Mesures techniques et organisationnelles de sécurité de l’information de Jedox
Ce document est un aperçu de haut niveau des mesures techniques et organisationnelles de sécurité de l’information mises en place par Jedox afin de protéger les données personnelles et d’en assurer la confidentialité, l’intégrité et la disponibilité.
Les mesures de sécurité de l’information de Jedox ont été créées conformément à la norme ISO/IEC 27001:2013, aux principes SOC 2 et au Règlement général sur la protection des données de l’Union européenne (EU GDPR).
- ISO/IEC 27001:2013 est une norme internationale qui spécifie les exigences pour l’établissement, la mise en œuvre, le maintien et l’amélioration continue d’un SMSI, y compris l’évaluation et le traitement des risques de sécurité de l’information.
- Le rapport SOC II de type 2 fournit des preuves de la manière dont une organisation a mis en œuvre ses contrôles sur une période donnée, en fonction des règles des services de confiance.
- EU GDPR est un règlement de la législation européenne sur la protection des données et de la vie privée pour tous les individus, au sein de l’Union Européenne. Il traite également de l’exportation des données personnelles en dehors de l’UE.
Jedox peut entreprendre de modifier ces mesures à tout moment en fonction de la détermination des risques. Cela peut signifier que des mesures individuelles soient remplacées par de nouvelles mesures qui servent le même objectif mais ne diminuent pas le niveau de sécurité.
1. Sécurité de l’information :
Objectif :
Décrire les mesures de sécurité de l’information prises au sein de Jedox afin de démontrer son engagement à gérer l’évaluation et le traitement de ces risques et à améliorer continuellement sa sécurité de l’information.
Mesures :
- Jedox a déployé un SMSI afin de gérer la sécurité de l’information de manière professionnelle sur la base des mesures ISO/IEC 27001:2013, et est parrainé pour ce faire par son Conseil Exécutif. Le SGSI de Jedox a été certifié et continue d’être audité sur une base annuelle par un auditeur externe indépendant.
- Jedox emploie à temps plein des spécialistes responsables de la sécurité de l’information.
- Jedox dispose d’un ensemble complet de politiques et de processus de sécurité de l’information qui sont diffusés à tous ses employés après approbation de la direction générale.
- Tous les employés doivent signer une déclaration d’engagement confirmant qu’ils ont bien lu et compris les politiques de sécurité de l’information et qu’ils s’engagent à adhérer aux mesures mises en place.
- Des sessions de sensibilisation à la sécurité de l’information sont organisées chaque année pour tous les employés.
- Jedox s’assure que ses fournisseurs et ses partenaires ont mis en place des mesures de sécurité de l’information appropriées et se réserve le “droit d’auditer” leurs mesures de sécurité de l’information au moins une fois par an.
- Jedox dispose d’un processus de gestion des changements qui prend en compte les implications en matière de sécurité lors de l’introduction de changements dans les systèmes existants ou lors de la mise en place de nouveaux systèmes.
- Le processus de gestion des risques de Jedox comprend la gestion des risques liés aux fournisseurs et la gestion des risques liés aux systèmes informatiques.
- Les exigences légales de Jedox imposent à ses clients et à ses fournisseurs/partenaires de signer des accords de confidentialité et des accords de traitement des données (DPA). Le DPA garantit la protection des données, le respect de la vie privée et la confidentialité des informations personnelles identifiables d’un individu.
- Jedox effectue régulièrement des audits internes et externes de ses pratiques de sécurité.
- Jedox s’assure que tous ses employés connaissent et respectent les mesures techniques et organisationnelles énoncées dans ce document.
2. Contrôle d’accès
Objectif(s) :
S’assurer que les systèmes contenant des données ne sont utilisés que par des utilisateurs autorisés et authentifiés.
Protéger les actifs physiques qui contiennent des données.
S’assurer que seules les personnes habilitées à utiliser les systèmes accèdent uniquement aux données auxquelles elles sont autorisées à accéder.
Mesures :
- Les utilisateurs internes de Jedox ont accès aux systèmes informatiques en fonction de leur profil de rôle.
- Tous les accès aux systèmes informatiques sont basés sur le principe du moindre privilège et du besoin d’en connaitre ou “besoin de savoir”.
- Les utilisateurs externes qui ont besoin d’accéder aux systèmes de Jedox ne sont autorisés à le faire qu’après avoir reçu l’approbation du cadre supérieur compétent.
- Les utilisateurs externes n’auront accès aux systèmes informatiques de Jedox que lorsque tous les documents contractuels auront été signés.
- Les utilisateurs externes ne reçoivent un accès que sur la base de leur profil de rôle. et sont clairement identifiables dans les systèmes informatiques comme étant externes.
- Le processus de gestion des accès ne permet que des demandes d’accès présentées par des cadres supérieurs.
- Tous les utilisateurs accèdent aux systèmes informatiques de Jedox avec un identifiant unique (ID utilisateur).
- Le contrôle des mots de passe de Jedox exige une complexité desdits mots de passe respectant la méthodologie des caractères alphanumériques et spéciaux.
- Jedox dispose d’une procédure complète pour désactiver leur identité et leur accès lorsqu’un utilisateur quitte l’entreprise ou change de fonction.
- Jedox procède à des révisions régulières des droits d’accès des utilisateurs et des permissions des rôles en fonction de l’évaluation des risques de chaque système informatique.
