Afficher le profil de sécurité d'un produit avec AWS Marketplace Vendor Insights

Gestion des accès 3.1.1 - Authentification sécurisée - Entrée de données personnelles UserId (nécessite une attestation manuelle)

Avez-vous besoin de données personnelles (autres que le nom ou l'adresse e-mail) dans le nom d'utilisateur ?

Spécifiez si des données personnelles, autres que le nom ou l'adresse e-mail, sont requises dans le cadre de l'identifiant utilisateur. Dans l'affirmative, quelles données seront utilisées ? À quel cas d'utilisation est-il utilisé ?

Non

Gestion des accès 3.1.2 - Authentification sécurisée - L'application prend en charge l'authentification à deux facteurs (nécessite une attestation manuelle)

L'application prend-elle en charge l'authentification à deux facteurs ?

Spécifiez si l'authentification à deux facteurs peut être utilisée avec l'application. Dans l'affirmative, quels outils peuvent être utilisés ?

Oui

Gestion des accès 3.1.3 - Authentification sécurisée - Verrouillage du compte (nécessite une attestation manuelle)

Le compte du client est-il verrouillé en cas d'échec de plusieurs connexions ?

Spécifiez si le verrouillage du compte est activé en cas d'échec de plusieurs connexions. Dans l'affirmative, spécifiez le nombre d'essais après lesquels le compte sera verrouillé.

Oui. Le compte est verrouillé après 5 échecs de connexion.

Gestion des accréditations

Gestion des accès 3.2.1 - Gestion des informations d'identification - Politique de mot de passe

L'application applique-t-elle une politique stricte en matière de mots de passe ?

Spécifiez si une politique de mot de passe stricte (par exemple RequireUppercaseCharactersRequireSymbols,, ouPasswordReusePrevention) est présente.

Oui

Gestion des accès 3.2.2 - Gestion des informations d'identification - Chiffrement des mots de passe

La politique de mot de passe exige-t-elle que les informations de connexion (mot de passe et nom d'utilisateur) soient cryptées pendant le transport et hachées avec du sel lors de leur stockage ?

Spécifiez si les informations d'identification (mot de passe et ID utilisateur) sont cryptées pendant le transport et, une fois stockées, si le mot de passe est haché avec du sel. Dans l'affirmative, pouvez-vous fournir plus de détails ?

Oui, nous utilisons un code pour saler correctement.

Gestion des accès 3.2.3 - Gestion des informations d'identification - Gestion des secrets

Utilisez-vous un service de gestion des secrets ?

Spécifiez s'il existe un service de gestion des secrets en place. Dans l'affirmative, pouvez-vous fournir plus de détails ?

Oui. Toutes les informations d'identification sont stockées dans un service de gestion secret. Ils font l'objet d'une rotation périodique.

Gestion des accès 3.2.4 - Gestion des informations d'identification - Informations d'identification dans le code (nécessite une attestation manuelle)

Les informations d'identification sont-elles incluses dans le code ?

Spécifiez si les informations d'identification sont incluses dans le code. Dans l'affirmative, pouvez-vous fournir plus de détails ?

Non

Accès à l'environnement de production

Gestion des accès 3.3.1 - Accès à l'environnement de production - Authentification unique (nécessite une attestation manuelle)

Est-il SSO autorisé à accéder à l'environnement de production ?

Spécifiez s'il est SSO possible de l'utiliser avec l'application. Dans l'affirmative, à quoi sert cet outil SSO ?

Oui, Duo SSO

Gestion des accès 3.3.2 - Accès à l'environnement de production - Authentification à deux facteurs

L'authentification à deux facteurs est-elle requise pour accéder à l'environnement de production ou hébergé ?

Spécifiez si l'authentification à deux facteurs (2FA) est requise pour accéder à l'environnement de production. Si oui, quel est l'outil utilisé pour l'authentification à deux facteurs ?

Oui, Yubikey

Gestion des accès 3.3.3 - Accès à l'environnement de production - Utilisateur root (nécessite une attestation manuelle)

L'utilisateur root est-il utilisé uniquement par exception pour accéder à l'environnement de production ?

Spécifiez que l'utilisateur root n'est utilisé que par exception. Dans l'affirmative, pouvez-vous établir dans quels cas il sera utilisé ?

Oui. L'utilisateur root est utilisé uniquement à des fins de gestion des appareils. Tous ces accès sont enregistrés et surveillés.

Gestion des accès 3.3.4 - Accès à l'environnement de production - Utilisateur root MFA

L'utilisateur root a-t-il besoin d'une authentification multifactorielle (MFA) ?

Spécifiez si la connexion en tant qu'utilisateur root nécessite une authentification multifactorielle. Dans l'affirmative, à quoi sert cet outil MFA ?

Oui. Les utilisateurs root doivent l'utiliser MFA pour se connecter. Leurs informations d'identification racine sont distinctes de leurs informations d'identification professionnelles habituelles.

Gestion des accès 3.3.5 - Accès à l'environnement de production - Accès à distance

L'accès à distance à l'environnement de production est-il sécurisé à l'aide de mécanismes tels que des canaux cryptés ou une authentification par clé ?

Si l'application autorise l'accès à distance, précisez si l'accès est sécurisé (par exemple, l'authentification par clé sera-t-elle utilisée et les communications seront-elles effectuées via des canaux cryptés ?)

Oui. L'accès à distance est utilisé à des fins de gestion des appareils. Nous avons besoin MFA d'un canal cryptographique approuvé pour accéder à distance à l'environnement de production.

Gestion des accès 3.4.1 - Politique de contrôle d'accès - Accès avec le moindre privilège

Respectez-vous la politique du moindre privilège pour que les utilisateurs accèdent à l'environnement de production ?

Spécifiez si le minimum de privilèges est attribué aux utilisateurs. Si non, comment contrôlez-vous l'accès ?

Oui

Gestion des accès 3.4.2 - Politique de contrôle d'accès - Révision de la politique d'accès

Toutes les politiques d'accès de l'environnement de production sont-elles régulièrement révisées ?

Spécifiez si toutes les politiques d'accès sont révisées régulièrement. Dans l'affirmative, veuillez fournir des détails sur la fréquence à laquelle les politiques sont révisées.

Oui. Toutes les politiques d'accès sont révisées tous les 3 mois.

Gestion des accès 3.4.3 - Politique de contrôle d'accès - Configuration des utilisateurs et de la politique de sécurité (nécessite une attestation manuelle)

L'application permet-elle aux clients de configurer les utilisateurs et leurs privilèges ?

Spécifiez si les clients peuvent configurer les utilisateurs (du côté du client et du côté du fournisseur) qui auront accès à leur environnement.

Oui

Gestion des accès 3.4.4 - Politique de contrôle d'accès - Segmentation logique (nécessite une attestation manuelle)

Existe-t-il une segmentation logique des utilisateurs des applications ?

