SÉCURITÉ, CONFIDENTIALITÉ et confidentialité

Notre approche la meilleure de sa catégorie en matière de sécurité technologique signifie que vous pouvez rester tranquille et vous concentrer sur le renforcement de votre culture en milieu de travail

‍

Sécurité des données

Nos politiques, processus et pratiques de sécurité des données sont étanches. Tous les systèmes et les solutions sont conçus et sélectionnés sous l’angle de la sécurité et de la confidentialité. Nous effectuons des vérifications internes et externes pour valider la sécurité de nos contrôles, processus, pratiques, politiques et outils de notre mode logiciel-service partagé (livré par le Web et les applications mobiles). Pour protéger nos données client, nous comptons sur un logiciel de pointe et une infrastructure démilitarisée matérielle avec pare-feu, tant au niveau de l’infrastructure Internet que de l’infrastructure interne des systèmes. Aucune information de nature sensible n’est stockée sur les serveurs Web.  

Protections vérifiées au niveau de l’entreprise

Nous subissons régulièrement des tests trimestriels de vulnérabilité et de pénétration par des tiers, ainsi que de nombreux audits sur site par certains des plus grands entrepreneurs de défense du monde et des organisations mondiales de services financiers et avons été jugés conformes à leurs normes ainsi qu’à d’autres réglementations de l’industrie. Culture Cloud suit les directives NIST CSF et NIST SP-800-53A, que nous utilisons pour faire une marche croisée vers les contrôles ISO par réciprocité. Les contrôles sont validés par nos rapports SOC 2, Type III et sont conformes à la norme PCI DSS v3.2.

Temps de disponibilité du système et livraison des données

Le système est extensible horizontalement (par l’ajout de serveurs ou d’instances d’application) sans interruption; généralement derrière un répartiteur de charges. Nous pouvons également profiter de l’extension verticale vers du matériel plus puissant et avons déjà optimisé notre puissance de traitement selon nos charges de pointe. Pour les services directement liés à nos solutions de reconnaissance des employés, nous fonctionnons à partir d’un nuage privé avec suivi de la performance du système et maintenance continue. Les systèmes frontaux qui prennent en charge notre solution logiciel-service ont recours à des fournisseurs de services nuagiques conformes aux normes de l’industrie.

Accès sécurisé et mesures de protection

O.C. Tanner permet l’authentification unique à l’aide d’un accès SAML 2.0 ou fédéré, avec configuration basée sur les besoins des clients. Si le client utilise l’authentification unique fédérée, nos règles s’harmonisent aux siennes. Ce type d’authentification permet l’accès au système de O.C. Tanner à partir de la pile technologique d’une entreprise, sans ouverture de session additionnelle. Nos interfaces de programmation REST sont en format JSON pour les paramètres de données et nous utilisons le protocole d’authentification Auth2. Notre logiciel-système fonctionne comme un environnement Web à trois niveaux, avec pare-feu en amont des serveurs ainsi qu’entre les serveurs Web et les serveurs d’application. Les systèmes de détection d’intrusions ou de prévention d’intrusions (IDS/IPS) surveillent le trafic sur toutes les frontières Internet. Toutes les applications Web client doivent utiliser un cryptage TLSv1.2 ou supérieur sur toutes les pages où de l’information sensible pourrait être affichée ou saisie. Toutes les données de production et de sauvegarde sont cryptées au repos avec chiffrement AES 256 bits. Lorsque possible, le cryptage est matériel. Ces normes de transmission et de cryptage des données s’appliquent aux systèmes hébergés dans les centres de données O.C. Tanner, ainsi que par les fournisseurs de services nuagiques.

Confidentialité et contrôle des données

Notre équipe de direction de la sécurité de l’information peut attester avec assurance que les engagements de service et les exigences du système d’O.C. Tanner ont été atteints en fonction des critères de service de confiance applicables en matière de confidentialité, de sécurité et de confidentialité ont été respectés dans tous les aspects importants de nos opérations de produits. Nous offrons un rapport SOC 2 Type III pour toutes les parties intéressées.

Conformité mondiale

Nous nous conformons à toutes les lois applicables et aux règlements de l’industrie. O.C. Tanner a mis en place un cadre pour suivre et répondre aux droits individuels de divulgation et de suppression conférés aux personnes en vertu des règlements régionaux, d’état, fédéraux et internationaux sur la protection des renseignements personnels. Nous relevons les données liées aux personnes à l’échelle de divers systèmes et plateformes et transmettons ces données dans un format assimilable par machine. Nous avons étudié l’application de ces exigences réglementaires sur la protection des renseignements personnels au sein de nos systèmes de technologie de l’information qui gèrent les renseignements personnels. Nos procédures et pratiques de sécurité sont constamment revues et mises à jour pour qu’elles s’adaptent à la nature des renseignements protégés.