui est la norme la plus connue au monde pour les systèmes de gestion de la sécurité de l'information (SGSI). Cette approche nous permet de gérer les risques liés à la sécurité des données détenues et traitées par notre entreprise, tout en garantissant l'adoption des meilleures pratiques et des meilleurs principes pour éviter les impacts négatifs potentiels dus à la cybercriminalité et aux nouvelles menaces qui émergent constamment.

Comment nous assurons la sécurité de l'information

Nous nous engageons à garantir la sécurité de l'information en mettant en place des systèmes et des contrôles rigoureux afin de préserver la sécurité de l'information pour notre entreprise et nos clients. Nous commençons par l'intégration de notre personnel, qui implique des processus et des politiques d'entreprise qui soulignent l'importance de garantir que toutes les données des utilisateurs restent confidentielles et que l'accès à ces données n'est possible que pour accomplir les tâches liées à leur emploi, y compris la fourniture de services à nos utilisateurs. Notre politique de sécurité de l'information souligne également l'importance du maintien de la confidentialité de toutes les données des utilisateurs et des mécanismes appropriés d'élimination de toutes les données personnelles stockées localement ou imprimées.
Nos employés s'engagent à respecter la confidentialité et la sécurité de l'information dans le cadre de leur contrat de travail et suivent une formation de sensibilisation à la cybersécurité, avec des remises à niveau régulières.
Outre les processus, la politique et la formation de ELEK, nous disposons de points d'entrée stricts pour accéder aux systèmes contenant des données sensibles des utilisateurs. Pour de plus amples informations, veuillez consulter notre politique de confidentialité.

Gestion des identités et des accès

Nous utilisons Microsoft comme fournisseur d'identité d'entreprise et des politiques de mot de passe hautement sécurisées sont en vigueur. Tous les employés sont tenus d'utiliser l'authentification à deux facteurs (2FA) pour se connecter.
L'accès à nos services en nuage dans Amazon Web Services (AWS) est accordé avec la gestion des identités et des accès (IAM) d'AWS en fonction du rôle, selon les principes du besoin d'en connaître et du moindre privilège.
Un examen trimestriel de l'accès des utilisateurs est effectué et l'accès qui n'est plus nécessaire est supprimé. Lorsque les employés quittent leur emploi, tous les accès aux systèmes sont révoqués immédiatement après leur départ.

Protection du courrier électronique

Nous utilisons Microsoft 365 comme fournisseur de messagerie pour le personnel, Amazon Simple Email Service (SES) pour l'envoi de courriels à partir de notre application et le système de billetterie pour l'envoi de courriels d'assistance à la clientèle. DMARC et SPF sont en place pour nos domaines de messagerie.
Les employés sont continuellement sensibilisés et formés aux meilleures pratiques pour éviter l'hameçonnage.

Sécurité des réseaux

Les postes de travail de notre personnel se trouvent sur un réseau local virtuel (VLAN) dédié dont l'utilisation est réservée à notre personnel.

Accès aux données des utilisateurs

Nous traitons toutes les données que les utilisateurs soumettent à l'un de nos services logiciels, et qui sont traitées par nous uniquement au nom de l'utilisateur, comme une "boîte noire". Cela signifie que les données des utilisateurs ne sont généralement pas consultées pour l'exécution du service et que nous traitons toutes les données soumises par les utilisateurs avec le plus haut niveau de sécurité et avec sensibilité et confidentialité.
L'accès de notre personnel aux données des utilisateurs est limité au cas par cas, conformément à nos conditions d'utilisation ou à l'accord conclu avec l'utilisateur.

Gestion de la vulnérabilité

Nous effectuons régulièrement des audits de sécurité de notre site web et de la base de code de notre logiciel afin de trouver et de corriger les vulnérabilités connues dans les dépendances qui pourraient entraîner des pertes de données, des interruptions de service, un accès non autorisé à des informations sensibles ou d'autres problèmes de sécurité. Toutes les vulnérabilités identifiées sont enregistrées dans un carnet de développement et classées en fonction de notre évaluation de leur impact sur la confidentialité, l'intégrité et la disponibilité du service et des données des utilisateurs. Nos ingénieurs procèdent à toute correction conformément à notre politique interne de gestion des correctifs.

Cycle de développement des logiciels

Nous utilisons des produits de suivi des problèmes avec un flux de travail bien documenté impliquant un processus d'examen par les pairs. Notre code source est sécurisé dans des dépôts privés et hautement sécurisés pour le contrôle des versions et la sécurité. Les modifications apportées à notre base de code sont soumises à une série de tests automatisés et manuels (avec des plans détaillés). Les modifications de code qui sont approuvées sont d'abord transférées sur un serveur de mise à l'essai où nos employés peuvent les tester avant de les transférer aux serveurs de production et à notre base d'utilisateurs. Notre processus d'intégration et de déploiement continus (CI/CD) est limité par un processus d'approbation intégré.

Réponse aux incidents

Nous prenons la gestion des incidents au sérieux et disposons d'une procédure de réponse aux incidents qui décrit la manière dont les incidents sont gérés. Un incident est défini comme un événement imprévu tel qu'une violation de données, une interruption de service ou une réduction de la qualité d'un service. Un incident est également un problème qui a été soulevé lorsque le service fonctionnait auparavant et qu'il ne fonctionne plus comme prévu. La procédure décrit la manière dont nous évaluons, contenons, évaluons, notifions, examinons et contrôlons les incidents.
Tous les incidents sont consignés dans le registre de réponse aux incidents et les enseignements tirés des incidents sont utilisés pour améliorer nos processus, procédures, systèmes et outils dans le cadre de notre engagement en faveur de l'amélioration continue.

