Passer au contenu principal
Sécurité des données et de l'information

Découvrez comment Granicus protège et sécurise vos données.

Vidya N avatar
Écrit par Vidya N
Mis à jour il y a plus d'un an

Vue d'ensemble

Nous prenons au sérieux la protection de vos informations et de celles de votre communauté. Nous nous engageons à respecter les normes en vigueur dans toutes les juridictions où nous exerçons nos activités et avons mis en œuvre les meilleures pratiques et politiques du secteur pour soutenir cet engagement.

Granicus soutient des centaines de clients en Australie, au Canada, au Royaume-Uni, aux États-Unis et en Nouvelle-Zélande. Nos clients nous confient de grandes quantités d'informations sensibles, provenant de divers secteurs, notamment le gouvernement et les soins de santé.

Ce qui suit est un aperçu des mesures que nous avons prises pour sécuriser les données de nos clients et aider les membres de votre communauté à avoir confiance dans notre plate-forme EngagementHQ.

Conformité

Conformité à la norme ISO 27001

Nous avons passé avec succès les audits externes pour la norme ISO 27001, une norme mondiale de gestion de la sécurité de l'information. Tous les aspects de la conformité ont été testés, examinés et nous avons reçu une reconnaissance officielle en mars 2018.

RGPD (Règlement général de protection des données) de l'UE

Nous nous conformons au règlement général de l'Union européenne sur la protection des données (RGPD). Le RPGD protège le droit fondamental à la vie privée et à la protection des données personnelles des personnes vivant dans l'Union européenne. Il applique des exigences strictes qui ont renforcé les normes en matière de protection, de sécurité et de conformité des données.

Sécurité

Nos applications sont continuellement contrôlées et testées par notre équipe d'ingénieurs pour détecter les faiblesses en matière de sécurité. Nous effectuons des évaluations internes régulières et continues de la sécurité des applications afin de découvrir et d'atténuer les faiblesses potentielles en nous basant sur la notation et la méthodologie de l'OWASP. Nous utilisons des outils automatisés ainsi que des processus de test manuels pour nous assurer que nous sommes aussi sûrs que possible à tout moment.

Sécurité des applications et de la base de données

Les systèmes d'exploitation et les bases de données qui font fonctionner nos serveurs sont continuellement surveillés et corrigés avec les dernières corrections de sécurité. Le cadre web est continuellement surveillé et corrigé par nos équipes de développement internes. Les résultats du dernier VAPT sont disponibles sur demande.

Divulgation des données

Nous avons mis en place des règles strictes d'accès aux données avec un enregistrement détaillé pour prévenir le vol et l'utilisation abusive.

L'accès est limité au personnel clé impliqué dans la maintenance de nos services et de notre support. L'interaction avec les données du client est uniquement à la demande de ce dernier. EngagementHQ fournit des contrôles d'accès basés sur les rôles avec des noms d'utilisateur uniques et un cryptage de mot de passe unidirectionnel pour aider les clients à gérer leurs propres connexions.

Des certificats SSL et l'intégration de la signature unique (SSO) sont disponibles pour une protection supplémentaire. Les données sont stockées dans une base de données mySQL sur AWS RDS avec des pièces jointes stockées dans AWS S3. Amazon RDS possède de nombreuses fonctionnalités qui améliorent la fiabilité des bases de données de production critiques, notamment les sauvegardes automatisées, les instantanés des bases de données, le remplacement automatique des hôtes et les déploiements multi-AZ.

Les données en transit sont sécurisées par des connexions SSL/TLS. Les certificats SSL de base sont fournis dans le cadre de notre solution. Les certificats SSL à validation étendue sont fournis en option. Nous avons activé TLS pour toutes nos connexions HTTPS. EHQ supporte uniquement TLS 1.2 et plus.

Sécurité des réseaux

Notre application est sécurisée par une infrastructure de sécurité de classe mondiale fournie par Amazon Web Services (AWS). Les réseaux d'AWS sont à multiples hébergements à travers un certain nombre de fournisseurs afin d'obtenir une diversité d'accès à Internet.

Le réseau AWS utilise des techniques d'atténuation propriétaires offrant une protection importante contre les problèmes de sécurité traditionnels tels que les attaques par déni de service distribué (DDoS), les attaques de type « Man in the Middle » (MITM), le « IP Spoofing », le balayage des ports, etc. En outre, nos pare-feu entrants sont configurés pour ne permettre que le minimum absolu de connectivité requis pour fournir un service à nos clients. Toute modification de ces règles d'accès nécessite une autorisation.

