Security Policy - French
Cette Politique de Sécurité s'applique aux produits, services, sites web et applications offerts par Problem Free Limited. Nous désignons ces produits, services, sites web et applications collectivement sous le terme de « Services » dans cette Déclaration. Cette Politique de Sécurité fait également partie des accords utilisateurs pour les clients de FreeOnlineSurveys, KwikSurveys et Shout.
Sécurité des ressources humaines
Un programme de formation complète et continue est dispensé à tous les employés de Problem Free Limited afin de souligner la nécessité de protéger correctement les données cloud des clients. Nous exigeons également que nos sous-traitants fournissent une formation de sensibilisation appropriée à tous les employés concernés et qu'ils soient informés des exigences spécifiques.
Chiffrement
Les transactions entre l'utilisateur (y compris les administrateurs) et l'environnement cloud sont chiffrées par défaut en utilisant TLS 1.2+. Si les données client sont retirées d'un centre de données physiquement sécurisé, elles seront chiffrées au repos. Toutes les données envoyées entre nos serveurs de production (comme vers une base de données) ne seront communiquées que via leur propre réseau privé, réseau local virtuel privé ou via un canal chiffré.
Sécurité physique
Nos principaux serveurs de bases de données et web sont situés dans des centres de données réputés au Royaume-Uni. Nos centres de données disposent d'une sécurité sur site 24/7, d'une surveillance par CCTV et d'un contrôle d'accès par cartes-clés RF. Le centre de données possède les certifications ISO 27001 pour la gestion de la sécurité de l'information. Les sauvegardes sont chiffrées avant d'être transférées vers le cloud Amazon S3 (UE). Tous les centres de données que nous utilisons disposeront de mesures de sécurité physique appropriées.
Contrôle d'accès et journalisation
Nous utilisons le principe de « l'authentification partout » pour tous les systèmes d'administration internes. Les employés n'ont accès aux systèmes et aux données personnelles que si cela est nécessaire à l'exécution de leurs fonctions. Nous enregistrons des journaux d'audit de tout accès aux comptes clients (y compris par notre propre personnel), ainsi que des opérations importantes effectuées sur leurs comptes à des fins légales et de sécurité. L'accès des employés aux systèmes de l'entreprise sera révoqué dans les 24 heures suivant la cessation de leur emploi. Des politiques de mots de passe complexes sont appliquées. Les journaux des serveurs sont envoyés à un agrégateur de journaux externe.
Gestion des actifs
Tous les disques durs de l'entreprise sont chiffrés avec un chiffrement complet. Seuls les dispositifs correctement sécurisés par l'entreprise pourront accéder aux réseaux de l'entreprise. Les PC des employés sont tous équipés de pare-feu standard, ainsi que de logiciels anti-malware qui scannent les systèmes à la recherche de vulnérabilités au moins une fois par semaine.
Développement
Notre service est construit sur la plateforme Microsoft .NET MVC de qualité entreprise et utilise un ORM pour interagir avec la base de données des clients. Cela prévient de nombreuses vulnérabilités de sécurité courantes (telles que l'injection SQL). Nous utilisons des systèmes d'automatisation de déploiement pour déplacer le code du système de contrôle de source distribué vers des environnements de préproduction pour révision et test avant le déploiement dans l'environnement de production. Les systèmes de préproduction et de production sont toujours séparés.
Tests de vulnérabilité et gestion des correctifs
Nous effectuons périodiquement des analyses de vulnérabilité sur nos serveurs pour identifier tout problème pertinent. Les correctifs de sécurité sont régulièrement examinés et appliqués à nos serveurs lorsque cela est approprié.
Pare-feu applicatif web et proxy de sécurité
Nos serveurs sont protégés par Cloudflare qui offre une défense experte contre les attaques DDOS, un pare-feu applicatif web pour filtrer les activités suspectes ou dangereuses, bloquer les « mauvaises adresses IP/utilisateurs » connus et offrir diverses améliorations cryptographiques. Nos enquêtes et formulaires sont poussés vers leurs serveurs de périphérie pour garantir une haute performance pour les utilisateurs finaux.
Gestion des incidents de sécurité de l'information
Lorsque nous estimons qu'il est approprié d'informer le client d'un événement de sécurité de l'information (avant qu'il ne soit déterminé s'il doit être traité comme un incident), il sera relayé à l'administrateur client désigné. De même, le client peut signaler des événements de sécurité à notre service de support où ils seront enregistrés, et des mesures appropriées seront décidées. Des informations sur l'avancement de ces événements peuvent être obtenues auprès du service de support. Nous signalerons les incidents de sécurité de l'information au client lorsque nous estimons que le service ou les données du client ont été ou seront affectés.
Nous le ferons à l'administrateur client désigné ou à son suppléant dès que raisonnablement possible et nous partagerons autant d'informations sur l'impact et l'enquête de l'incident que nous jugeons appropriées pour sa résolution efficace et en temps opportun. Un gestionnaire d'incidents sera nommé dans chaque cas et agira comme point de contact Problem Free Limited pour l'incident, y compris pour les questions liées à la capture et à la préservation des preuves numériques si nécessaire. Nous priorisons les activités de gestion des incidents pour garantir que les exigences de délai du RGPD pour la notification des violations affectant les données personnelles soient respectées.
Aspects de la sécurité de l'information dans la gestion de la continuité des activités
Nos centres de données de production sont répartis dans plusieurs villes pour fournir une redondance en cas de panne généralisée. Les sauvegardes des journaux de transactions de base de données sont planifiées toutes les 15 minutes et sont automatiquement chiffrées et transférées vers le cloud de stockage Amazon S3 à distance. Des sauvegardes complètes et différentielles supplémentaires sont effectuées périodiquement et transférées de manière similaire vers le même endroit sécurisé. Le code source est stocké dans un contrôle de version distribué.