Mesures techniques et organisationnelles (MTO)
Vue d'ensemble
Chez Inbenta, nous nous engageons à protéger vos données et les informations personnelles de vos utilisateurs. Notre technologie, notre infrastructure et nos processus font l'objet d'une surveillance et d'une amélioration constantes, la sécurité étant au cœur de nos préoccupations. Nous sommes certifiés par des tiers spécialistes de la sécurité de l'information et de l'informatique en nuage, ainsi que de la protection de la vie privée.
Partenariat pour la sécurité
Inbenta a conclu un partenariat avec Ackcent Cybersecurity, afin d'effectuer des audits programmés de produits et de codes, des audits de sécurité et des tests de pénétration, et de gérer tous les SOC/SIEM, la détection et la prévention des intrusions.
Sécurité des réseaux et de l'informatique en nuage
LA SÉCURITÉ PHYSIQUE
Sécurité physique
Inbenta fonctionne sur AWS dans différentes régions. L'infrastructure et les systèmes d'appui sont hébergés dans les installations d'AWS ; par conséquent, les contrôles de sécurité physique, la sécurité sur site et la surveillance des centres de données relèvent de la responsabilité d'AWS. La sécurité des applications et la protection de la vie privée, qui ne relèvent pas du champ d'application d'AWS et du modèle de responsabilité partagée, sont prises en charge par Inbenta et couvertes par la conformité au GDPR, aux normes ISO9001, ISO27001 et ISO27017.https://aws.amazon.com/compliance/data-center/controls/
https://aws.amazon.com/security/
- Contrôles ISO 27002 et ISO 27017 : A.11.1
SÉCURITÉ DES RÉSEAUX
Équipe de sécurité dédiée et SIEM
Nos moniteurs de sécurité et nos alarmes (systèmes actifs/passifs) ainsi que notre partenaire de sécurité SIEM externe sont entièrement intégrés dans nos opérations, fournissant une sécurité 24×7 et des équipes de sécurité prêtes à répondre aux alertes et aux événements.
- Contrôles ISO 27002 et ISO 27017 : A.12.4.1, A.13.1.2, A.16.1.1, CLD.12.4.5
Protection de l'environnement
Notre réseau est protégé et isolé par des pare-feu, des listes de contrôle d'accès au réseau (NACL), un transport HTTPS sécurisé sur les réseaux publics, la surveillance d'une zone démilitarisée (DMZ), des audits réguliers et des technologies de détection et/ou de prévention des intrusions dans le réseau (IDS/IPS) qui surveillent et/ou bloquent le trafic malveillant et les attaques de réseau, la protection active DDoS et la surveillance de l'usurpation de nom de domaine (DNS spoofing).
- Contrôles ISO 27002 et ISO 27017 : A.13.1.1, A.13.1.2, A.13.1.3
Protection de l'environnement
Notre réseau est protégé et isolé par des pare-feu, des listes de contrôle d'accès au réseau (NACL), un transport HTTPS sécurisé sur les réseaux publics, la surveillance d'une zone démilitarisée (DMZ), des audits réguliers et des technologies de détection et/ou de prévention des intrusions dans le réseau (IDS/IPS) qui surveillent et/ou bloquent le trafic malveillant et les attaques de réseau, la protection active DDoS et la surveillance de l'usurpation de nom de domaine (DNS spoofing).
- Contrôles ISO 27002 et ISO 27017 : A.13.1.1, A.13.1.2, A.13.1.3
L'architecture
L'architecture de sécurité de notre réseau se compose de plusieurs zones. Les systèmes les plus sensibles, comme les bases de données, les caches et les serveurs NFS, sont protégés dans nos zones les plus privées, totalement isolées. D'autres systèmes sont hébergés dans des zones mi-privées, comme les processeurs webhook, dans des sous-réseaux privés derrière un NAT de sortie uniquement. En fonction de la zone, une surveillance de sécurité et des contrôles d'accès supplémentaires s'appliquent. Les DMZ sont utilisées entre l'Internet ou les sous-réseaux publics (équilibreurs de charge uniquement), et en interne entre les différentes zones de confiance.
- Contrôles ISO 27002 et ISO 27017 : A.13.1.1, A.13.1.3
Pare-feu
Des systèmes de pare-feu sont en place pour filtrer le trafic réseau entrant non autorisé en provenance d'Internet et refuser tout type de connexion réseau qui n'est pas explicitement autorisé. La fonctionnalité de traduction d'adresses réseau (NAT) est utilisée pour gérer les adresses IP internes. L'accès administratif au pare-feu est limité aux employés autorisés.
- Contrôles ISO 27002 et ISO 27017 : A.13.1.1, A.13.1.3
Analyse de la vulnérabilité des réseaux
Une analyse active de la sécurité du réseau est effectuée sur tous les sous-réseaux de toutes les régions afin d'identifier rapidement les systèmes non conformes ou potentiellement vulnérables. Des analyses passives programmées sont également exécutées sur tous les sous-réseaux internes ou privés ainsi que sur tous les ports exposés (http/https) de la zone démilitarisée ou du sous-réseau public.
- Contrôles ISO 27002 et ISO 27017 : A.12.6.1, A.12.7.1
Tests de pénétration par des tiers
En plus de notre vaste programme interne d'analyse et de test, Inbenta fait appel chaque année à des partenaires tiers (Ackcent Cybersecurity) pour effectuer un vaste test de pénétration sur les réseaux de production privés et publics d'Inbenta, ainsi que pour réaliser des audits de produits sur tous les produits sur une base trimestrielle.
- Contrôles ISO 27002 et ISO 27017 : A.12.6.1, A.12.7.1, A.14.2.8
Gestion des incidents de sécurité (SIEM)
Notre système de gestion des incidents de sécurité (Security Incident Event Management - SIEM) rassemble des journaux détaillés provenant d'importants dispositifs de réseau et de systèmes hôtes. Le SIEM envoie des alertes sur des déclencheurs qui notifient l'équipe de sécurité sur la base des événements corrélés pour une investigation et une réponse plus approfondies.
Détection et prévention des intrusions
Les points d'entrée et de sortie du flux de données des applications sont surveillés par des systèmes de détection d'intrusion (IDS) ou des systèmes de prévention d'intrusion (IPS). Ces systèmes sont intégrés au SIEM et aux opérations 24 heures sur 24 et 7 jours sur 7.
- Contrôles ISO 27002 et ISO 27017 : A.12.4.1, A.13.1.1
Atténuation des DDoS
Inbenta utilise la surveillance des flux réseau en temps réel pour inspecter le trafic entrant dans tous les points d'entrée HTTP tels que les terminaisons https du CDN, les listeners https de l'équilibreur de charge et toutes les terminaisons WebSockets sécurisées (wss://) afin d'effectuer une atténuation automatisée de la plupart des techniques DDoS sur la couche 7 (WAF), et de se protéger contre toutes les attaques connues de l'infrastructure (couches 3 et 4).
- Contrôles ISO 27002 et ISO 27017 : A.13.1.1
Accès logique
Inbenta utilise une architecture de sécurité basée sur les rôles et exige que les utilisateurs du système soient identifiés et authentifiés avant de pouvoir utiliser les ressources du système. Les ressources de production et toutes les actions administratives sont enregistrées et stockées pendant au moins deux ans avec une somme de contrôle immuable afin d'empêcher la modification des journaux d'audit.