Spécifiez s'il existe une segmentation logique des utilisateurs.

Oui

Gestion des accès 3.4.5 - Politique de contrôle d'accès - Révision de l'accès en cas de résiliation

Toutes les politiques d'accès pertinentes sont-elles mises à jour en cas de licenciement ou de changement de rôle de l'employé ?

Spécifiez si les politiques d'accès sont supprimées ou mises à jour en cas de licenciement d'un employé ou de changement de rôle.

Oui

Gestion des accès 3.5.1 - Journaux d'accès

Consignez-vous les activités effectuées par des utilisateurs individuels dans l'environnement de production ?

Spécifiez si les actions et activités d'un utilisateur (employé ou client) dans un environnement de production sont enregistrées. Dans l'affirmative, pendant combien de temps les journaux sont-ils conservés ?

Oui. Les journaux sont conservés pendant un an.

Cycle de vie de développement logiciel sécurisé

Sécurité des applications 4.1.1 - Cycle de développement logiciel sécurisé - Environnement distinct

L'environnement de développement, de test et de préparation est-il distinct de l'environnement de production ?

Spécifiez si l'environnement de développement, de test et de préparation est distinct de l'environnement de production.

Oui

Sécurité des applications 4.1.2 - Cycle de développement logiciel sécurisé - Pratique de codage sécurisé

Les ingénieurs en sécurité travaillent-ils avec les développeurs sur les pratiques de sécurité ?

Spécifiez si les développeurs et l'ingénieur en sécurité travaillent ensemble sur des pratiques de codage sécurisées.

Oui

Sécurité des applications 4.1.3 - Cycle de vie sécurisé du développement logiciel - Utilisation des données client dans un environnement de test (nécessite une attestation manuelle)

Les données clients sont-elles déjà utilisées dans les environnements de test, de développement ou d'assurance qualité ?

Les données clients sont-elles déjà utilisées dans les environnements de test, de développement ou d'assurance qualité ? Dans l'affirmative, quelles sont les données utilisées et à quoi servent-elles ?

Non

Sécurité des applications 4.1.4 - Cycle de développement logiciel sécurisé - Connexion sécurisée

Est-ce queSSL/est TLS activé pour toutes les pages Web et communications utilisant les données des clients ?

Spécifiez si une connexion sécurisée (telle queSSL/TLS) est utilisée pour toutes les communications avec les données du client.

Oui

Application Security 4.1.5 - Cycle de développement logiciel sécurisé - Image Backup

Les instantanés des images de l'application sont-ils sauvegardés ?

Spécifiez si les instantanés d'image (tels que les systèmes supportant l'application et les systèmes hébergeant les données des clients) sont sauvegardés. Dans l'affirmative, existe-t-il un processus garantissant que les instantanés d'image contenant des données délimitées sont autorisés avant d'être pris ? Le contrôle d'accès est-il implémenté pour les instantanés d'image ?

Oui. Les images sont sauvegardées avec l'approbation du client et de la direction.

Sécurité des applications 4.2.1 - Révision de la sécurité des applications - Révision du code sécurisé

La révision du code sécurisé est-elle effectuée avant chaque publication ?

Spécifiez si une révision du code de sécurité est effectuée avant chaque publication.

Oui

Sécurité des applications 4.2.2 - Examen de la sécurité des applications - Test de pénétration

Des tests de pénétration sont-ils effectués ? Pouvons-nous obtenir des rapports de tests d'intrusion ?

Spécifiez si des tests de pénétration sont effectués sur l'application. Si oui, pouvez-vous partager les 3 derniers rapports sous forme de preuves manuelles ?

Oui

Sécurité des applications 4.2.3 - Examen de la sécurité des applications - Correctifs de sécurité

Tous les correctifs de sécurité à haut risque disponibles sont-ils appliqués et vérifiés régulièrement ?

Spécifiez si des correctifs de sécurité à haut risque sont appliqués régulièrement. Dans l'affirmative, à quelle fréquence sont-ils appliqués ?

Oui. Les correctifs de sécurité sont appliqués tous les mois.

Sécurité des applications 4.2.4 - Examen de la sécurité des applications - Analyses de vulnérabilité sur les applications

Des analyses de vulnérabilité sont-elles effectuées régulièrement sur toutes les applications connectées à Internet et après des modifications importantes ?

Spécifiez si des analyses de vulnérabilité sont effectuées sur toutes les applications connectées à Internet. Dans l'affirmative, à quelle fréquence les analyses de vulnérabilité sont-elles effectuées ? Pouvons-nous obtenir une copie du rapport ?

Oui. Des analyses de vulnérabilité sont effectuées tous les mois.

Sécurité des applications 4.2.5 - Examen de la sécurité des applications - Gestion des menaces et des vulnérabilités

Existe-t-il des processus pour gérer les outils d'évaluation des menaces et des vulnérabilités ainsi que les données qu'ils collectent ?

Spécifiez s'il existe des processus pour gérer les outils d'évaluation des menaces et des vulnérabilités ainsi que leurs résultats. Pourriez-vous fournir plus de détails sur la façon dont les menaces et les vulnérabilités sont gérées ?

Oui. Toutes les menaces et vulnérabilités provenant de différentes sources sont regroupées sur un seul portail. Ils sont gérés par gravité.

Sécurité des applications 4.2.6 - Examen de la sécurité des applications - Analyses anti-programmes malveillants

Une analyse anti-malware est-elle régulièrement effectuée sur le réseau et les systèmes hébergeant l'application ?

Spécifiez si une analyse anti-programme malveillant est effectuée sur le réseau et les systèmes hébergeant l'application. Si oui, à quelle fréquence est-ce fait ? Pouvez-vous fournir le rapport ?

Oui. Les analyses anti-programmes malveillants sont effectuées tous les mois.

Sécurité des applications 4.3.1 - Journaux des applications - Journaux des applications

Les journaux de candidature sont-ils collectés et examinés ?

Spécifiez si les journaux des applications sont collectés et examinés. Dans l'affirmative, pendant combien de temps les journaux sont-ils conservés ?

Oui. Les journaux sont conservés pendant un an.

Sécurité des applications 4.3.2 - Journaux des applications - Accès aux journaux

Les journaux du système d'exploitation et des applications sont-ils protégés contre les modifications, les suppressions et/ou les accès inappropriés ?

Spécifiez si les journaux du système d'exploitation et des applications sont protégés contre les modifications, les suppressions et/ou les accès inappropriés. En cas de violation ou d'incident, avez-vous mis en place des processus pour détecter la perte des journaux des applications ?

Oui

Stockez-vous les informations personnellement identifiables du client (PII) dans des journaux ?

Spécifiez si vous stockez les informations personnellement identifiables du client (PII) dans des journaux.

Non Aucune PII donnée ne sera enregistrée dans les journaux.

