Sécurité des données

Nos politiques, processus et pratiques de sécurité des données sont étanches. Tous les systèmes et les solutions sont conçus et sélectionnés sous l’angle de la sécurité et de la confidentialité. Nous effectuons des vérifications internes et externes pour valider la sécurité de nos contrôles, processus, pratiques, politiques et outils de notre mode logiciel-service partagé (livré par le Web et les applications mobiles). Pour protéger nos données client, nous comptons sur un logiciel de pointe et une infrastructure démilitarisée matérielle avec pare-feu, tant au niveau de l’infrastructure Internet que de l’infrastructure interne des systèmes. Aucune information de nature sensible n’est stockée sur les serveurs Web.  

Protections vérifiées au niveau de l’entreprise

Nous sommes régulièrement soumis à des tests indépendants de vulnérabilité (trimestriels) et de pénétration (annuels), ainsi qu’à de nombreuses vérifications sur place par certaines des plus grandes entreprises de défense et organisations de services financiers mondiaux et nous sommes réputés être conformes à leurs normes et à toute autre réglementation de l’industrie. Culture Cloud suit les lignes directrices NIST CSF et NIST SP-800-53A qui servent à établir le lien aux contrôles ISO par la réciprocité. Les contrôles sont validés à l’aide des rapports SOC 2, Type II et sont certifiés conformes à la norme PCI DSS v3.2.

Temps de disponibilité du système et livraison des données

Le système est extensible horizontalement (par l’ajout de serveurs ou d’instances d’application) sans interruption; généralement derrière un répartiteur de charges. Nous pouvons également profiter de l’extension verticale vers du matériel plus puissant et avons déjà optimisé notre puissance de traitement selon nos charges de pointe. Pour les services directement liés à nos solutions de reconnaissance des employés, nous fonctionnons à partir d’un nuage privé avec suivi de la performance du système et maintenance continue. Les systèmes frontaux qui prennent en charge notre solution logiciel-service ont recours à des fournisseurs de services nuagiques conformes aux normes de l’industrie.

Accès sécurisé et mesures de protection

O.C. Tanner permet l’authentification unique à l’aide d’un accès SAML 2.0 ou fédéré, avec configuration basée sur les besoins des clients. Si le client utilise l’authentification unique fédérée, nos règles s’harmonisent aux siennes. Ce type d’authentification permet l’accès au système de O.C. Tanner à partir de la pile technologique d’une entreprise, sans ouverture de session additionnelle. Nos interfaces de programmation REST sont en format JSON pour les paramètres de données et nous utilisons le protocole d’authentification Auth2. Notre logiciel-système fonctionne comme un environnement Web à trois niveaux, avec pare-feu en amont des serveurs ainsi qu’entre les serveurs Web et les serveurs d’application. Les systèmes de détection d’intrusions ou de prévention d’intrusions (IDS/IPS) surveillent le trafic sur toutes les frontières Internet. Toutes les applications Web client doivent utiliser un cryptage TLSv1.2 ou supérieur sur toutes les pages où de l’information sensible pourrait être affichée ou saisie. Toutes les données de production et de sauvegarde sont cryptées au repos avec chiffrement AES 256 bits. Lorsque possible, le cryptage est matériel. Ces normes de transmission et de cryptage des données s’appliquent aux systèmes hébergés dans les centres de données O.C. Tanner, ainsi que par les fournisseurs de services nuagiques.

Confidentialité et contrôle des données

Notre programme de gouvernance d’entreprise observe les exigences réglementaires internationales pertinentes à nos activités. O.C. Tanner tient compte du contexte évolutif des lois sur la sécurité des données et la confidentialité, démontrant sa capacité d’adaptation aux lois et aux meilleures pratiques en la matière. Un tiers indépendant valide et certifie nos politiques, pratiques et outils. Nous sommes certifiés SOC 2, Type II.

Conformité mondiale

Nous nous conformons à toutes les lois applicables et aux règlements de l’industrie. O.C. Tanner a mis en place un cadre pour suivre et répondre aux droits individuels de divulgation et de suppression conférés aux personnes en vertu des règlements régionaux, d’état, fédéraux et internationaux sur la protection des renseignements personnels. Nous relevons les données liées aux personnes à l’échelle de divers systèmes et plateformes et transmettons ces données dans un format assimilable par machine. Nous avons étudié l’application de ces exigences réglementaires sur la protection des renseignements personnels au sein de nos systèmes de technologie de l’information qui gèrent les renseignements personnels. Nos procédures et pratiques de sécurité sont constamment revues et mises à jour pour qu’elles s’adaptent à la nature des renseignements protégés.