Toutes les ressources de production sont gérées dans le système d'inventaire des actifs et un propriétaire est assigné à chaque actif. Les propriétaires sont chargés d'approuver l'accès à la ressource et d'effectuer des révisions périodiques de l'accès par rôle. L'accès à tout réseau ou sous-système d'administration d'Inbenta Production est limité par un besoin explicite de savoir, conformément aux contrôles ISO27001 et 27017. Tout est contrôlé et surveillé par notre équipe opérationnelle avec des rôles granulaires et spécifiques par employé. Les employés qui accèdent à l'administration du réseau de production d'Inbenta sont tenus d'utiliser plusieurs facteurs d'authentification, les deux facteurs étant assortis d'informations d'identification qui expirent avec un faible TTL, ce qui les oblige à être renouvelées en permanence.
- Contrôles ISO 27002 et ISO 27017 : A.9.1, A.9.2, A.9.4
SÉCURITÉ DES OPÉRATIONS
Gestion du changement
Toutes les modifications apportées à nos systèmes d'exploitation sont gérées dans le cadre de notre procédure de gestion du changement, qui garantit que toutes les modifications sont contrôlées, que leur impact et les risques sont évalués et qu'il existe un processus d'approbation formel avant qu'elles ne soient mises en service.
- Contrôles ISO 27002 et ISO 27017 : A.12.1.2
Si le client doit signaler un incident de sécurité à Inbenta, le canal approprié est le Centre d'assistance d'Inbenta (https://support.inbenta.io) ou directement privacy@inbenta.com .
Dans le cas où Inbenta aurait connaissance d'un incident ou d'un changement majeur au sein de la plateforme d'Inbenta, affectant la sécurité des informations du Client, Inbenta signalera au Client cet incident ou ce changement majeur et son impact sur les informations affectées.
Inbenta partagera toutes les informations nécessaires pour que le client puisse alerter ses utilisateurs et appliquer des mesures d'atténuation si possible.
Inbenta notifiera le client par courriel à l'équipe Client assignée à Inbenta, ou aux contacts spécifiés dans ce contrat (section Avis) en leur absence, dans un délai maximum de 48h après qu'Inbenta ait eu connaissance de l'incident ou du changement majeur.
Inbenta publiera également un rapport d'incident ou de changement majeur dans le centre de support (https://support.inbenta.io) et tiendra ce rapport à jour avec le dernier statut jusqu'à la fermeture.
Gestion des capacités
Notre procédure de gestion des capacités vise à garantir que les besoins actuels et futurs en matière de capacité informatique sont couverts, à surveiller et à contrôler les performances de l'infrastructure informatique, à élaborer des plans de capacité en fonction des niveaux de service convenus, et à gérer et rationaliser la demande de services informatiques.
La capacité du système est surveillée en permanence et, en cas d'alerte, les événements sont transmis à nos équipes 24 heures sur 24, 7 jours sur 7, qui assurent la couverture des opérations, de l'ingénierie de réseau et de la sécurité.
- Contrôles ISO 27002 et ISO 27017 : A.12.1.3
Lutte contre les logiciels malveillants
Le contrôle et la prévention des logiciels malveillants sont effectués régulièrement par l'équipe ISMS et sont inclus dans la formation à la sécurité et dans le code de conduite professionnelle.
Le service SOC fourni par notre partenaire Ackcent comprend des services proactifs pour la prévention des incidents de sécurité, y compris la surveillance continue des menaces de cybersécurité, la surveillance continue et les alertes de vulnérabilité pour les actifs numériques critiques, la surveillance en temps réel, la détection et l'analyse des incidents, et la réponse à distance aux incidents basée sur la coordination des ressources et l'application rapide des contre-mesures de sécurité.
- Contrôles ISO 27002 et ISO 27017 : A.12.2.1
Réponse aux incidents de sécurité
En cas d'alerte système, les événements sont transmis à nos équipes 24 heures sur 24, 7 jours sur 7, qui assurent la couverture des opérations, de l'ingénierie réseau et de la sécurité. Les employés sont formés aux processus de réponse aux incidents de sécurité, conformément aux normes ISO9001 et 27001.
- Contrôles ISO 27002 et ISO 27017 : A.16.1
Journalisation et surveillance
Notre système de gestion des incidents de sécurité (Security Incident Event Management - SIEM) rassemble des journaux détaillés provenant d'importants dispositifs de réseau et de systèmes hôtes. Le SIEM envoie des alertes sur des déclencheurs qui notifient l'équipe de sécurité sur la base des événements corrélés pour une investigation et une réponse plus approfondies.
- Contrôles ISO 27002 et ISO 27017 : A.12.4.1
Durcissement
Inbenta utilise le durcissement dans le cadre du cycle de développement/déploiement. Tous les environnements/images/conteneurs de production sont construits et déployés en utilisant le durcissement à partir d'images stables, à jour et homologuées. Les nouvelles VM/conteneurs/images sont toujours créées à partir d'images modèles de base précédentes (conteneurs, AMI) dans le cadre d'un cycle de vie contrôlé (durcissement).
Tout changement de production dans les images est préalablement testé dans des environnements de développement et de pré-production.
Toutes les images/conteneurs de base sont reconstruits et mis à jour régulièrement.
- Contrôles ISO 27002 et ISO 27017 : CLD.9.5.2
ENCRYPTION
Chiffrement en transit
Les communications entre vous et les serveurs d'Inbenta sont cryptées via les meilleures pratiques de l'industrie HTTPS utilisant le protocole Transport Layer Security (TLS 1.2 et TLS 1.3 pour certaines terminaisons) sur les réseaux publics avec les dernières suites de chiffrement non faibles. En outre, aucun protocole SSL n'est autorisé. Le protocole TLS est également pris en charge pour le cryptage des courriers électroniques. Une spécification plus détaillée est disponible dans la section " Sécurité et intégrité delatransmission" du présent document.
- Contrôles ISO 27002 et ISO 27017 : A.13.2.3, A.14.1.2
Chiffrement au repos
Toutes les données, disques, systèmes de fichiers et datastores gérés par Inbenta sont cryptés à l'aide de systèmes de gestion de clés gérés par le fournisseur (AWS KMS - AWS CMK) en utilisant des clés gérées et maintenues par Inbenta et son programme de rotation. Toutes les données sont cryptées à l'aide de l'algorithme standard AES-256 et des algorithmes de chiffrement par bloc les plus puissants. Dans le cadre du service AWS-KMS, Inbenta utilise deux types de clés gérées :
Encryption with Customer-Provided Keys et Encryption with AWS KMS-Managed Keys.
- Contrôles ISO 27002 et ISO 27017 : A.8.2.3, A.18.1.4
DISPONIBILITÉ ET CONTINUITÉ
Temps de fonctionnement
Inbenta maintient le portail de statut, disponible pour les utilisateurs connectés, qui comprend des détails sur la disponibilité du système, la maintenance programmée, l'historique des incidents de service et les événements de sécurité pertinents.
- Contrôles ISO 27002 et ISO 27017 : CLD.12.4.5
Redondance
La redondance est intégrée dans l'infrastructure du système soutenant les services de production afin de garantir qu'il n'y a pas de point de défaillance unique, y compris les pare-feux, les routeurs et les serveurs. En cas de défaillance d'un système primaire, le matériel redondant est configuré pour prendre sa place.