Sécurité des applications 4.4.1 - Politique de contrôle des modifications - Tests fonctionnels et de résilience

Des tests fonctionnels et de résilience sont-ils effectués avant de publier une modification ?

Spécifiez si des tests fonctionnels et de résilience sont effectués sur l'application avant une nouvelle version.

Oui

Sécurité des applications 4.4.2 - Politique de contrôle des modifications - Procédures de contrôle des modifications

Des procédures de contrôle des modifications sont-elles requises pour toutes les modifications apportées à l'environnement de production ?

Spécifiez si des procédures de contrôle des modifications sont en place pour toutes les modifications effectuées dans l'environnement de production.

Oui

Sécurité des applications 4.4.3 - Politique de contrôle des modifications - Évitez les erreurs humaines et les risques en production

Avez-vous mis en place un processus pour vérifier que l'erreur humaine et les risques ne se répercutent pas sur la production ?

Spécifiez qu'il existe un processus permettant de vérifier que l'erreur humaine et les risques ne se répercutent pas sur la production.

Oui

Sécurité des applications 4.4.4 - Politique de contrôle des modifications - Documenter et consigner les modifications

Documentez-vous et consignez les modifications susceptibles d'avoir un impact sur les services ?

Spécifiez si les modifications ayant un impact sur le service sont documentées et enregistrées. Dans l'affirmative, pendant combien de temps les journaux sont-ils conservés ?

Oui

Application Security 4.4.5 - Politique de contrôle des modifications - Notification des modifications pour les acheteurs (nécessite une attestation manuelle)

Existe-t-il un processus officiel pour s'assurer que les clients sont informés avant que des modifications ne soient apportées susceptibles d'avoir une incidence sur leur service ?

Spécifiez si les clients seront avertis avant d'apporter des modifications susceptibles d'avoir un impact sur leur service. Dans l'affirmative, quelles sont les mesures SLA à prendre pour informer les clients des modifications ayant un impact ?

Oui. Nous informons les clients 90 jours avant l'impact des modifications.

Certifications terminées

Audit et conformité 1.1.1 - Certifications achevées (nécessite une attestation manuelle)

Dressez la liste des certifications que vous détenez.

Spécifiez les certifications que vous détenez.

SOC2,ISO/IEC27001

Certification en cours

Audit et conformité 1.2.1 - Certification en cours (nécessite une attestation manuelle)

Répertoriez tous les certificats supplémentaires en cours d'audit ou de révision avec une date d'achèvement estimée.

Oui. PCIla certification est en cours (ETAQ2 2022).

Procédures garantissant la conformité

Audit et conformité 1.3.1 - Procédures garantissant la conformité - Procédures garantissant la conformité

Disposez-vous d'une politique ou d'une procédure garantissant le respect des exigences législatives, réglementaires et contractuelles applicables ?

Spécifiez si vous disposez d'une politique ou d'une procédure garantissant le respect des exigences législatives, réglementaires et contractuelles applicables. Dans l'affirmative, dressez la liste des détails de la procédure et téléchargez les preuves manuelles.

Oui. Nous avons téléchargé des documents tels que SOC2ISO/IEC27001.

Audit et conformité 1.3.2 - Procédures garantissant la conformité - Audits pour suivre les exigences en suspens

Des audits sont-ils effectués pour suivre les exigences réglementaires et de conformité en suspens ?

Précisez si des audits sont effectués pour suivre les exigences en suspens. Dans l'affirmative, veuillez fournir des détails.

Audit et conformité 1.3.3 - Procédures garantissant la conformité - Déviations et exceptions (nécessite une attestation manuelle)

Disposez-vous d'un processus pour gérer les écarts et les exceptions aux exigences de conformité ?

Spécifiez s'il existe un processus pour gérer les exceptions ou les écarts par rapport aux exigences de conformité. Dans l'affirmative, veuillez fournir des détails.

Oui. Nous disposons d'un journal des écarts et d'outils de signalement. Nous étudions chaque exception ou écart afin d'éviter qu'il ne se reproduise à l'avenir.

Résilience et continuité des activités 6.1.1 - Résilience des activités - Tests de basculement (nécessite une attestation manuelle)

Les tests de basculement du site sont-ils effectués au moins une fois par an ?

Spécifiez si des tests de basculement sont effectués chaque année. Dans la négative, à quelle fréquence sont-ils effectués ?

Oui

Résilience et continuité des activités 6.1.2 - Résilience des activités - Analyse de l'impact commercial (nécessite une attestation manuelle)

Une analyse de l'impact commercial a-t-elle été réalisée ?

Spécifiez si une analyse d'impact commercial a été réalisée. Dans l'affirmative, quand a-t-il été terminé pour la dernière fois ? Fournissez des détails sur l'analyse réalisée.

Oui. Une analyse d'impact commercial a été réalisée il y a 6 mois.

Résilience et continuité des activités 6.1.3 - Résilience des activités - Dépendances à l'égard de fournisseurs tiers (nécessite une attestation manuelle)

Existe-t-il des dépendances vis-à-vis de fournisseurs de services tiers essentiels (en plus d'un fournisseur de services cloud) ?

Spécifiez s'il existe une dépendance vis-à-vis de fournisseurs tiers (en plus d'un fournisseur de services cloud). Dans l'affirmative, pouvez-vous fournir des informations sur les fournisseurs ?

Non

Résilience et continuité des activités 6.1.4 - Résilience des activités - Tests de continuité et de reprise réalisés par des tiers (nécessite une attestation manuelle)

Exigez-vous que les fournisseurs tiers disposent de leurs propres processus et exercices de reprise après sinistre ?

Spécifiez si les fournisseurs tiers doivent disposer de leurs propres processus et exercices de reprise après sinistre.

Non applicable dans cet exemple.

Résilience et continuité des activités 6.1.5 - Résilience des activités - Violation de contrat par des fournisseurs tiers (nécessite une attestation manuelle)

Les contrats avec les fournisseurs de services essentiels incluent-ils une clause de pénalité ou de correction en cas de violation de la disponibilité et de la continuité. Sold and Shipped by Amazon (SSA) ?

Les clauses de pénalité ou de correction en cas de violation de la disponibilité et de la continuité sont-elles incluses dans les contrats avec des fournisseurs tiers ?

Non applicable dans cet exemple.

Résilience et continuité des activités 6.1.6 - Résilience des activités - Health du système

Disposez-vous de moniteurs ou d'alertes pour évaluer l'état du système ?

Spécifiez si des moniteurs ou des alertes sont en place pour comprendre l'état du système.

Oui

Continuité des activités

Résilience et continuité des activités 6.2.1 - Continuité des activités - Politiques/procédures de continuité des activités

Des procédures formelles de continuité des activités sont-elles élaborées et documentées ?