Hébergement

Infrastructure d'hébergement

Tous les sites EngagementHQ sont hébergés sur l'infrastructure Amazon Web Services (AWS). AWS est le premier fournisseur de services dans le nuage au monde. Leur gamme de produits et services, leurs contrôles de sécurité, leur évolutivité, leur fiabilité, le nombre étonnant de centres de données, leur flexibilité et leur innovation continue en font le meilleur choix pour l'hébergement dans le nuage.

L'infrastructure Cloud d'AWS répond aux exigences d'une longue liste de normes de sécurité mondiales, dont ISO 27001 et SOC. Pour plus d'informations, consultez la page de conformité d'AWS.

Nos principales juridictions d'hébergement sont énumérées ci-dessous;

Australie - AWS, Asie-Pacifique (Sydney)

Canada - AWS, Canada (Central)

Royaume-Uni - AWS, UE (Londres)

États-Unis d'Amérique - AWS, Ouest des États-Unis (Californie du Nord)

Disponibilité et reprise après sinistre

Nous garantissons une disponibilité de 99,75 % et nos temps de disponibilité sont historiquement restés supérieurs aux « trois 9 » (99,9 %). Notre garantie est soutenue par nos accords de niveau de service (SLA). Même si nous prenons toutes les mesures imaginables pour vous assurer un service ininterrompu, comme dans la vie, des événements majeurs échappant totalement à notre contrôle peuvent interrompre notre service. Nous effectuons des sauvegardes nocturnes et nous avons mis en place un plan de reprise bien testé afin de minimiser les perturbations potentielles dues à des événements majeurs. Notre plan de reprise après sinistre est testé chaque année ou en cas de changement majeur dans notre environnement, que ce soit au niveau de notre infrastructure ou de nos applications.

Service et réponse aux questions

Notre équipe chargée de l'expérience client est votre premier point de contact pour les problèmes de service, les bugs et corrections logiciels fournis par notre équipe de développement. Lorsque des défauts sont signalés, les normes minimales de service suivantes sont en place :

  • Pour les problèmes essentiels aux fonctions de base du site (c'est-à-dire lorsque le site web est indisponible), une réponse sera immédiate et une correction sera mise en œuvre dans les quatre heures.

  • Pour les problèmes critiques mineurs concernant les fonctions essentielles du site (c'est-à-dire qu'une partie du site web est indisponible ou ne fonctionne pas efficacement pendant plus de quatre heures), une réponse sera donnée dans les deux heures et une solution sera mise en œuvre dans un délai d'un jour ouvrable.

  • Pour les questions non critiques concernant les fonctions de base du site (c'est-à-dire qu'une partie du site web est indisponible ou ne fonctionne pas efficacement et n'a qu'un impact matériel sur la promotion de vos projets d'engagement), le délai de réponse n'est pas obligatoire, mais un correctif sera mis en œuvre dans les deux jours ouvrables.

  • Pour les problèmes mineurs non critiques concernant les fonctions essentielles du site (c'est-à-dire un problème qui a peu ou pas d'impact sur l'efficacité des utilisateurs), un délai de réponse n'est pas imposé mais une solution sera mise en œuvre dès que possible, mais au plus tard dans les 10 jours ouvrables.

Accessibilité

EngagementHQ est conforme à la version 2.0 des directives sur l'accessibilité du contenu Web (WCAG 2.1) au niveau AA. Les résultats du dernier audit sont disponibles sur demande auprès de notre service d'assistance.

Bien que les lignes directrices définies dans WCAG 2.1 reconnaissent qu'il n'est pas possible de confirmer certains types de contenu, nous nous sommes engagés à y travailler en permanence et à tirer parti des nouvelles technologies pour améliorer encore l'accessibilité.

Nous nous tenons au courant des dernières avancées en matière de techniques d'accessibilité et nous donnons suite aux recommandations des audits trimestriels. Nous traitons également tous les problèmes identifiés par les clients ou les participants comme une question d'urgence et restons réactifs pour y remédier.

Compatibilité des appareils

EngagementHQ est conçu pour toutes les tailles d'écran et offre une expérience accessible et fonctionnelle complète à la communauté.

EngagementHQ prend en charge la version actuelle et la dernière version antérieure des navigateurs suivants (bureau et mobile) :

  • Microsoft Edge 86 et supérieur

  • Chrome 86 et supérieur

  • Firefox 78 et supérieur

  • Safari 14 et supérieur

Contactez notre équipe d'assistance si vous avez besoin d'aide via le chat ou l'email support@engagementhq.com

Avez-vous trouvé la réponse à votre question ?