Inbenta utilise des grappes de services et des redondances de réseau pour éliminer les points de défaillance uniques.
- Contrôles ISO 27002 et ISO 27017 : A.17.2
Sauvegardes
Les données des clients sont sauvegardées et contrôlées par le personnel d'exploitation pour vérifier qu'elles sont complètes et qu'il n'y a pas d'exception. En cas d'exception, l'équipe des opérations effectue un dépannage afin d'identifier la cause première et de réexécuter la tâche de sauvegarde immédiatement, si possible, ou dans le cadre de la prochaine tâche de sauvegarde programmée. L'infrastructure de sauvegarde est gérée par le fournisseur de cloud et n'implique pas de supports physiques manipulés par le personnel d'Inbenta. L'infrastructure de sauvegarde réside sur des datastores à longue durée de vie derrière des réseaux privés logiquement sécurisés des autres réseaux et est cryptée AES256 au repos en utilisant le système de gestion des clés par le fournisseur de cloud (AWS KMS) en utilisant les clés privées gérées par Inbenta en rotation comme prévu.
Un contrôle aléatoire programmé de l'intégrité des sauvegardes a lieu chaque semaine.
Les sauvegardes ont lieu, au minimum, toutes les 24 heures pour toutes les données de production. Selon le type de classification des données du stockage sauvegardé, une périodicité différente est spécifiée en 3 niveaux : 1) récupération ponctuelle pour les données critiques, 2) toutes les 12 heures pour les données de configuration et 3) toutes les 24 heures pour les données moins changeantes et les données de journal.
- Contrôles ISO 27002 et ISO 27017 : A.12.3
Plan de reprise après sinistre et de continuité des activités
Notre plan de reprise après sinistre (DRP) et notre plan de continuité des activités (BCP) garantissent que nos services restent disponibles ou sont facilement récupérables en cas de sinistre. Pour ce faire, nous mettons en place un environnement technique robuste et établissons un RTO et un RPO de faible valeur, déterminés par une analyse de l'impact sur les activités (BIA). Plusieurs scénarios de perturbation sont envisagés, couvrant des situations telles que l'indisponibilité du personnel et des fournisseurs. Les simulations et les tests de reprise après sinistre sont exécutés et audités chaque année, conformément aux normes ISO 27001 et ISO 27017.
- Contrôles ISO 27002 et ISO 27017 : A.17.1
SYNCHRONISATION DU TEMPS ET NTP
Network Time Protocol, synchronisation et cohérence des horloges
Inbenta utilise le protocole et les services NTP pour maintenir toutes les horloges synchronisées et cohérentes dans tous les services, modules et OS. Nous utilisons des serveurs NTP publics ntp.org (par région) https://support.ntp.org/bin/view/Servers/NTPPoolServers pour les composants ayant un accès à Internet, et Amazon Time Sync Service (par AWS) pour tous les réseaux privés ou tous les modules n'ayant pas d'accès à Internet. Amazon Time Sync Service, un service de synchronisation du temps fourni par le protocole NTP (Network Time Protocol) qui utilise une flotte d'horloges atomiques redondantes connectées à des satellites dans chaque région pour fournir une horloge de référence très précise.Notre plan de reprise après sinistre (DRP) et notre plan de continuité des activités (BCP) garantissent que nos services restent disponibles ou peuvent être facilement récupérés en cas de sinistre. Pour ce faire, nous mettons en place un environnement technique robuste, ainsi qu'un RTO et un RPO de faible valeur, déterminés par une analyse d'impact sur l'entreprise (BIA). Plusieurs scénarios de perturbation sont envisagés, couvrant des situations telles que l'indisponibilité du personnel et des fournisseurs. Les simulations et les tests de reprise après sinistre sont exécutés et audités chaque année, conformément aux normes ISO 27001 et ISO 27017.
Sécurité des applications
DÉVELOPPEMENT SÉCURISÉ (SDLC)
Formation à la sécurité
Au moins deux fois par an, les ingénieurs et les développeurs participent à une formation sur le code sécurisé et la sécurité par la conception en développant les meilleures pratiques, les vecteurs d'attaque courants et les contrôles de sécurité d'Inbenta. Cette formation est assurée par des programmes de formation internes et externes et des suites de formation.
- Contrôles ISO 27002 et ISO 27017 : A.7.2.2
Contrôles de sécurité OWASP
Inbenta utilise toutes les règles de sécurité connues de l'OWASP. Celles-ci comprennent des contrôles inhérents qui réduisent notre exposition au Cross-Site Scripting (XSS), au Cross-Site Request Forgery (CSRF) et à l'injection SQL (SQLi), entre autres. Il s'agit d'une analyse statique et dynamique du code, ainsi que de règles WAF (pare-feu d'application web) actives en temps réel devant n'importe quel auditeur HTTP.
- Contrôles ISO 27002 et ISO 27017 : A.14.2.4
QA
Notre département d'assurance qualité examine et teste notre base de code. Plusieurs tests manuels et automatisés sont effectués et intégrés aux pipelines CI/CD afin de ne déployer que du code testé et sécurisé. Notre équipe d'assurance qualité participe activement à la sécurité de l'application finale ainsi qu'au processus de développement dans le pipeline/flux de sortie.
- Contrôles ISO 27002 et ISO 27017 : A.14.2.1, A.14.2.8
Environnements séparés
Les environnements de test, de développement et de mise à disposition des produits sont séparés physiquement et logiquement de l'environnement de production grâce à l'isolation du réseau, aux pare-feux et à la NACL. Aucune donnée de production réelle n'est utilisée dans l'environnement de développement ou de test. Des données fictives et aléatoires peuvent être générées afin de simuler des volumes de données importants.
- Contrôles ISO 27002 et ISO 27017 : A.12.1.4, A.14.2.6, A.14.3.1
VULNÉRABILITÉS DES APPLICATIONS
Analyse dynamique interne de la vulnérabilité
Nous utilisons un certain nombre d'outils de sécurité tiers qualifiés pour analyser en permanence et de manière dynamique nos applications en fonction des règles de l'OWASP. En outre, tous les gestionnaires HTTP disposent d'un WAF actif qui bloque en temps réel toutes les règles connues de l'OWASP et les meilleures règles connues.
- Contrôles ISO 27002 et ISO 27017 : A.12.6.1, A.14.2.5
Analyse dynamique externe de la vulnérabilité
Inbenta fait appel à un partenaire de sécurité externe pour l'équipe SOC-SIEM externe.
Le partenaire tiers utilise des technologies d'analyse standard et une méthodologie formelle spécifiée par Inbenta (toutes les règles OWASP, et bien d'autres).
Ces technologies sont personnalisées pour tester l'infrastructure et les logiciels de l'organisation de manière efficace tout en minimisant les risques potentiels associés à l'analyse active. Les retests et les analyses à la demande sont effectués en fonction des besoins. Les analyses sont effectuées en dehors des périodes de pointe. Les outils nécessitant une installation dans le système Inbenta sont mis en œuvre par le biais du processus de gestion des changements.