Précisez si des procédures formelles sont élaborées et maintenues pour assurer la continuité des activités. Dans l'affirmative, veuillez fournir plus de détails sur les procédures.

Oui

Résilience et continuité des activités 6.2.2 - Continuité des activités - Stratégies de réponse et de reprise

Des stratégies d'intervention et de rétablissement spécifiques sont-elles définies pour les activités prioritaires ?

Spécifiez si des stratégies de reprise et de réponse sont élaborées pour les activités et les services des clients.

Oui

Résilience et continuité des activités 6.2.3 - Continuité des activités - Tests de continuité des activités

Réalisez-vous des tests de restauration pour garantir la continuité des activités ?

Oui. En cas de panne, les systèmes de continuité des activités seront activés dans les 2 heures.

Résilience et continuité des activités 6.2.4 - Continuité des activités - Impact sur la disponibilité dans les environnements multi-locataires (nécessite une attestation manuelle)

Limitez-vous la capacité d'un acheteur à imposer une charge susceptible d'avoir un impact sur la disponibilité pour les autres utilisateurs de votre système ?

Spécifiez si le chargement d'un acheteur peut avoir un impact sur la disponibilité pour un autre acheteur. Dans l'affirmative, quel est le seuil jusqu'auquel il n'y aura aucun impact ? Dans la négative, pouvez-vous fournir plus de détails sur la manière dont vous vous assurez que les services ne sont pas affectés pendant les périodes de pointe et au-delà ?

Oui. Seuil non disponible pour cet échantillon.

Résilience et continuité des activités 6.3.1 - Disponibilité des applications - Registre de disponibilité (nécessite une attestation manuelle)

Y a-t-il eu des problèmes importants liés à la fiabilité ou à la disponibilité au cours de l'année écoulée ?

Précisez s'il y a eu des problèmes importants liés à la fiabilité ou à la disponibilité au cours de l'année écoulée.

Non

Résilience et continuité des activités 6.3.2 - Disponibilité des applications - Fenêtre de maintenance planifiée (nécessite une attestation manuelle)

Des temps d'arrêt sont-ils attendus lors de la maintenance planifiée ?

Spécifiez s'il existe une fenêtre de maintenance planifiée au cours de laquelle les services peuvent être indisponibles. Dans l'affirmative, quelle est la durée du temps d'arrêt ?

Non

Résilience et continuité des activités 6.3.3 - Disponibilité des applications - Portail des incidents en ligne (nécessite une attestation manuelle)

Existe-t-il un portail en ligne sur l'état de la réponse aux incidents qui décrit les interruptions planifiées et imprévues ?

Spécifiez s'il existe un portail d'état des incidents qui décrit les interruptions planifiées et imprévues. Dans l'affirmative, veuillez fournir des informations sur la manière dont le client peut y accéder. Combien de temps après la panne le portail sera-t-il mis à jour ?

Oui. Le client peut accéder aux informations via exemple.com.

Résilience et continuité des activités 6.3.4 - Disponibilité des applications - Objectif de temps de restauration (nécessite une attestation manuelle)

Existe-t-il un objectif de temps de rétablissement spécifique (RTO) ?

Spécifiez s'il existe un objectif de temps de restauration (RTO). Dans l'affirmative, pouvez-vous nous les fournir RTO ?

Oui, 2 heuresRTO.

Résilience et continuité des activités 6.3.5 - Disponibilité des applications - Objectif du point de reprise (nécessite une attestation manuelle)

Existe-t-il un objectif de point de récupération spécifique (RPO) ?

Spécifiez s'il existe un objectif de point de récupération (RPO). Dans l'affirmative, pouvez-vous nous les fournir RPO ?

Oui, une semaineRPO.

Données clients ingérées

Sécurité des données 2.1.1 - Données clients ingérées (nécessite une attestation manuelle)

Créez une liste des données dont les clients ont besoin pour le fonctionnement du produit.

Décrivez toutes les données consommées par les clients. Spécifiez si des données sensibles ou confidentielles sont consommées.

Aucune donnée sensible et confidentielle n'est consommée. Ce produit ne consomme que des informations non sensibles telles que les journaux des applications, de l'infrastructure et Services AWS. (AWS CloudTrail AWS Config, Journaux VPC de flux)

Emplacement de stockage des données

Sécurité des données 2.2.1 - Emplacement de stockage des données (nécessite une attestation manuelle)

Où sont stockées les données des clients ? Répertoriez les pays et les régions dans lesquels les données sont stockées.

Spécifiez la liste des pays et régions dans lesquels les données sont stockées.

Ohio (États-Unis), Oregon (États-Unis), Irlande (UE)

Sécurité des données 2.3.1 - Contrôle d'accès - Accès des employés (nécessite une attestation manuelle)

Les employés ont-ils accès aux données clients non cryptées ?

Spécifiez si les employés ont accès aux données clients non cryptées. Dans l'affirmative, expliquez brièvement pourquoi ils ont besoin d'un accès. Si ce n'est pas le cas, expliquez brièvement comment vous contrôlez l'accès.

Non, toutes les données sont cryptées lorsqu'elles sont stockées. Les employés n'auront pas accès aux données des clients, mais uniquement aux données relatives à leur utilisation.

Sécurité des données 2.3.2 - Contrôle d'accès - Application mobile (nécessite une attestation manuelle)

Les clients peuvent-ils accéder à leurs données via une application mobile ?

Spécifiez si les clients peuvent accéder à leurs données via une application mobile. Dans l'affirmative, veuillez fournir plus de détails. Comment les clients se connectent-ils ? Les informations d'identification sont-elles mises en cache par l'application ? À quelle fréquence les jetons sont-ils actualisés ?

Non, le service n'est pas accessible via une application mobile.

Sécurité des données 2.3.3 - Contrôle d'accès - Pays vers lesquels les données sont transmises (nécessite une attestation manuelle)

Les données des clients sont-elles transmises à des pays autres que le pays d'origine ?

Les données des clients sont-elles transmises à des pays autres que le pays d'origine ? Dans l'affirmative, spécifiez la liste des pays dans lesquels les données clients sont transmises ou reçues.

Non

Sécurité des données 2.3.4 - Contrôle d'accès - Les données sont-elles partagées avec des fournisseurs tiers (nécessite une attestation manuelle)

Les données clients sont-elles partagées avec des fournisseurs tiers (autres que les fournisseurs de services cloud) ?

Les données clients sont-elles partagées avec des fournisseurs tiers ? Dans l'affirmative, spécifiez la liste des fournisseurs tiers et leurs pays ou régions dans lesquels vous fournissez des données clients.

Non

Sécurité des données 2.3.5 - Contrôle d'accès - Politique de sécurité relative aux fournisseurs tiers

Avez-vous mis en place des politiques ou des procédures pour garantir que les fournisseurs tiers préservent la confidentialité, la disponibilité et l'intégrité des données clients ?

