Données et gestion des abonnés
PowerDMARC limite l'accès de son personnel aux données des abonnés comme suit :
- Exige une autorisation d'accès unique de l'utilisateur par le biais de logins et de mots de passe sécurisés, y compris une authentification multifactorielle pour l'accès de l'administrateur de l'hébergement en nuage ;
- Limite les données des abonnés disponibles au personnel de PowerDMARC sur une base de "besoin de savoir" ;
- Restreint l'accès à l'environnement de production de PowerDMARC par le personnel de PowerDMARC sur la base des besoins de l'entreprise ;
- Chiffrer les justificatifs de sécurité des utilisateurs pour l'accès à la production ; et
- Interdit au personnel de PowerDMARC de stocker les données des abonnés sur des dispositifs de stockage électroniques portables tels que les ordinateurs portables, les lecteurs portables et autres dispositifs similaires.
- PowerDMARC sépare logiquement les données de chacun de ses abonnés et maintient des mesures conçues pour empêcher que les données des abonnés soient exposées ou accessibles à d'autres clients.
Cryptage des données
PowerDMARC fournit un cryptage standard de l'industrie pour les données des abonnés comme suit :
- Met en œuvre le cryptage en cours de transport et au repos ;
- utilise des méthodes de chiffrement fort pour protéger les données des abonnés, notamment le chiffrement AES 256 bits pour les données des abonnés stockées dans l'environnement de production de PowerDMARC ; et
- Crypte toutes les données des abonnés situées dans le stockage en nuage lorsqu'elles sont au repos.
Sécurité des réseaux, sécurité physique et contrôles environnementaux
- PowerDMARC utilise des pare-feu, des contrôles d'accès au réseau et d'autres techniques conçues pour empêcher tout accès non autorisé aux systèmes traitant les données des abonnés.
- PowerDMARC maintient des mesures conçues pour évaluer, tester et appliquer des correctifs de sécurité à tous les systèmes et applications pertinents utilisés pour fournir les services.
- PowerDMARC surveille l'accès privilégié aux applications qui traitent les données des abonnés, y compris les services en nuage.
- Les Services fonctionnent sur Amazon Web Services ("AWS") et Heroku et sont protégés par les contrôles de sécurité et environnementaux d'Amazon. Des informations détaillées sur la sécurité d'AWS sont disponibles sur https://aws.amazon.com/security/ et http://aws.amazon.com/security/sharing-the-security-responsibility/. Pour les rapports SOC d'AWS, veuillez consulter https://aws.amazon.com/compliance/soc-faqs/.
- Les données des abonnés stockées dans les SSFE sont cryptées à tout moment. Les services d'aide à l'enfance et à la famille n'ont pas accès aux données non cryptées des abonnés.
Réponse aux incidents
Si PowerDMARC a connaissance d'un accès non autorisé ou d'une divulgation de données d'abonnés sous son contrôle (une "violation"), PowerDMARC s'engage :
- Prendre des mesures raisonnables pour atténuer les effets néfastes de la violation et empêcher tout autre accès ou divulgation non autorisé.
- Dès confirmation de la violation, notifier le client par écrit de la violation sans délai excessif. Nonobstant ce qui précède, PowerDMARC n'est pas tenu de faire cette notification dans la mesure où les lois applicables l'interdisent, et PowerDMARC peut retarder cette notification à la demande des forces de l'ordre et/ou à la lumière des besoins légitimes de PowerDMARC d'enquêter ou de remédier au problème avant de fournir la notification.
Chaque notification de violation comprendra les éléments suivants
- La mesure dans laquelle les données des abonnés ont été, ou sont raisonnablement susceptibles d'avoir été, utilisées, consultées, acquises ou divulguées pendant la violation ;
- Une description de ce qui s'est passé, y compris la date de la violation et la date de découverte de la violation, si elle est connue ;
- L'étendue de la violation, dans la mesure où elle est connue ; et
- Une description de la réponse de PowerDMARC à la violation, y compris les mesures prises par PowerDMARC pour atténuer le préjudice causé par la violation.
Gestion des communautés d'affaires
- PowerDMARC maintient un plan approprié de continuité des activités et de reprise après sinistre.
- PowerDMARC maintient des processus pour assurer la redondance de ses systèmes, réseaux et stockage de données.
Gestion du personnel
- PowerDMARC effectue une vérification de l'emploi, y compris une validation de la preuve d'identité et une vérification des antécédents criminels pour tous les nouveaux employés, conformément à la loi applicable.
- PowerDMARC fournit une formation à son personnel qui est impliqué dans le traitement des données des abonnés pour s'assurer qu'ils ne collectent pas, ne traitent pas ou n'utilisent pas les données des abonnés sans autorisation et qu'ils gardent les données des abonnés confidentielles, y compris après la fin de tout rôle impliquant les données des abonnés.
- PowerDMARC effectue une surveillance régulière et aléatoire de l'activité des systèmes des employés.
- Lors du départ d'un employé, qu'il soit volontaire ou involontaire, PowerDMARC désactive immédiatement tout accès aux systèmes de PowerDMARC.
- PowerDMARC organise une formation annuelle de sensibilisation à la sécurité de l'information et un briefing continu pour ses employés.
Contact
- Si vous avez des questions sur cette politique, veuillez nous contacter à l'adresse [email protected]
Dernière mise à jour : 10 mai 2020