- Contrôles ISO 27002 et ISO 27017 : A.12.5.1, A.12.6.1, A.12.7.1
Analyse statique du code
Les référentiels de code source des applications Inbenta, tant pour notre WebGUI que pour les API de produits, sont continuellement analysés au cours des étapes de test et de révision dans les pipelines et flux CI/CD (intégration continue), et ils sont intégrés à tous les flux d'assurance qualité et de mise en production, bloquant toute mise en production ou déploiement d'un code non conforme ou inférieur aux normes. En outre, des analyses programmées sont déclenchées par notre outil d'analyse statique intégré.
- Contrôles ISO 27002 et ISO 27017 : A.12.6.1, A.14.2.8
Test de pénétration de la sécurité
En plus de notre vaste programme interne d'analyse et de test, Inbenta fait appel chaque trimestre à des partenaires tiers experts en sécurité (SOC-SIEM externe et pen-tests et audits programmés) pour effectuer des tests de pénétration détaillés et une analyse de code dynamique sur différentes applications de notre famille de produits.
- Contrôles ISO 27002 et ISO 27017 : A.12.6.1, A.14.2.8
Caractéristiques de sécurité du produit
AUTHENTIFICATION SÉCURITÉ
Options d'authentification
Pour toutes les applications WebGUI, nous proposons la connexion au compte Inbenta avec 2FA ou un SSO personnalisé (IdP).
Pour les API produit et/ou les intégrations client (JS SDK), nous proposons un flux d'authentification avec des clés API, des secrets/tokens (et des clés de domaine pour JS SDK) basés sur JWT (JSON Web Token) pour authentifier et autoriser tous les appels API et les actions avec le backend.
- Contrôles ISO 27002 et ISO 27017 : A.9.2.3, A.9.4.1, A.9.4.2, CLD.9.5.1
Signature unique (SSO)
L'authentification unique (SSO) vous permet d'authentifier les utilisateurs dans vos propres systèmes sans qu'ils aient à saisir des identifiants de connexion supplémentaires pour votre interface utilisateur WebGUI et vos instances Inbenta.
Security Assertion Markup Language (SAML) est pris en charge.
Vous pouvez intégrer votre SSO avec Inbenta, puisqu'il fonctionne comme SP (Service provider) pour SAMLv2.
- Contrôles ISO 27002 et ISO 27017 : A.9.4.2
Politique en matière de mot de passe
Les mots de passe ne peuvent être réinitialisés que par l'utilisateur final disposant d'une adresse électronique active (le nom d'utilisateur est la même adresse électronique). Une URL temporaire de réinitialisation du mot de passe peut être générée par l'utilisateur final sur la page de connexion. Les politiques de mots de passe appliquent les dernières exigences minimales les plus connues et des mesures supplémentaires de détection des robots sont activées sur tous les écrans de gestion des utilisateurs/mots de passe. Les administrateurs peuvent également configurer une politique de rotation des mots de passe par utilisateur.
- Contrôles ISO 27002 et ISO 27017 : A.9.4.3
Authentification à deux facteurs (2FA)
Si vous utilisez la connexion Inbenta sur votre instance Inbenta Support, vous pouvez activer l'authentification à 2 facteurs (2FA) pour les agents et les administrateurs, y compris des applications comme Authy et Google Authenticator pour générer des codes d'accès OOTP.
2FA fournit une autre couche de sécurité à votre compte Inbenta, ce qui rend plus difficile pour quelqu'un d'autre de se connecter en votre nom. Si vous utilisez votre propre IdP (Identity Provider) SSO pour forcer vos utilisateurs à utiliser le 2FA, vous pouvez intégrer votre SSO avec Inbenta, puisqu'il fonctionne comme SP (Service provider) pour SAMLv2.
- Contrôles ISO 27002 et ISO 27017 : A.9.2.3, A.9.4.2
Stockage sécurisé des justificatifs
Inbenta respecte les meilleures pratiques en matière de stockage sécurisé des informations d'identification en ne stockant jamais les mots de passe dans un format lisible par l'homme, et uniquement après un hachage sécurisé, salé et unidirectionnel sur le système de fichiers des bases de données ou sur des plates-formes sans SQL, avec un cryptage au repos et toutes les opérations en transit vers le backend.
- Contrôles ISO 27002 et ISO 27017 : A.8.2.3, A.9.2.4, A.9.4.2, A.14.1.2
Sécurité et authentification de l'API
Les API des produits Inbenta sont des API REST complètes SSL uniquement, HTTPS avec les dernières suites de chiffrement sur les auditeurs HTTP utilisant TLS. Vous devez disposer d'une clé API et d'un secret/jeton vérifiés et, pour effectuer toute demande d'API de produit, vous devez au préalable effectuer un appel obligatoire au flux de demande d'autorisation sur l'API d'autorisation, une couche supplémentaire pour toutes les intégrations côté client (SDK javascript) est également disponible afin de vérifier tous les domaines d'origine des intégrations SDK.
L'authentification SAML SP (fournisseur de services) est également prise en charge pour le frontend SSO de tous les accès de connexion WebGUI différents de ceux des API (application). Pour en savoir plus sur la sécurité des API et les terminaisons de points d'extrémité, consultez le site https://developers.inbenta.io/.
- Contrôles ISO 27002 et ISO 27017 : A.9.1.2, A.9.4.2, CLD.9.5.1, A.10.1.1
CARACTÉRISTIQUES DE SÉCURITÉ SUPPLÉMENTAIRES DU PRODUIT
Privilèges d'accès et rôles
L'accès aux données et aux produits dans Inbenta Workspace et CM/Chat est régi par des droits d'accès et peut être configuré pour définir des privilèges d'accès granulaires. Inbenta propose différents niveaux de permission pour les utilisateurs (propriétaire, administrateur, agent, utilisateur final, etc.), ainsi qu'une granularité des rôles par groupe. L'accès aux données de l'API/SDK est régi par des clés API, des jetons et des secrets, ainsi que par de nombreux en-têtes d'identification dans les deux niveaux pour l'authentification et l'autorisation.
- Contrôles ISO 27002 et ISO 27017 : A.9.1.2, A.9.2.3, A.9.4.1
Haute disponibilité des produits et accès
Certains points de terminaison et URL d'autorisation sont accessibles via un CDN (réseau de diffusion de contenu) afin de garantir une faible latence et une haute disponibilité pour stimuler la diffusion de contenu en fonction de la situation géographique de l'utilisateur final. En outre, un routage DNS régional ou basé sur la latence pour les intégrations SDK peut être configuré comme décrit dans : https://developers.inbenta.io/general/authorization/regions-and-endpoints
- Contrôles ISO 27002 et ISO 27017 : A.14.1.2, A.14.1.3, A.17.2.1
Pièces jointes privées
Dans Inbenta Messenger, par défaut, toutes les instances sont en bac à sable et sécurisées, tous les actifs et pièces jointes sont privés et une connexion réussie et une autorisation/rôle sont nécessaires pour voir les pièces jointes des tickets ou les messages. En outre, tous les actifs et pièces jointes sont stockés dans un magasin de données cryptées et sont servis aux agents avec une URL temporaire signée qui devient indisponible après plusieurs minutes.