Spécifiez si vous avez mis en place des politiques ou des procédures garantissant que les fournisseurs tiers préservent la confidentialité, la disponibilité et l'intégrité des données clients. Dans l'affirmative, téléchargez un manuel ou un document décrivant les politiques ou les procédures.

Non applicable dans cet exemple.

Chiffrement des données

Sécurité des données 2.4.1 - Chiffrement des données - Chiffrement des données au repos

Toutes les données sont-elles cryptées au repos ?

Spécifiez si toutes les données sont cryptées au repos.

Oui

Sécurité des données 2.4.2 - Chiffrement des données - Chiffrement des données en transit

Toutes les données sont-elles cryptées en transit ?

Oui

Sécurité des données 2.4.3 - Chiffrement des données - Algorithmes puissants (nécessite une attestation manuelle)

Utilisez-vous des algorithmes de chiffrement puissants ?

Utilisez-vous des algorithmes de chiffrement puissants ? Dans l'affirmative, spécifiez quels algorithmes de chiffrement (tels que AES 256) sont utilisés. RSA

Oui. AES256 est utilisé pour chiffrer les données.

Sécurité des données 2.4.4 - Chiffrement des données - Clé de chiffrement unique (nécessite une attestation manuelle)

Les clients ont-ils la possibilité de générer une clé de chiffrement unique ?

Les clients peuvent-ils fournir ou générer leurs propres clés de chiffrement uniques ? Dans l'affirmative, veuillez fournir plus de détails et télécharger des preuves.

Oui

Sécurité des données 2.4.5 - Chiffrement des données - Accès aux clés de chiffrement (nécessite une attestation manuelle)

Les employés sont-ils empêchés d'accéder aux clés de chiffrement d'un client ?

Spécifiez si vos employés ne peuvent pas accéder aux clés de chiffrement d'un client. Si ce n'est pas le cas, expliquez pourquoi ils ont accès aux clés des clients. Dans l'affirmative, expliquez comment l'accès est contrôlé.

Oui. Les clés cryptographiques sont stockées de manière sécurisée et font l'objet d'une rotation périodique. Les employés n'ont pas accès à ces clés.

Stockage et classification des données

Sécurité des données 2.5.1 - Stockage et classification des données - Sauvegarde des données

Sauvegardez-vous les données des clients ?

Spécifiez si vous sauvegardez les données du client. Dans l'affirmative, décrivez votre politique de sauvegarde (y compris des informations sur la fréquence des sauvegardes, l'endroit où elles sont stockées, le chiffrement des sauvegardes et la redondance).

Oui, la sauvegarde est effectuée tous les trois mois. Backup est crypté et stocké dans la même région que les données du client. L'ingénieur de support du client a accès à la restauration de la sauvegarde, mais pas aux données qu'elle contient.

Sécurité des données 2.5.2 - Stockage et classification des données - Politique de contrôle d'accès aux données

Mettez-vous en œuvre des contrôles d'accès appropriés pour les données clients stockées ? Indiquez vos politiques de contrôle d'accès.

Spécifiez si des contrôles d'accès appropriés (tels queRBAC) sont mis en œuvre pour les données clients stockées. Fournissez plus de détails et des preuves manuelles sur la manière dont vous contrôlez l'accès aux données.

Oui. Les contrôles d'accès avec le moindre privilège sont mis en œuvre pour restreindre l'accès aux données des clients.

Sécurité des données 2.5.3 - Stockage et classification des données - Données relatives aux transactions (nécessite une attestation manuelle)

Les détails des transactions du client (tels que les informations de carte de paiement et les informations sur les groupes effectuant des transactions) sont-ils stockés dans une zone périmétrique ?

Spécifiez si les détails des transactions du client (tels que les informations de carte de paiement et les informations sur les groupes effectuant des transactions) seront stockés dans une zone périmétrique. Dans l'affirmative, expliquez pourquoi il doit être stocké dans la zone périmétrique.

Non

Sécurité des données 2.5.4 - Stockage et classification des données - Classification des informations

Les données clients sont-elles classées en fonction des exigences légales ou réglementaires, de la valeur commerciale et de la sensibilité aux divulgations ou modifications non autorisées ?

Spécifiez si les données client sont classées par niveau de sensibilité. Dans l'affirmative, téléchargez les preuves manuelles de cette classification.

Oui

Sécurité des données 2.5.5 - Stockage et classification des données - Segmentation des données (nécessite une attestation manuelle)

Des fonctionnalités de segmentation et de séparation des données entre les clients sont-elles fournies ?

Spécifiez si les données des différents clients sont segmentées. Si ce n'est pas le cas, expliquez les mécanismes dont vous disposez pour protéger les données contre la contamination croisée.

Oui

Sécurité des données 2.6.1 - Conservation des données (nécessite une attestation manuelle)

Combien de temps conservez-vous les données ?

Spécifiez la durée de conservation des données. Si la période de conservation varie en fonction de la classification et de la sensibilité des données, pouvez-vous fournir des détails sur chaque période de conservation ?

6 mois

Conservation des données après le désabonnement des acheteurs

Sécurité des données 2.6.2 - Conservation des données après le désabonnement du client (nécessite une attestation manuelle)

Combien de temps conservez-vous les données après la désinscription des acheteurs ?

Spécifiez la durée de conservation des données après la désinscription des clients.

3 mois

Sécurité des appareils de l'utilisateur final 7.1.1 - Inventaire des actifs/logiciels - Inventaire des actifs

La liste d'inventaire des actifs est-elle mise à jour régulièrement ?

Spécifiez si un inventaire des actifs est tenu à jour. Dans l'affirmative, à quelle fréquence est-il mis à jour ?

Oui. L'inventaire est mis à jour chaque semaine.

Sécurité des appareils de l'utilisateur final 7.1.2 - Inventaire des actifs/logiciels - Inventaire des logiciels et des applications

Toutes les plateformes logicielles et applications installées sur les systèmes concernés sont-elles inventoriées ?

Spécifiez si l'inventaire de tous les logiciels et applications installés est maintenu. Dans l'affirmative, à quelle fréquence est-il mis à jour ?

Oui. L'inventaire est mis à jour chaque semaine.

Sécurité des appareils de l'utilisateur final 7.2.1 - Sécurité des actifs - Correctifs de sécurité

Tous les correctifs de sécurité à haut risque disponibles sont-ils appliqués et vérifiés au moins une fois par mois sur tous les appareils des utilisateurs finaux ?

Spécifiez si tous les correctifs de sécurité à haut risque sont appliqués au moins une fois par mois. Dans la négative, à quelle fréquence est-il appliqué ? Pouvez-vous fournir plus de détails sur la façon dont vous gérez les correctifs ?

Oui. Nous avons une équipe de sécurité qui effectue ce processus toutes les deux semaines.

