MESURES TECHNIQUES ET ORGANISATIONNELLES DE SECURITE
MESURES DE SECURITE
Le présent document décrit les mesures et contrôles techniques et organisationnels de sécurité mis en œuvre par Cision, ou ses sociétés affiliées (ci-après Cision), pour protéger les données personnelles et assurer la confidentialité, l'intégrité et la disponibilité continues des produits et services de Cision.
Ce document est un aperçu global des mesures techniques et organisationnelles de sécurité de Cision. De plus amples détails sur les mesures que nous mettons en œuvre sont disponibles sur demande. Cision se réserve le droit de réviser ces mesures techniques et organisationnelles à tout moment, sans préavis, dès lors que ces révisions ne réduisent pas ou n'affaiblissent pas, de manière substantielle la protection mise en place pour les données personnelles que Cision traite dans le cadre de ses différents services. Dans le cas peu probable où Cision réduirait matériellement son niveau de sécurité, Cision en informera ses clients.
Cision met en œuvre les mesures techniques et organisationnelles de sécurité suivantes afin de protéger les données personnelles :
- Une organisation et une équipe spécialisée, dédiée chargée du développement, de la mise en œuvre et de la maintenance du programme de sécurité de l’information de Cision.
- Des procédures d'audit et d'évaluation des risques dans le but, d'examiner et d'évaluer périodiquement les risques pour l'organisation de Cision, de surveiller et de maintenir la conformité aux politiques et procédures de Cision, et de rendre compte de l'état de sa sécurité informatique et de sa conformité à la direction de Cision.
- Maintenir les politiques sur la sécurité de l’information et s’assurer que les politiques et les mesures sont examinées régulièrement et, au besoin, les améliorer.
- La communication avec les applications de Cision utilise des protocoles cryptographiques tels que TLS pour protéger les informations en transit sur les réseaux publics. À la périphérie du réseau, des pare-feu à état, des pare-feu d'application Web et une protection contre les DDoS sont utilisés pour filtrer les attaques. En ce qui concerne le réseau interne, les applications suivent un modèle à plusieurs niveaux qui permet d'appliquer des contrôles de sécurité entre chaque couche.
- Des contrôles de la sécurité des données qui comprennent la séparation logique des données, un accès et une surveillance restreints (par exemple, en fonction des rôles) et, le cas échéant, l'utilisation de technologies de cryptage disponibles dans le commerce et conformes aux normes industrielles.
- Des contrôles d'accès logiques conçus pour gérer l'accès électronique aux données et aux fonctionnalités du système, selon les niveaux d'autorisation et les fonctions (par exemple, autorisation de l'accès aux seuls utilisateurs qui en ont le besoin sur la base de droits minimaux, utilisation d'identifiants et de mots de passe uniques pour tous les utilisateurs, examen périodique et révocation/changement rapide de l'accès en cas de cessation de l'emploi ou de modification de fonction).
- Des contrôles des mots de passe conçus pour gérer et contrôler leur force et leur utilisation, y compris interdire aux utilisateurs de partager leurs mots de passe.
- L'audit du système ou la consignation des événements et procédures de surveillance connexes pour enregistrer de manière proactive l'accès des utilisateurs et l'activité du système aux fins d’examen de routine.
- La sécurité physique et environnementale des centres de données, des salles de serveurs et des autres zones contenant des données confidentielles de clients, conçue pour : (i) protéger les informations contre tout accès physique non autorisé, (ii) gérer, auditer et documenter les personnes qui entrent et sortent des installations de Cision, et (iii) se prémunir contre les risques environnementaux tels que les dommages causés par la chaleur, le feu et les dégâts des eaux.
- Des procédures et contrôles opérationnels pour assurer la configuration, la surveillance et la maintenance de la technologie et des systèmes d'information conformément aux normes internes prescrites et adoptées par l’industrie, y compris l'élimination sécurisée des systèmes et des supports pour rendre toutes les informations ou données qu'ils contiennent indéchiffrables ou irrécupérables avant l'élimination définitive ou la libération de propriété de Cision.
- Les procédures de gestion des modifications et les mécanismes de suivi sont conçus pour tester, approuver et surveiller tous les changements apportés aux actifs technologiques et informationnels de Cision.
- Les procédures de gestion des incidents et des problèmes conçues pour permettre à Cision d'enquêter, de gérer, d'atténuer et de notifier les événements liés à la technologie Cision et aux ressources informatiques.
- Des contrôles de sécurité réseau prévoyant l'utilisation de pares-feux d'entreprise et d'architectures DMZ en couches, ainsi que par de systèmes de détection d’intrusion et de toutes autres procédures de corrélation du trafic et d’évènements définies pour protéger les systèmes contre toute intrusion et limiter la portée de toute attaque réussie.
- Des technologies d'évaluation des vulnérabilités, de gestion des correctifs et de protection contre les menaces, ainsi que des procédures de surveillance programmées, conçues pour identifier, évaluer, atténuer et protéger contre les menaces de sécurité, les virus et autres codes malveillants identifiés.
- Des procédures de résilience/continuité des activités et de reprise après sinistre, le cas échéant, conçues pour maintenir le service et/ou la reprise après des situations d'urgence ou des sinistres prévisibles.
- Un programme officiel de gestion des fournisseurs, comprenant des examens de la sécurité des fournisseurs essentiels pour assurer la conformité aux politiques de sécurité de l'information de Cision.
- Un délégué à la protection des données (DPO) indépendant examine régulièrement les risques et les contrôles en matière de protection des données.
Dernière révision : 1er mars 2021
Brandwatch
Pour les détails des mesures techniques et organisationnelles de Brandwatch, veuillez cliquer ici