- Contrôles ISO 27002 et ISO 27017 : CLD.9.5.1, A.10.1.1, A.13.1.3
Sécurité et intégrité des transmissions
Toutes les communications avec les serveurs d'Inbenta (aller-retour) sont cryptées en utilisant la norme industrielle HTTPS sur les réseaux publics. Cela garantit que tout le trafic entre vous et Inbenta est sécurisé pendant le transit. Une liste des protocoles SSL/TLS et des suites de chiffrement est disponible à l'adresse suivante : Régions et points d'extrémité - Les développeurs d'Inbenta pour toutes les terminaisons d'API et les points d'extrémité. En outre, pour les fonctionnalités en temps réel telles que le chat en temps réel, Inbenta utilise le protocole sécurisé WebSockets comme alternative HTTP complémentaire sécurisée et orientée streaming.
Tous les SDK sont hébergés dans un datastore AES256 sécurisé et crypté et servis via un CDN avec WAF (vérification et audit des cookies/headers) et toutes les intégrations SDK Inbenta utilisent une intégrité des sous-ressources (sha384 SRI).
- Contrôles ISO 27002 et ISO 27017 : A.13.1.2, A.14.1.2, A.14.1.3
Signature des courriels sortants de Messenger (DKIM)
Le support d'Inbenta Messenger offre DKIM (Domain Keys Identified Mail) pour signer les courriels sortants d'Inbenta Messenger lorsque vous avez configuré un domaine de courriel de réponse sortant sur votre instance d'Inbenta Messenger, et SMTP sur SSL/TLS (port 465) et STARTTLS (port 587) pour les protocoles d'envoi sécurisés.
- Contrôles ISO 27002 et ISO 27017 : A.13.2.3
Intégrité des sous-ressources du SDK
Le contrôle de l'intégrité des sous-ressources (SRI) est une fonction de sécurité qui permet aux navigateurs de vérifier que les ressources qu'ils récupèrent sont livrées sans manipulation inattendue. Tous les SDK Inbenta disposent de cette fonctionnalité.
- Contrôles ISO 27002 et ISO 27017 : A.14.1.2, A.14.1.3
Certifications et adhésions en matière de conformité
CONFORMITÉ EN MATIÈRE DE SÉCURITÉ
Auditeurs
AENOR, le fournisseur auditeur, fait partie du réseau IQNet ASSOCIATION afin de voir la couverture globale de toutes ses certifications (ISOs mondiales) :
https://www.inbenta.com/compliance/certifications/
http://www.iqnet-certification.com/
- Contrôles ISO 27002 et ISO 27017 : A.18.2.1
ISO 9001
Inbenta est certifié ISO 9001.
ISO 27001
Inbenta est certifié ISO 27001.
ISO 27017
Inbenta est certifié ISO 27017.
ISO 27001
Inbenta est certifié ISO 27701.
ADHÉSIONS
Programme de certification en matière de protection de la vie privée
Nous avons reçu un sceau de certification signifiant que notre déclaration de confidentialité et nos pratiques ont été examinées pour s'assurer de leur conformité aux normes de l'industrie, visibles sur leur page de validation.
https://privacy.truste.com/privacy-seal/validation?rid=9b207c96-c411-409e-93d3-abf615471625
- Contrôles ISO 27002 et ISO 27017 : A.6.1.4, A.18.1.4, A.18.2.1
Cadre de protection des données
Inbenta a certifié sa conformité avec le cadre de protection des données UE-États-Unis, l'extension britannique du DPF UE-États-Unis et le cadre de protection des données Suisse-États-Unis, tels que définis par le ministère du commerce des États-Unis.
- Contrôles ISO 27002 et ISO 27017 : A.18.1.4, A.18.2.1
Politique de confidentialité
https://www.inbenta.com/compliance/privacy-policy
- Contrôles ISO 27002 et ISO 27017 : A.18.1.4
CONFORMITÉ BASÉE SUR L'INDUSTRIE
Utilisation d'Inbenta dans un environnement PCI
Inbenta n'est pas conforme à la norme PCI DSS. L'ajout d'un composant provenant d'un fournisseur qui n'est pas conforme à la norme PCI DSS sur la page de paiement par carte de crédit rendrait l'ensemble du processus de paiement non conforme à la norme PCI DSS. L'autre solution consiste à héberger ce script dans le centre de données du client et à le sécuriser à l'aide de l'intégrité des sous-ressources.
- Contrôles ISO 27002 et ISO 27017 : A.18.2.2
Relations avec les fournisseurs
POLITIQUES
Politique de sécurité de l'information pour les relations avec les fournisseurs
En ce qui concerne nos fournisseurs de services et d'infrastructures, nous appliquons une politique d'évaluation dynamique des risques en classant notre risque de comportement non conforme en fonction de notre vérification de la conformité de notre fournisseur aux normes internationales de sécurité et de confidentialité en vérifiant les certifications de leurs normes. Si le fournisseur ne fournit pas de certification valide, nous lui demandons une description détaillée des enregistrements et des contrôles obligatoires du système de gestion de la sécurité et de la confidentialité, et nous estimons que le risque est plus élevé que pour les fournisseurs qui sont certifiés. Notre politique consiste à limiter autant que possible le nombre de fournisseurs non certifiés.
- Contrôles ISO 27002 et ISO 27017 : A.15.1.1
Les exigences suivantes doivent être respectées par les contractants lors de la manipulation, de la gestion, du stockage et du traitement des informations appartenant à Inbenta Holdings Inc :
- L'accès aux actifs et aux systèmes d'information est limité au minimum nécessaire pour atteindre les objectifs de l'entreprise.
- Lorsque le besoin d'accéder aux informations, aux biens et aux systèmes d'Inbenta Holdings Inc. prend fin, toutes les informations d'Inbenta Holdings Inc. doivent être restituées à Inbenta Holdings Inc. à la fin d'un contrat.
- Inbenta Holdings Inc. peut surveiller l'utilisation de ses informations, de ses biens et de ses systèmes d'information à des fins commerciales légitimes.
- Toute personne autorisée à accéder aux informations, aux actifs informationnels et aux systèmes d'Inbenta Holdings Inc. doit se conformer aux exigences du SGSI d'Inbenta Holdings Inc. Le non-respect de ces politiques et d'autres instructions pertinentes peut constituer une rupture de contrat et entraîner une résiliation ou une action en justice.
- Le personnel du fournisseur n'entrera dans les locaux d'Inbenta Holdings Inc. qu'avec un laissez-passer de sécurité approprié délivré par Inbenta Holdings Inc. et escorté par notre personnel. Si nécessaire, ils doivent signer un accord de non-divulgation.
- La transmission d'informations entre Inbenta Holdings Inc. et un fournisseur doit être cryptée à un niveau correspondant à la classification de sécurité des informations et aux normes internationales.
Les données et informations d'Inbenta Holdings Inc. ne peuvent pas être utilisées à des fins de test, sauf autorisation de notre directeur des opérations, de notre directeur de la technologie et de notre directeur de la sécurité des systèmes d'information. En cas d'autorisation, les données et les informations à utiliser à des fins de test doivent être anonymisées, brouillées ou rendues de telle manière qu'aucune donnée ou information d'Inbenta Holdings Inc. ne puisse être reconstituée à partir de celles utilisées à des fins de test. - Les informations d'Inbenta Holdings Inc. ne peuvent être copiées par un fournisseur que dans la mesure où cela est nécessaire pour fournir un service convenu à Inbenta Holdings Inc.