Sécurité des appareils de l'utilisateur final 7.2.2 - Sécurité des actifs - Sécurité des terminaux

Disposez-vous de la sécurité des terminaux ?

Spécifiez si la sécurité des terminaux est installée sur tous les appareils. Dans l'affirmative, pouvez-vous fournir plus de détails sur l'outil et sur la façon dont il est maintenu ?

Oui. Notre équipe de sécurité gère ce problème toutes les deux semaines à l'aide d'outils internes.

Sécurité des appareils de l'utilisateur final 7.2.3 - Sécurité des actifs - Maintenance et réparation des actifs (nécessite une attestation manuelle)

La maintenance et la réparation des actifs organisationnels sont-elles effectuées et enregistrées, à l'aide d'outils approuvés et contrôlés ?

Spécifiez si la maintenance et la réparation des actifs sont effectuées et enregistrées à l'aide d'outils contrôlés. Dans l'affirmative, pourriez-vous fournir plus de détails sur la façon dont il est géré ?

Oui. Toutes les opérations de maintenance des appareils sont enregistrées. Cette maintenance n'entraîne pas de temps d'arrêt.

Sécurité des appareils de l'utilisateur final 7.2.4 - Sécurité des actifs - Contrôle d'accès aux appareils

Le contrôle d'accès est-il activé sur les appareils ?

Spécifiez si les contrôles d'accès (tels queRBAC) sont activés sur les appareils.

Oui. L'accès avec le moindre privilège est mis en œuvre pour tous les appareils.

Sécurité des appareils de l'utilisateur final 7.3.1 - Journaux des appareils - Informations suffisantes dans les journaux (nécessite une attestation manuelle)

Les informations enregistrées dans les journaux du système d'exploitation et des appareils sont-elles suffisantes pour permettre une enquête sur les incidents ?

Spécifiez si des informations suffisantes (telles que les tentatives de connexion réussies et échouées et les modifications apportées aux paramètres de configuration et aux fichiers sensibles) sont incluses dans les journaux pour faciliter l'enquête sur les incidents. Si ce n'est pas le cas, veuillez fournir plus de détails sur la manière dont vous gérez les enquêtes sur les incidents.

Oui

Sécurité des appareils de l'utilisateur final 7.3.2 - Journaux des appareils - Accès aux journaux des appareils

Les journaux des appareils sont-ils protégés contre les modifications, les suppressions et/ou les accès inappropriés ?

Spécifiez si les journaux de l'appareil sont protégés contre les modifications, les suppressions et/ou les accès inappropriés. Dans l'affirmative, pouvez-vous fournir des détails sur la manière dont vous l'appliquez ?

Oui. Les modifications apportées aux journaux sont appliquées par le contrôle d'accès. Toutes les modifications apportées aux journaux donnent lieu à une alerte.

Sécurité des appareils de l'utilisateur final 7.3.3 - Journaux des appareils - Conservation des journaux (nécessite une attestation manuelle)

Les journaux sont-ils conservés suffisamment longtemps pour enquêter sur une attaque ?

Pendant combien de temps les journaux seront-ils conservés ?

Oui, 1 an.

Sécurité des appareils de l'utilisateur final 7.4.1 - Gestion des appareils mobiles - Programme de gestion des appareils mobiles

Existe-t-il un programme de gestion des appareils mobiles ?

Spécifiez s'il existe un programme de gestion des appareils mobiles. Dans l'affirmative, veuillez préciser quel outil est utilisé pour la gestion des appareils mobiles.

Oui. Nous utilisons des outils internes.

Sécurité des appareils de l'utilisateur final 7.4.2 - Gestion des appareils mobiles - Accès à l'environnement de production à partir d'appareils mobiles privés (nécessite une attestation manuelle)

Le personnel est-il empêché d'accéder à l'environnement de production en utilisant des appareils mobiles privés non gérés ?

Spécifiez si les employés ne peuvent pas accéder à l'environnement de production en utilisant des appareils mobiles privés non gérés. Dans la négative, comment appliquez-vous ce contrôle ?

Oui

Sécurité des appareils de l'utilisateur final 7.4.3 - Gestion des appareils mobiles - Accès aux données des clients à partir d'appareils mobiles (nécessite une attestation manuelle)

Les employés sont-ils empêchés d'utiliser des appareils mobiles privés non gérés pour consulter ou traiter les données des clients ?

Spécifiez si les employés ne peuvent pas accéder aux données des clients en utilisant des appareils mobiles non gérés. Si non, quel est le cas d'utilisation pour autoriser l'accès ? Comment contrôlez-vous l'accès ?

Oui

Ressources humaines 9.1.1 - Politique en matière de ressources humaines - Vérification des antécédents des employés

Une vérification des antécédents est-elle effectuée avant l'embauche ?

Précisez si une vérification des antécédents est effectuée pour tous les employés avant leur embauche.

Oui

Ressources humaines 9.1.2 - Politique des ressources humaines - Entente avec les employés

Un contrat de travail est-il signé avant l'embauche ?

Précisez si un contrat de travail est signé avant l'embauche.

Oui

Ressources humaines 9.1.3 - Politique des ressources humaines - Formation en matière de sécurité pour les employés

Est-ce que tous les employés suivent régulièrement des formations de sensibilisation à la sécurité ?

Précisez si les employés suivent régulièrement une formation en matière de sécurité. Dans l'affirmative, à quelle fréquence suivent-ils une formation en matière de sécurité ?

Oui. Ils suivent une formation en matière de sécurité chaque année.

Ressources humaines 9.1.4 - Politique en matière de ressources humaines - Procédure disciplinaire en cas de non-respect des politiques

Existe-t-il un processus disciplinaire en cas de non-conformité aux politiques en matière de ressources humaines ?

Précisez s'il existe une procédure disciplinaire pour non-conformité aux politiques en matière de ressources humaines.

Oui

Ressources humaines 9.1.5 - Politique en matière de ressources humaines - Vérification des antécédents des contractants/sous-traitants (nécessite une attestation manuelle)

Des vérifications des antécédents sont-elles effectuées pour les fournisseurs, sous-traitants et sous-traitants tiers ?

Spécifiez si des vérifications des antécédents sont effectuées pour les fournisseurs, sous-traitants et sous-traitants tiers. Si oui, la vérification des antécédents est-elle effectuée régulièrement ?

Oui. La vérification des antécédents est effectuée chaque année.

Ressources humaines 9.1.6 - Politique en matière de ressources humaines - Restitution des actifs en cas de cessation

Existe-t-il un processus permettant de vérifier le remboursement des actifs constitutifs en cas de résiliation ?

Précisez s'il existe un processus permettant de vérifier le retour des actifs constitutifs en cas de licenciement de l'employé.