Reprise après sinistre et continuité des activités

Nous avons mis en place un plan de continuité des activités pour faire face aux catastrophes affectant notre bureau physique (où aucune partie de notre infrastructure de production n'est conservée).
En outre, nous disposons d'un plan de reprise après sinistre (DRP) pour faire face aux catastrophes affectant notre environnement de production, qui ont été évaluées comme des événements critiques non planifiés dans le cadre du processus de réponse aux incidents, qui comprend la restauration de la fonctionnalité de base du service à partir d'un autre emplacement. Notre centre de données principal est hébergé sur AWS à Sydney (Australie), avec une redondance dans la même région AWS. En cas de perte d'un seul centre de données AWS, les procédures de récupération mettraient en service des nœuds dans un autre centre de données sans intervention humaine. Les tests sont effectués au moins une fois par an. Notre test de reprise après sinistre peut prendre la forme d'une visite, d'une simulation de sinistre ou d'un test de composants.

Conservation et élimination des données

Conservation des données

Nous conservons un nombre limité d'informations vous concernant, que nous contrôlons exclusivement, dans le but et pour la durée nécessaires à la réalisation des objectifs décrits dans notre politique de confidentialité. Les données que nos systèmes détiennent au nom de nos utilisateurs seront conservées conformément à nos conditions d'utilisation et aux autres accords commerciaux conclus avec ces clients.
Nous fournissons à la fois des produits logiciels basés sur l'informatique en nuage et des produits logiciels installés nativement sur PC. Avec nos produits logiciels basés sur le cloud, les données des clients sont stockées dans nos systèmes sécurisés basés sur le cloud (décrits dans le présent document). En revanche, avec nos produits logiciels basés sur PC, les données du client sont stockées localement sur leur infrastructure informatique.

Suppression des données

Nos clients conservent le contrôle total des données qu'ils ont fournies et peuvent les modifier, les exporter ou les supprimer en utilisant les moyens disponibles dans notre logiciel ou en nous contactant.
Lors de la clôture d'un compte, les utilisateurs peuvent demander la suppression de leurs données dans le cadre de la procédure de clôture du compte. Les données de l'utilisateur seront alors supprimées dans les 90 jours suivant la demande, ce qui comprend une période de 30 jours pour permettre un retour en arrière et une période supplémentaire de 60 jours pour procéder à la procédure de suppression.
Les utilisateurs peuvent également choisir de conserver les données du compte dans la plateforme, auquel cas nous pouvons continuer à les conserver, mais nous pouvons également les supprimer à tout moment, à notre discrétion.

Destruction des données

Nos services en nuage sont hébergés par AWS, qui met en œuvre des stratégies de distribution et de suppression des données sécurisées afin de permettre un stockage sûr des données sensibles dans un environnement multi-locataires. Le déclassement des supports de stockage est effectué par AWS conformément à la norme NIST 800-88.

Contrôle

Nous collectons et surveillons les journaux de réseau en utilisant les journaux de trafic des sites périphériques et des équilibreurs de charge, les journaux au niveau de l'application pour le traçage et l'audit des événements, et les journaux au niveau du système pour l'audit de l'accès et des opérations à privilèges élevés. Tous les journaux sont stockés en toute sécurité dans Amazon S3 ou Amazon CloudWatch et sont conservés.
Nous contrôlons l'utilisation des capacités des ressources de l'infrastructure afin de nous assurer que les services fournis correspondent aux accords de niveau de service. En outre :
  • Les services d'Amazon sont utilisés pour déclencher des messages automatisés basés sur des événements pour les alertes concernant les infrastructures critiques.
  • Nous utilisons un service propriétaire d'enregistrement et de suivi des erreurs avec déclenchement d'une messagerie automatisée basée sur les événements pour les alertes d'application.

Vie privée

Reportez-vous à notre politique de protection de la vie privée.

Sécurité des bureaux

L'accès à nos bureaux et aux ascenseurs est limité par des cartes d'accès. Le service de sécurité du bâtiment a mis en place plusieurs procédures pour contrôler régulièrement l'accès au bâtiment et aux étages. Le système de sécurité intégré à chaque étage permet de suivre l'utilisation des portes, et un rapport d'accès peut être obtenu auprès du service de sécurité du bâtiment. Les bureaux sont surveillés 24 heures sur 24 par un système de vidéosurveillance et des agents de sécurité se déplacent dans l'enceinte de l'établissement. Les enregistrements vidéo de la vidéosurveillance sont stockés et conservés pendant 18 mois. Le directeur commercial est chargé d'informer l'équipe de gestion des bâtiments de tout changement concernant les employés qui souhaitent obtenir ou révoquer l'accès à une carte d'accès au bâtiment.

Sécurité des centres de données

Nous nous appuyons sur les contrôles du centre de données AWS, tels que la sélection des sites, la redondance, la disponibilité et la planification des capacités, pour maintenir un niveau de sécurité approprié. Nous n'hébergeons aucun de nos propres serveurs.

Mises à jour de la politique

Cette politique peut être modifiée de temps à autre et est disponible sur notre site web www.elek.com.

Nous contacter

Pour plus d'informations ou pour nous contacter, veuillez consulter notre page de contact.