- Les fournisseurs doivent mettre en place un processus de signalement des incidents de sécurité selon une norme et une conception acceptables pour Inbenta Holdings Inc. afin de garantir que tout incident impliquant des informations d'Inbenta Holdings Inc. soit immédiatement signalé à Inbenta Holdings Inc. Les fournisseurs doivent accepter d'entreprendre toute action corrective requise par Inbenta Holdings Inc. et s'assurer que cette action est mise en œuvre de manière vérifiable.
- Un fournisseur détenant des données d'Inbenta Holdings Inc. pour le compte d'Inbenta Holdings Inc. doit avoir mis en place des processus garantissant que les informations critiques d'Inbenta Holdings Inc. qu'il détient peuvent être récupérées rapidement et efficacement en cas d'urgence.
- Dans le cas où un fournisseur sous-traite à un tiers (sous forme de services ou de collaboration avec des personnes), ce fournisseur est tenu de faire ce qui suit :
- Acceptation de ce fait par Inbenta Holdings Inc.
- Informer et garantir que le tiers sous-traitant respecte les aspects liés à la politique de sécurité d'Inbenta Holdings Inc.
- Assurez-vous que le tiers ne sous-traite pas les services d'un autre.
Aborder la question de la sécurité par le biais d'accords avec les fournisseurs
Les procédures d'évaluation du niveau de sécurité de nos fournisseurs reposent sur une évaluation dynamique des risques, qui consiste à classer le risque de comportement non conforme en fonction de notre vérification de la conformité de nos fournisseurs aux normes internationales en matière de sécurité et de protection de la vie privée, en vérifiant les certifications de leurs normes. Si le fournisseur ne fournit pas de certification valide, nous lui demandons une description détaillée des enregistrements et des contrôles obligatoires du SMSI, en évaluant le risque comme étant plus élevé que pour les fournisseurs qui sont certifiés.
- Contrôles ISO 27002 et ISO 27017 : A.15.1.2
Accords de confidentialité et de non-divulgation
Tous nos fournisseurs doivent signer des engagements de confidentialité et des accords de non-divulgation (NDA) afin de protéger le secret des informations d'Inbenta et de nos clients.
- Contrôles ISO 27002 et ISO 27017 : A.13.2.4
GESTION DE LA PRESTATION DE SERVICES DES FOURNISSEURS
Suivi et examen des services des fournisseurs
Inbenta a mis en place un processus d'évaluation des fournisseurs qui implique l'examen périodique du respect des garanties de niveau de service (SLA) convenues et de la conformité aux exigences des services établis.
- Contrôles ISO 27002 et ISO 27017 : CLD.12.4.5
Chaîne d'approvisionnement en technologies de l'information et de la communication
La politique d'Inbenta est de garantir la continuité de ses services par la diversification et la redondance des fournisseurs. Nous exigeons également de nos fournisseurs des garanties concernant la disponibilité de leurs services ainsi que des politiques de redondance. Les fournisseurs de services en nuage doivent s'assurer que les niveaux de sécurité de l'information sont maintenus ou dépassés par rapport à ceux que nous avons convenus avec nos clients.
- Contrôles ISO 27002 et ISO 27017 : A.15.1.3
Traitement des IPI
Inbenta a conclu des accords de traitement des données personnelles (DPA) avec tous les fournisseurs qui proposent des services impliquant le traitement de données personnelles dont Inbenta ou nos clients sont responsables.
- Contrôles ISO 27002 et ISO 27017 : A.18.1.4
Cessation des fonctions
Inbenta demande à ses fournisseurs, et en particulier à ceux qui fournissent des services en nuage, de supprimer toutes les informations qu'ils traitent une fois que la fin du service a été convenue. Cette politique s'applique à toutes les informations traitées en vertu du service fourni, qu'elles appartiennent à Inbenta ou à nos clients.
Les principaux fournisseurs d'Inbenta sont conformes à la norme ISO-27017, ce qui signifie qu'ils sont certifiés pour le retrait des actifs des clients des services en nuage.
- Contrôles ISO 27002 et ISO 27017 : A.11.2.7, CLD.8.1.5
Séparation des environnements
Inbenta exige de ses fournisseurs, et en particulier de ceux qui fournissent des services en nuage, qu'ils garantissent la séparation des environnements virtuels de traitement de l'information. Les fournisseurs de services en nuage doivent mettre en œuvre une séparation logique appropriée des données des clients des services en nuage, des applications virtualisées, des systèmes d'exploitation, du stockage et du réseau pour la séparation des ressources utilisées par les clients des services en nuage dans des environnements multi-locataires.
Lorsque le service en nuage comporte plusieurs locataires, le fournisseur de services en nuage doit mettre en œuvre des contrôles de sécurité de l'information afin de garantir une isolation appropriée des ressources utilisées par les différents locataires.
- Contrôles ISO 27002 et ISO 27017 : CLD.9.5.1
Méthodes de sécurité supplémentaires
SENSIBILISATION À LA SÉCURITÉ
Politiques
Inbenta a élaboré un ensemble complet de politiques de sécurité couvrant la sécurité de l'information et la protection de la vie privée. Ces politiques sont partagées et mises à la disposition de tous les employés, clients et sous-traitants ayant accès aux actifs informationnels d'Inbenta. Vous pouvez demander une copie de notre politique de gestion intégrée en envoyant un courriel à compliance@inbenta.com.
- Contrôles ISO 27002 et ISO 27017 : A.5.1.1
Formation
Tous les employés DOIVENT passer une formation à la sécurité qui est dispensée lors de l'embauche et chaque année par la suite. Tous les ingénieurs reçoivent une formation annuelle sur le codage sécurisé, les meilleures pratiques en matière de sécurité et les modèles de sécurité par conception. L'équipe de sécurité fournit des mises à jour supplémentaires de sensibilisation à la sécurité par le biais d'e-mails, d'articles de blog et du wiki interne, en partageant et en mettant à jour les meilleures pratiques ainsi qu'en fournissant des présentations périodiques dans le cadre d'événements internes.
- Contrôles ISO 27002 et ISO 27017 : A.7.2.2
POLITIQUES DES EMPLOYÉS/TRAVAILLEURS
Accords de confidentialité
Tous les employés sont tenus de signer des accords de non-divulgation et de confidentialité.
L'accord contractuel d'Inbenta avec ses employés comprend l'acceptation des accords suivants : accord sur la propriété intellectuelle ; accord sur la confidentialité des informations ; code de conduite professionnel sur la sécurité de l'information et la protection de la vie privée.
- Contrôles ISO 27002 et ISO 27017 : A.7.1.2
Respect de la vie privée et protection des informations personnelles identifiables (IPI)
PRINCIPES
Finalité du traitement
Inbenta Holdings, Inc. fournit des services de communication en ligne et de recherche d'informations basés sur le langage naturel. Cela signifie que l'utilisateur peut accéder aux informations de la base de connaissances du client en écrivant et en soumettant un texte, qui est traité par Inbenta pour renvoyer la meilleure réponse.
Ce texte traité peut inclure des informations personnellement identifiables (PII), ce qui implique qu'Inbenta est le processeur de ces données pour le compte de nos clients (les contrôleurs).
Inbenta est également le contrôleur des informations que nous recueillons auprès de nos clients et de leurs employés afin de gérer les contrats et les services fournis à nos clients, de les contacter, de répondre à leurs demandes de service et de gérer leurs comptes.