- Les contrôles d’accès physiques de Jedox ne permettent d’y pénétrer qu’aux seules personnes autorisées.
- Le processus de visite de Jedox pour toute personne n’appartenant pas à son personnel et pénétrant dans ses locaux, exige que ces personnes soient enregistrées entrantes/sortantes et escortées à tout moment par leur accompagnateur.
- Jedox classifie toutes les informations, garantissant ainsi leur confidentialité et intégrité. Seuls les publics autorisés peuvent consulter les informations en fonction de leur classification.
3. Contrôle de Système
Objective :
Décrire les mesures de sécurité de l’information au sein de Jedox pour démontrer l’engagement à gérer le traitement des risques du système et à améliorer continuellement sa sécurité de l’information.
Measures:
- Jedox a un processus formel de développement de produits qui utilise un cycle de vie de développement sécurisé (SDLC), lequel comprend un large éventail de tests de sécurité et de rapports sur les failles. Tout changement est soumis à une assurance qualité et à des tests avant sa mise en œuvre.
- Jedox dispose d’un dépôt central et sécurisé du code source du produit, qui n’est accessible qu’aux personnels autorisés.
- Les tâches entre les environnements de test et de production sont séparées.
- Une restauration des sauvegardes est effectuée sur tous les systèmes informatiques.
- Jedox dispose d’un référentiel d’actifs détaillant la propriété des systèmes et l’évaluation du risque pour chaque système.
- Jedox installe un logiciel anti-virus sur tous les appareils utilisés.
4. Confidentialité, intégrité et disponibilité
Objectif(s) :
S’assurer que les données restent confidentielles tout au long du traitement et demeurent intactes, complètes et actuelles durant toutes les activités de traitement.
S’assurer que les données soient protégées contre la destruction ou la perte accidentelle, et qu’il y ait, en temps utile, restauration ou disponibilité en cas d’incident de service.
Mesures :
- Tous les employés de Jedox doivent signer des accords de confidentialité qui sont inclus dans leurs accords contractuels.
- Tous les fournisseurs et partenaires de Jedox doivent signer des accords contractuels qui incluent des exigences de confidentialité et de protection des données.
- Jedox restreint l’accès aux fichiers et programmes sur la base du besoin d’en connaître ou “besoin de savoir”.
- Jedox a mis en place un système d’enregistrement, de surveillance et d’alerte afin d’identifier toute tentative d’accès indésirable à l’environnement Jedox. Ces tentatives, lorsqu’elles sont détectées, sont traitées en conséquence.
- Les centres de données locaux sont dotés de plans de continuité des activités et de secours, en cas de catastrophe.
- Une politique de conservation des documents garantit que les données requises soient conservées ou supprimées, conformément à la classification des informations et aux réglementations juridictionnelles.
- Les processus de protection des données de Jedox comprennent le “droit à l’oubli”, le “droit à la modification”, le “droit à la confidentialité” et le “droit à la vie privée”.
5. Cloud Client
Objectif(s) :
Décrire les mesures prises qui démontrent l’engagement à gérer l’environnement cloud du client.
S’assurer que les Données du Client ne sont pas lues, copiées, modifiées ou supprimées par des parties non autorisées pendant le transfert/stockage. S’assurer que les données de chaque client sont traitées séparément.
Mesures :
- Jedox utilise la séparation logique au sein de son architecture à locataire unique afin d’appliquer la séparation des données entre les clients. Chaque client dispose de son propre URL qui est créé en HTTPS. Chaque utilisateur client reçoit des identifiants uniques.
- Jedox fournit des machines virtuelles (VM) distinctes par client, de sorte qu’aucune base de données n’est partagée.
- Toutes les données des clients sont cryptées en transit, comme au repos.
- Les données attribuées aux clients sont supprimées lorsqu’elles ne sont plus nécessaires.
- Les clients peuvent choisir un emplacement géographique pour le stockage de leurs données.
- Jedox peut fournir un Active Directory (AD) fédéré.
- Toutes les données des clients sont traitées de manière confidentielle, et seules les personnes autorisées peuvent consulter ces informations, uniquement sur la base du besoin d’en connaître ou “besoin de savoir”. En principe, Jedox n’accède pas aux données des clients et lorsque l’accès est nécessaire pour faire fonctionner le service ou pour aider un client à résoudre un problème, la demande d’accès doit être formellement justifiée et approuvée par ledit client. Le client peut suivre l’évolution de la situation via son portail de support.
- Les tâches entre les environnements de test et de production sont séparées.
- La sauvegarde et la restauration sont disponibles pour les environnements en cloud.
6. Gestion des incidents
Objectif :
En cas d’incident de sécurité ou de violation de données, s’assurer que l’effet de l’incident de sécurité ou de la violation de données est minimisé et que les parties concernées en sont rapidement informées.
Mesures :
- Jedox maintient un processus de gestion des incidents à jour qui comprend les responsabilités, la façon dont les événements de sécurité de l’information sont évalués, classés et traités.
- La politique de Jedox en matière de violation de données définit la manière dont elle est évaluée, classée, traitée, les responsabilités et les personnes à notifier à l’extérieur de l’entreprise. Les clients et les autorités compétentes seront notifiés sans délai excessif après qu’il ait été confirmé qu’une violation de données s’est produite.