Oui

Sécurité de l'infrastructure 8.1.1 - Sécurité physique - Accès physique aux installations

Les personnes qui ont besoin d'accéder à des actifs en personne (tels que des bâtiments, des véhicules ou du matériel) doivent-elles fournir une pièce d'identité et les informations d'identification nécessaires ?

Spécifiez si les personnes qui ont besoin d'accéder aux actifs en personne (tels que les bâtiments, les véhicules, le matériel) sont tenues de fournir une pièce d'identité et les informations d'identification nécessaires.

Oui

Sécurité de l'infrastructure 8.1.2 - Sécurité physique - Sécurité physique et contrôles environnementaux en place

La sécurité physique et les contrôles environnementaux sont-ils en place dans le centre de données et les immeubles de bureaux ?

Précisez si la sécurité physique et les contrôles environnementaux sont en place pour toutes les installations.

Oui

Sécurité de l'infrastructure 8.1.3 - Sécurité physique - Accès des visiteurs (nécessite une attestation manuelle)

Enregistrez-vous l'accès des visiteurs ?

Si les visiteurs sont autorisés à entrer dans l'établissement, les registres d'accès des visiteurs sont-ils tenus à jour ? Dans l'affirmative, pendant combien de temps les journaux sont-ils conservés ?

Oui. Les journaux seront conservés pendant un an.

Sécurité de l'infrastructure 8.2.1 - Sécurité du réseau - Désactivation des ports et services inutilisés (nécessite une attestation manuelle)

Tous les ports et services inutilisés sont-ils désactivés dans l'environnement et les systèmes de production ?

Spécifiez si tous les ports et services non utilisés sont désactivés dans l'environnement et les systèmes de production.

Oui

Sécurité de l'infrastructure 8.2.2 - Sécurité du réseau - Utilisation de pare-feux

Les pare-feux sont-ils utilisés pour isoler les systèmes critiques et sensibles dans des segments de réseau distincts des segments de réseau contenant des systèmes moins sensibles ?

Spécifiez si des pare-feux sont utilisés pour isoler les segments critiques et sensibles des segments dotés de systèmes moins sensibles.

Oui

Sécurité de l'infrastructure 8.2.3 - Sécurité du réseau - Révision des règles de pare-feu

Toutes les règles relatives aux pare-feux sont-elles régulièrement révisées et mises à jour ?

À quelle fréquence les règles de pare-feu sont-elles révisées et mises à jour ?

Oui. Les règles du pare-feu sont mises à jour tous les 3 mois.

Sécurité de l'infrastructure 8.2.4 - Sécurité du réseau - Systèmes de détection/prévention des intrusions

Les systèmes de détection et de prévention des intrusions sont-ils déployés dans toutes les zones sensibles du réseau et partout où les pare-feux sont activés ?

Spécifiez si les systèmes de détection et de prévention des intrusions sont activés dans toutes les zones sensibles du réseau.

Oui

Sécurité de l'infrastructure 8.2.5 - Sécurité du réseau - Normes de sécurité et de renforcement

Avez-vous mis en place des normes de sécurité et de renforcement pour les appareils réseau ?

Spécifiez si vous avez mis en place des normes de sécurité et de renforcement pour les périphériques réseau. Dans l'affirmative, pouvez-vous fournir plus de détails (y compris des détails sur la fréquence à laquelle ces normes sont mises en œuvre et mises à jour) ?

Oui. Les normes de sécurité et de renforcement sont mises en œuvre sur les appareils réseau tous les mois.

Sécurité de l'infrastructure 8.3.1 - Services cloud - Plateformes utilisées pour héberger l'application (nécessite une attestation manuelle)

Répertoriez les plateformes cloud que vous utilisez pour héberger votre application.

Spécifiez les plateformes cloud que vous utilisez pour héberger votre application.

AWS

Gestion des risques/Réponse aux incidents 5.1.1 - Évaluation des risques - Gérer et identifier les risques

Existe-t-il un processus officiel visant à identifier et à gérer les risques d'incidents perturbateurs pour l'organisation ?

Spécifiez s'il existe un processus permettant d'identifier et de traiter les risques à l'origine d'incidents perturbateurs pour l'organisation.

Oui

Gestion des risques/Réponse aux incidents 5.1.2 - Évaluation des risques - Processus de gestion des risques

Existe-t-il un programme ou un processus pour gérer le traitement des risques identifiés lors des évaluations ?

Précisez s'il existe un programme ou un processus pour gérer les risques et leur atténuation. Dans l'affirmative, pouvez-vous fournir plus de détails sur le processus de gestion des risques ?

Oui. Nous examinons et corrigeons régulièrement les problèmes afin de remédier aux non-conformités. Les informations suivantes sont identifiées pour tout problème affectant notre environnement :

• Détails du problème identifié

• Cause première

• Commandes de compensation

• Sévérité

• Propriétaire

• Prochaines perspectives à court terme

• La voie à suivre à long terme

Gestion des risques/Réponse aux incidents 5.1.3 - Évaluation des risques - Évaluations des risques

Les évaluations des risques sont-elles effectuées fréquemment ?

Les évaluations des risques sont-elles effectuées fréquemment ? Dans l'affirmative, précisez la fréquence des évaluations des risques.

Oui. Les évaluations des risques sont effectuées tous les 6 mois.

Gestion des risques/Réponse aux incidents 5.1.4 - Évaluation des risques - Évaluation des risques liés aux fournisseurs tiers

Des évaluations des risques sont-elles effectuées pour tous les fournisseurs tiers ?

Spécifiez si des évaluations des risques sont effectuées pour tous les fournisseurs tiers. Si oui, à quelle fréquence ?

Non applicable dans cet exemple.

Gestion des risques/Réponse aux incidents 5.1.5 - Évaluation des risques - Réévaluation des risques en cas de modification du contrat

Des évaluations des risques sont-elles effectuées en cas de modification de la prestation de services ou des contrats ?

Précisez si des évaluations des risques seront effectuées chaque fois qu'une prestation de service ou un contrat est modifié.

Non applicable dans cet exemple.

Gestion des risques/Réponse aux incidents 5.1.6 - Évaluation des risques - Accepter les risques (nécessite une attestation manuelle)

Existe-t-il un processus permettant à la direction d'accepter sciemment et objectivement les risques et d'approuver les plans d'action ?

Précisez s'il existe un processus permettant à la direction de comprendre et d'accepter les risques, et d'approuver les plans d'action et un calendrier pour résoudre un problème lié aux risques. Le processus inclut-il de fournir à la direction des informations détaillées sur les paramètres sous-jacents à chaque risque ?

Oui. Des détails sur la gravité du risque et les problèmes potentiels s'il n'est pas atténué sont fournis à la direction avant qu'elle n'approuve un risque.

Gestion des risques/Réponse aux incidents 5.1.7 - Évaluation des risques - Mesures des risques (nécessite une attestation manuelle)

Avez-vous mis en place des mesures pour définir, surveiller et communiquer les indicateurs de risque ?