- Contrôles ISO 27701 : 7.2.1
Légitimité du traitement
Le traitement des données du client est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou pour prendre des mesures à la demande de la personne concernée avant de conclure un contrat.
- Contrôles ISO 27701 : 7.2.2
Respect de la vie privée dès la conception et par défaut
Inbenta limite la collecte et le traitement des IIP au minimum pertinent, proportionnel et nécessaire pour les objectifs identifiés. Il s'agit notamment de limiter la quantité d'IPI collectées indirectement par l'organisation (par exemple, par le biais de blogs, de journaux de système, etc.)
De même, Inbenta ne conserve pas les IPI plus longtemps que nécessaire aux fins pour lesquelles elles sont traitées, comme indiqué dans les critères de conservation.
- Contrôles ISO 27701 : 7.4.1, 7.4.2
Critères de conservation
Inbenta conservera les données personnelles que nous traitons au nom de nos clients aussi longtemps que nécessaire pour fournir des services à nos clients. Inbenta conservera ces informations personnelles aussi longtemps que nécessaire pour se conformer à ses obligations légales, résoudre les litiges et faire respecter ses accords.
Sauf accord différent spécifié dans le contrat entre Inbenta et le client, les logs dans notre serveur sont conservés pendant un maximum de 100 jours et peuvent être supprimés lorsque les services sont finalisés, si le client le spécifie.
Après cette période de conservation, Inbenta supprime définitivement les données contenues dans nos bases de données, sauf dans les cas où des obligations légales ou des devoirs peuvent découler de l'exécution de la prestation du service, auquel cas une copie peut être conservée, avec les données dûment bloquées, jusqu'à la cessation de ces responsabilités ou devoirs.
- Contrôles ISO 27701 : 7.4.7
L'ORGANISATION OU LA GESTION DE LA VIE PRIVÉE
Système de gestion des informations sur la protection de la vie privée
Inbenta a mis en place un système de gestion des informations relatives à la protection de la vie privée qui garantit le respect des obligations légales, le traitement adéquat des risques pour les droits et libertés des utilisateurs, ainsi qu'un processus de révision et d'amélioration continues des politiques appliquées.
- les contrôles ISO 27701 : 5.2.4
Responsabilités
Inbenta a nommé un responsable de la protection des données personnelles chargé de contrôler les performances du système de gestion des informations relatives à la vie privée. Ses responsabilités comprennent la définition des politiques de protection des données personnelles, la vérification du respect de ces politiques, l'évaluation des risques liés au traitement des données personnelles, la détermination des mesures techniques et organisationnelles nécessaires pour atténuer les risques, la supervision de la performance des mesures concernées et l'évaluation de la conformité à la réglementation.
De même, tout le personnel d'Inbenta s'est engagé à respecter et à faire respecter les politiques et réglementations de l'entreprise en matière de protection de la vie privée.
- Contrôles ISO 27701 : 5.3.3, 6.3.1.1
Délégué à la protection des données
Inbenta a nommé un délégué à la protection des données (DPD) qui est chargé d'évaluer et de contrôler un programme de gouvernance et de protection de la vie privée à l'échelle de l'organisation, afin de garantir le respect de toutes les lois et réglementations applicables en matière de traitement des IPI.
Le DPD assure une gestion efficace des risques liés à la protection de la vie privée, participe à la gestion de toutes les questions relatives au traitement des IPI, sert de point de contact avec les autorités de contrôle, informe les cadres supérieurs et les employés de l'organisation de leurs obligations en matière de traitement des IPI et fournit des conseils sur les évaluations d'impact sur la vie privée réalisées par l'organisation.
- Contrôles ISO 27701 : 6.3.1.1
Organisation des opérations d'information et de sécurité
Au niveau de l'organisation, notre responsable de la sécurité de l'information (CISO) détient le niveau maximal d'accès à l'information et d'exécution des mesures de sécurité, suivi par nos administrateurs de système, le responsable des opérations et le responsable de la technologie.
Nous documentons et enregistrons tous les contrôles ISMS obligatoires et disposons d'un conseil de sécurité et de protection de la vie privée formé par notre PDG, notre directeur de l'exploitation, notre directeur de la technologie, notre responsable de la gestion de la qualité, notre responsable des ressources humaines et notre responsable de la sécurité des systèmes d'information, afin de surveiller et d'évaluer la sécurité des opérations et des incidents.
- Contrôles ISO 27701 : 5.3.3, 6.3.1.1
Engagement du personnel
Tous les membres du personnel d'Inbenta signent un accord contractuel par lequel ils s'engagent à respecter les politiques et obligations en matière de protection des données personnelles.
Cet accord comprend l'avertissement que la violation de ces obligations constitue un grave manque d'indiscipline ou de désobéissance au travail et, par conséquent, sera punissable.
- Contrôles ISO 27701 : 6.4.1.2
Compétence et sensibilisation
Inbenta a mis en place un programme de formation dans le cadre duquel tous les employés d'Inbenta participent à des séances de sensibilisation et de formation sur la protection de la vie privée.
À cet égard, tous les employés gèrent les informations en fonction de leurs certifications d'études et de formation, de leurs rôles et de leurs responsabilités, et ont reçu une formation sur la classification des informations et le règlement de l'UE 2016/679 (GDPR de l'UE), et ont signé un accord sur la propriété intellectuelle, ainsi qu'une déclaration de bonnes pratiques visant à prévenir les comportements non normatifs et leurs conséquences lors du traitement et du transfert d'informations.
- Contrôles ISO 27701 : 6.4.2.2
RESPONSABILITÉ DU RESPONSABLE DU TRAITEMENT ET DU SOUS-TRAITANT
Sécurité du traitement
Inbenta met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Le traitement des données personnelles est protégé par les mêmes mesures techniques que celles qui s'appliquent à toutes les informations de l'entreprise, conformément aux certifications ISO 27001 et ISO 27017.
Lors de l'évaluation du niveau de sécurité approprié, il a été tenu compte en particulier des risques présentés par le traitement, notamment la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
- Contrôles ISO 27701 : 5.6.2, 5.6.3
Sécurité des opérations
Toutes nos données sont stockées par Amazon Web Services (AWS), qui respecte les normes internationales en matière de sécurité de l'information et de protection de la vie privée. Nos régions opérationnelles en nuage sont situées aux États-Unis, en Europe, en Asie-Pacifique et en Amérique du Sud. Les certifications AWS sont disponibles ici : https://aws.amazon.com/compliance/programs/ Pour les informations au repos, les clés de cryptage sont gérées par AWS-KMS et utilisent au moins un AES256. Pour les données en transit, toutes les connexions sont cryptées selon le protocole TLS > 1.2 afin d'assurer la sécurité et la confidentialité des communications. Les protocoles, les certificats et les algorithmes de chiffrement peuvent être consultés ici : https://developers.inbenta.io/api-resources/security/regions-and-endpoints
- Contrôles ISO 27701 : 5.6.2, 5.6.3, 6.9
Pseudonymisation et cryptage des données à caractère personnel
Chaque client d'Inbenta peut contrôler la pseudonymisation des données personnelles provenant des utilisateurs finaux en utilisant la fonction Inbenta "logs obfuscator", qui pseudonymise les données avant de les stocker. Chaque client doit d'abord spécifier le type de données qu'il souhaite pseudonymiser et activer l'option correspondante. Si le client active cette option, les données personnelles des utilisateurs entrent dans notre serveur déjà pseudorandomisées. Si le client n'active pas cette option, les données personnelles des utilisateurs sont stockées sur notre serveur sans aucune anonymisation de la vie privée puisque Inbenta ne peut pas manipuler ces données.
