SÉCURITÉ, VIE PRIVÉE et confidentialité

Notre approche de la sécurité technologique, la meilleure de sa catégorie, vous permet de vous concentrer sur le développement de votre culture d'entreprise.

‍

Sécurité des données

Nos politiques, processus et pratiques en matière de sécurité des données sont hermétiques - tous les systèmes et solutions sont conçus et sélectionnés en tenant compte de la sécurité et de la protection de la vie privée. Nous utilisons des audits internes et externes pour valider la sécurité de nos contrôles, processus, pratiques, politiques et outils de notre mode SaaS multi-tenant (fourni via des applications web et mobiles). Pour protéger les données de nos clients, nous utilisons des logiciels et du matériel de pointe pour l'infrastructure DMZ avec des pare-feux, à la fois pour les infrastructures orientées vers l'internet et les systèmes internes. Aucune information sensible n'est stockée sur les serveurs web, jamais.  

Des protections vérifiées au niveau de l'entreprise

Nous sommes régulièrement soumis à des tests de vulnérabilité trimestriels et annuels effectués par des tiers, ainsi qu'à de nombreux audits sur site réalisés par certains des plus grands entrepreneurs du secteur de la défense et des organisations mondiales de services financiers, et nous avons été jugés conformes à leurs normes ainsi qu'à d'autres réglementations sectorielles. Culture Cloud suit les lignes directrices NIST CSF et NIST SP-800-53A, que nous utilisons pour établir une correspondance avec les contrôles ISO par le biais de la réciprocité. Les contrôles sont validés par nos rapports SOC 2, Type III et sont conformes à PCI DSS v3.2.

Temps de fonctionnement du système et livraison des données

Le système peut être étendu horizontalement (en ajoutant des serveurs ou des instances d'applications) sans temps d'arrêt - généralement derrière un équilibreur de charge. Nous pouvons faire de même pour évoluer verticalement vers du matériel plus puissant et nous avons déjà optimisé notre puissance de traitement sur la base des pics de charge historiques. Pour les services directement liés à nos solutions de reconnaissance des employés, nous opérons à partir d'un nuage privé avec une surveillance des performances du système et une maintenance continue. Les systèmes frontaux qui soutiennent notre solution SaaS s'appuient sur des fournisseurs de cloud standard.

Accès sécurisé et garanties

O.C. Tanner permet l'authentification unique à l'aide de SAML 2.0 ou d'une connexion fédérée, configurable en fonction des besoins du client. Si le client utilise un SSO fédéré, nos règles adhéreront aux vôtres. Cela permet d'accéder au système d'O.C. Tanner à partir de la pile technologique d'une entreprise sans connexion supplémentaire. Nos API de repos sont au format JSON pour les paramètres de données et Auth2 est utilisé pour l'authentification. Notre SaaS fonctionne comme un environnement web à trois niveaux, avec des pare-feu devant les serveurs web et entre les serveurs web et les serveurs d'application. Le système IDS/IPS surveille le trafic à toutes les frontières de l'internet. Toutes les applications web destinées aux clients doivent utiliser le cryptage TLSv1.2 ou supérieur pour toutes les pages où des informations sensibles peuvent être affichées ou saisies. Toutes les données de production et de sauvegarde sont cryptées au repos à l'aide d'AES 256 bits. Dans la mesure du possible, le cryptage est basé sur le matériel. Ces normes de transmission et de cryptage des données s'appliquent aux systèmes hébergés dans les centres de données d'O.C. Tanner, ainsi que par les fournisseurs de services en nuage sous contrat.

Confidentialité des données et contrôles

Notre équipe de direction de la sécurité de l'information peut attester avec assurance que les engagements de service d'O.C. Tanner et les exigences du système réalisées sur la base des critères de service de confiance applicables pour la vie privée, la sécurité et la confidentialité ont été respectés dans tous les aspects matériels de nos opérations de produits. Nous proposons un rapport SOC 2 de type III à toutes les parties intéressées.

Conformité mondiale

Nous respectons toutes les lois et réglementations industrielles applicables. O.C. Tanner dispose d'un cadre établi pour suivre et répondre aux droits individuels de divulgation et de suppression accordés aux individus en vertu des réglementations régionales, étatiques, fédérales et internationales applicables en matière de protection de la vie privée. Nous identifions les données relatives aux individus dans divers systèmes et plateformes et fournissons ces données dans un format lisible par machine. Nous avons pris en compte l'application de ces exigences réglementaires en matière de protection de la vie privée dans nos systèmes de technologie de l'information qui traitent les informations personnelles. Nos procédures et pratiques de sécurité sont continuellement révisées et mises à jour afin d'être adaptées à la nature des informations protégées.