Spécifiez s'il existe un processus permettant de définir, de surveiller et de signaler les indicateurs de risque.

Oui

Gestion des risques/Réponse aux incidents 5.2.1 - Gestion des incidents - Plan de réponse aux incidents

Existe-t-il un plan de réponse aux incidents officiel ?

Spécifiez s'il existe un plan de réponse aux incidents officiel.

Oui

Gestion des risques/Réponse aux incidents 5.2.2 - Gestion des incidents - Contact pour signaler les incidents de sécurité (nécessite une attestation manuelle)

Existe-t-il un processus permettant aux clients de signaler un incident de sécurité ?

Spécifiez s'il existe un processus permettant aux clients de signaler un incident de sécurité. Dans l'affirmative, comment un client peut-il signaler un incident de sécurité ?

Oui. Les clients peuvent signaler les incidents à exemple.com.

Gestion des risques/Réponse aux incidents 5.2.3 - Gestion des incidents - Signaler les incidents/principales activités

Décrivez-vous des activités clés ?

Décrivez-vous des activités clés ? À quoi sert le SLA signalement des activités clés ?

Oui. Toutes les activités clés seront signalées dans un délai d'une semaine.

Gestion des risques/Réponse aux incidents 5.2.4 - Gestion des incidents - Reprise en cas d'incident

Disposez-vous de plans de reprise après sinistre ?

Spécifiez si vous avez des plans de reprise après un incident. Dans l'affirmative, pouvez-vous nous donner des détails sur les plans de redressement ?

Oui. Après un incident, le rétablissement sera effectué dans les 24 heures.

Gestion des risques/Réponse aux incidents 5.2.5 - Gestion des incidents - Journaux mis à la disposition des acheteurs en cas d'attaque (nécessite une attestation manuelle)

En cas d'attaque, les ressources pertinentes (telles que les journaux, les rapports d'incidents ou les données) seront-elles mises à la disposition des clients ?

Les ressources pertinentes (telles que les journaux, les rapports d'incidents ou les données) liées à leur utilisation seront-elles mises à la disposition des clients en cas d'attaque ou d'incident ?

Oui

Gestion des risques/Réponse aux incidents 5.2.6 - Gestion des incidents - Bulletin de sécurité (Nécessite une attestation manuelle)

Disposez-vous d'un bulletin de sécurité qui décrit les dernières attaques et vulnérabilités affectant vos applications ?

Spécifiez si vous disposez d'un bulletin de sécurité décrivant les dernières attaques et vulnérabilités affectant vos applications. Dans l'affirmative, pouvez-vous fournir les détails ?

Oui. Les clients peuvent signaler les incidents à exemple.com.

Gestion des risques/Réponse aux incidents 5.3.1 - Détection des incidents - Journalisation complète

Existe-t-il une journalisation complète pour faciliter l'identification et l'atténuation des incidents ?

Spécifiez si la journalisation complète est activée. Identifiez les types d'événements que le système est capable de consigner. Combien de temps les journaux sont-ils conservés ?

Oui. Les événements suivants sont enregistrés : applications, appareils, Services AWS etc. AWS CloudTrail AWS Config, et journaux de VPC flux. Les journaux sont conservés pendant 1 an.

Gestion des risques/Réponse aux incidents 5.3.2 - Détection des incidents - Surveillance des journaux

Surveillez-vous les activités inhabituelles ou suspectes et lancez-vous des alertes à l'aide de mécanismes de détection tels que la surveillance des journaux ?

Spécifiez si une surveillance de sécurité et des alertes régulières sont effectuées. Dans l'affirmative, inclut-il la surveillance des journaux pour détecter les comportements inhabituels ou suspects ?

Oui. Tous les journaux sont surveillés pour détecter tout comportement inhabituel tel que plusieurs échecs de connexion, une connexion à partir d'une géolocalisation inhabituelle ou d'autres alertes suspectes.

Gestion des risques/Réponse aux incidents 5.3.3 - Détection des incidents - Violation de données par un tiers

Existe-t-il un processus permettant d'identifier, de détecter et de consigner les problèmes de sécurité, de confidentialité ou de violation de données des sous-traitants ?

Spécifiez si un processus est en place pour identifier et détecter les fournisseurs ou sous-traitants tiers en cas de violation de données, de sécurité ou de confidentialité.

Oui

SLApour la notification d'incidents

Gestion des risques/Réponse aux incidents 5.4.1 - SLA pour la notification des incidents (nécessite une attestation manuelle)

À quoi sert l'envoi SLA de notifications concernant des incidents ou des violations ?

7 jours

Politiques relatives à la sécurité de l'information

Politique de sécurité et de configuration 10.1.1 - Politiques de sécurité de l'information - Politique de sécurité de l'information

Disposez-vous d'une politique de sécurité des informations détenue et gérée par une équipe de sécurité ?

Spécifiez si vous disposez d'une politique de sécurité des informations. Si oui, partagez ou téléchargez une preuve manuelle.

Oui. Nous élaborons notre politique de sécurité sur la base d'NISTun framework.

Politique de sécurité et de configuration 10.1.2 - Politiques de sécurité de l'information - Révision des politiques

Toutes les politiques de sécurité sont-elles révisées chaque année ?

Spécifiez si les politiques de sécurité sont révisées chaque année. Dans la négative, à quelle fréquence les politiques sont-elles révisées ?

Oui. Révisé chaque année.

Politiques relatives aux configurations de sécurité

Politique de sécurité et de configuration 10.2.1 - Politiques relatives aux configurations de sécurité - Configurations de sécurité (nécessite une attestation manuelle)

Les normes de configuration de sécurité sont-elles maintenues et documentées ?

Spécifiez si toutes les normes de configuration de sécurité sont maintenues et documentées. Si oui, partagez ou téléchargez une preuve manuelle.

Oui

Politique de sécurité et de configuration 10.2.2 - Politiques relatives aux configurations de sécurité - Révision des configurations de sécurité (nécessite une attestation manuelle)

Les configurations de sécurité sont-elles révisées au moins une fois par an ?

Spécifiez si les configurations de sécurité sont révisées au moins une fois par an. Si ce n'est pas le cas, précisez la fréquence de révision.

Oui. Révisé tous les 3 mois.

Politique de sécurité et de configuration 10.2.3 - Politiques relatives aux configurations de sécurité - Modifications apportées aux configurations

Les modifications apportées aux configurations sont-elles enregistrées ?

Spécifiez si les modifications de configuration sont enregistrées. Dans l'affirmative, pendant combien de temps les journaux sont-ils conservés ?

Oui. Toutes les modifications apportées aux configurations sont surveillées et enregistrées. Des alertes sont déclenchées lorsque les configurations sont modifiées. Les journaux sont conservés pendant 6 mois.