- Contrôles ISO 27701 : 5.6.2, 5.6.3
Processeurs
Par le biais des clauses relatives au traitement de notre accord sur le traitement des données (DPA), Inbenta assume sa responsabilité en tant que responsable du traitement des données pour le compte de nos clients, ce qui est nécessaire pour fournir les services contractuels.
C'est pourquoi Inbenta offre des garanties pour :
- La confidentialité, l'intégrité, la disponibilité et la résilience permanentes des systèmes et services de traitement.
- Rétablir rapidement la disponibilité et l'accès aux données à caractère personnel en cas d'incident physique ou technique.
- Vérifier, évaluer et apprécier régulièrement l'efficacité des mesures techniques et organisationnelles mises en œuvre pour garantir la sécurité du traitement.
Cette DPA est complétée par le présent document de sécurité qui détaille les mesures techniques et organisationnelles mises en œuvre pour satisfaire aux garanties fournies.
- Contrôles ISO 27701 : 7.2.6, 8.2.1
Communication et transfert de données
Le traitement et l'utilisation des informations personnelles par Inbenta sont limités à la satisfaction des besoins de nos clients. Par conséquent, Inbenta ne transfère pas de données à des tiers non impliqués, sauf à.. :
- Les entreprises qui, en tant que responsables du traitement des données, nous fournissent des services liés à l'activité ordinaire et administrative de l'entreprise, tels que, entre autres, les services informatiques et les fournisseurs d'infrastructure, comme Amazon Web Services (AWS).
Dans ce cas, il existe des DPA avec toutes ces entreprises, fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées.
- si la loi l'exige, par exemple pour se conformer à une citation à comparaître ou à une procédure judiciaire similaire,
- lorsque nous estimons de bonne foi que la divulgation est nécessaire pour protéger nos droits, votre sécurité ou celle d'autrui, enquêter sur des fraudes ou répondre aux demandes d'un organisme public,
- si Inbenta Holdings Inc. est impliqué dans une fusion, une acquisition ou une vente de tout ou partie de ses actifs, vous serez informé par courrier électronique et/ou par un avis bien visible sur notre site Web de tout changement de propriété ou d'utilisation de vos informations personnelles, ainsi que de tout choix que vous pouvez avoir concernant vos informations personnelles,
- à tout autre tiers avec votre consentement préalable
- Contrôles ISO 27701 : 7.5, 8.5
Gestion des violations de la sécurité
Nous gérons les incidents de sécurité conformément à la procédure du GDPR de l'UE, qui stipule que dans un délai maximum de 72 heures, nous devons informer l'Agence et toutes les personnes et parties concernées de la nature, de la portée et des conséquences de l'incident.
- Contrôles ISO 27701 : 6.13.1.5
CONFORMITÉ
Politique de confidentialité
Cette politique comprend des informations sur les finalités et la légitimité des activités de traitement, les catégories de données traitées, les critères de conservation des données, les éventuelles communications ou transferts de données et la procédure permettant aux personnes intéressées d'exercer leurs droits.
- Contrôles ISO 27701 : 7.3.2, 7.3.3
Respect des lois et règlements officiels
Chaque branche d'Inbenta doit signaler à l'Agence de protection des données tout incident de violation de données dans les 72 heures. Inbenta se conforme au règlement général sur la protection des données 2016/679 de l'UE (GDPR), ainsi qu'au CCPA (États-Unis) et au LGPD (Brésil).
- Contrôles ISO 27701 : 6.15.1, 7.2.2
Transfert international de données
La fourniture de nos services peut impliquer le traitement de données à caractère personnel par des sociétés situées dans des pays en dehors de l'Espace économique européen (transferts internationaux de données). Toutefois, ce traitement ne se fera qu'avec des pays qui offrent un niveau de protection adéquat ou qui ont mis à notre disposition des clauses contractuelles types (CCN) conformément à la décision de la Commission européenne relative aux transferts de données de responsables du traitement situés dans l'UE vers des sous-traitants établis en dehors de l'UE.
En particulier, les informations que nous recueillons auprès de vous peuvent être traitées aux États-Unis, et en utilisant ces services, vous reconnaissez et consentez au traitement de vos données aux États-Unis.
Inbenta Technologies Inc. est responsable du traitement des données à caractère personnel qu'elle reçoit en vertu du cadre de protection des données UE-États-Unis et Suisse-États-Unis, et de l'extension britannique du cadre de protection des données UE-États-Unis (DPF), et qu'elle transfère ensuite à une tierce partie agissant en tant qu'agent pour son compte. Nous respectons les principes du DPF pour tous les transferts ultérieurs de données à caractère personnel en provenance de l'UE, de la Suisse et du Royaume-Uni, y compris les dispositions relatives à la responsabilité en cas de transfert ultérieur.
En ce qui concerne les obligations découlant du DPF, Inbenta Technologies Inc. est soumise aux pouvoirs d'application de la réglementation de la Commission fédérale du commerce des États-Unis. Dans certaines situations, Inbenta Technologies Inc. peut être tenu de divulguer des données personnelles en réponse à des demandes légales émanant d'autorités publiques, notamment pour répondre à des exigences en matière de sécurité nationale ou d'application de la loi.
En plus de participer au DPF, nous utilisons également les Clauses contractuelles types de l'UE publiées par la Commission européenne ainsi que l'Accord international sur le transfert de données du Royaume-Uni en tant que mesures secondaires. Si nécessaire, sur la base de nos évaluations de l'impact du transfert de données, nous mettrons en œuvre des mesures techniques et/ou organisationnelles supplémentaires destinées à protéger vos données de manière adéquate.
Nom du sous-traitant, emplacement géographique du serveur et abonnement fourni :
Nom du sous-traitant | Service Inbenta utilisant un sous-processeur | Emplacement des serveurs | Abonnement fourni |
AWS (Amazon Web Services Inc.) | - Chatbot - Messenger - Knowledge Management - Search |
En fonction du lieu où se trouvent les personnes concernées, le traitement secondaire des données a lieu dans le site AWS le plus proche : - Union européenne (Irlande) - États-Unis (Virginie) - Brésil (São Paulo) - Australie (Sydney) - Japon (Tokyo) |
Services IaaS et PaaS |
Autres pays hors UE dans le cadre des garanties internationales de transfert(https://aws.amazon.com/compliance/gdpr-center/) | Boîtier de réseau de livraison de serveur contenant des répliques de données cryptées à contrôle d'accès limité pour l'amélioration des performances | ||
Gmail (Google LLC) |
- Messager | Zone de l'Union européenne (Irlande) | Réception d'un courriel |
TURBO SMTP (Delivery Tech Corp.) |
- Messager | Zone de l'Union européenne (Italie) | Envoi de courriels |
SMTP (j2 Global, Inc.) |
- Messager | Canada (jugé adéquat par la Commission européenne) |
Envoi de courriels |
- Contrôles ISO 27701 : 7.5.2, 8.5.2