Sécurité

Notre mission

La mission de SafetyCulture est d’aider les entreprises à obtenir des lieux de travail plus sûrs et de meilleure qualité dans le monde entier grâce à des produits mobiles innovants. Nous le faisons par le biais de notre application phare Software-as-Service (SaaS) iAuditor. Ces produits sont utilisés par environ 27 000 entreprises dans le monde, dans un grand nombre de secteurs d’activité et dans une variété de cas d’utilisation.

Nous sommes fiers que SafetyCulture soit considérée comme un leader mondial des produits qui favorisent la sécurité et la qualité, et nous savons à quel point notre rôle est important pour aider nos clients à améliorer leurs opérations quotidiennes.

Nous considérons notre approche de la cybersécurité comme un pilier essentiel pour maintenir notre statut de leader dans cet espace, et ce contenu donne un aperçu de la façon dont nous abordons la cybersécurité en tant qu’organisation.

Vue d’ensemble

SafetyCulture a mis en place un programme de cybersécurité actif, robuste et en constante amélioration pour garantir la sécurité de notre organisation et des produits que nous fournissons. Le programme de cybersécurité de SafetyCulture emploie un certain nombre de contrôles au niveau technique et opérationnel pour s’assurer que nous avons une approche efficace de défense en profondeur pour nous protéger des cyberattaques et sécuriser les données traitées par notre application SaaS, iAuditor.

Les principales caractéristiques sont les suivantes :

  • Un programme de sécurité aligné sur les normes de meilleures pratiques de l’industrie, y compris l’utilisation de plates-formes Cloud conformes à des repères de sécurité fiables, notamment ISO27001 et SOC 2.

  • Un accent mis sur la mise en place des éléments de base, en reconnaissant que les fondamentaux de la sécurité restent les plus importants. Cela inclut :

    • Employer des mécanismes robustes pour garantir que l’accès aux systèmes de SafetyCulture et aux données des clients est soigneusement contrôlé.

    • Encrypter les données des clients que nous détenons (à la fois en transit et en attente).

    • S’assurer que nous appliquons rapidement les correctifs au sein de notre environnement informatique et sur nos produits afin de minimiser les possibilités d’exploitation des vulnérabilités par des cyber-attaquants.

    • Surveiller et tester activement notre environnement informatique et nos produits pour détecter les vulnérabilités émergentes et y remédier en priorité.

    • Disposer d’un processus défini, soutenu par une équipe dédiée, pour fournir un soutien et une réponse efficaces en cas d’incident de sécurité.

  • Appliquer une vérification préalable pour s’assurer que nos prestataires de services respectent les normes du secteur en matière de sécurité. Nous savons que la sécurité de nos partenaires nous affecte directement, ainsi que nos clients, c’est pourquoi nous choisissons très soigneusement les personnes avec lesquelles nous travaillons.

Le contenu ci-dessous donne une vue d’ensemble des différentes parties de notre programme de sécurité.

Pratiques de sécurité organisationnelle

Notre approche de la sécurité est axée sur l’alignement sur les meilleures pratiques recommandées dans les normes reconnues telles que le NIST, ISO27001 & ; SOC Frameworks.

Gouvernance de la sécurité

SafetyCulture dispose d’un kit documenté de politiques et de procédures qui définit notre approche de la sécurité en tant qu’organisation. Ces politiques et procédures sont partagées avec l’ensemble du personnel et sont examinées et mises à jour au moins une fois par an (et plus fréquemment lorsque des changements importants sont nécessaires) afin de s’assurer que notre approche de la sécurité reste d’actualité.

Nous nous attachons à garantir la responsabilité de la sécurité dans toute l’entreprise. À cette fin, nous disposons d’un forum de gestion de la sécurité de l’information réglé avec les principales parties prenantes de l’ensemble de SafetyCulture qui se réunissent régulièrement pour examiner et discuter des questions liées à la sécurité, et prendre toute décision ayant une influence sur notre approche de la cybersécurité.

Accès aux systèmes internes et aux plateformes Cloud

Nous veillons à ce que l’accès aux systèmes de notre environnement informatique, y compris les plates-formes Cloud que nous utilisons, soit limité aux employés qui ont spécifiquement besoin de cet accès pour leur travail.

Tous les accès des administrateurs requièrent une authentification multifactorielle et les employés accédant à notre environnement sont tenus d’utiliser une solution VPN approuvée.

Les autorisations d’accès à nos systèmes sont régulièrement examinées, employé par employé, et modifiées rapidement. Dans le cadre de notre processus de réception, tous les accès aux systèmes et aux services des employés qui quittent l’entreprise sont révoqués.

Sécurité des tiers

Nous examinons attentivement les pratiques de sécurité des tiers que nous engageons – initialement et de manière continue – pour nous assurer que leurs pratiques répondent aux normes de l’industrie et sont conformes à nos propres politiques et procédures de confidentialité et de sécurité. Si un tiers a besoin d’accéder à nos systèmes, nous nous assurons que cet accès est limité spécifiquement à l’objectif pour lequel il a été engagé.

Comme Amazon Web Services (AWS) est l’un de nos principaux fournisseurs, nous nous engageons avec eux en utilisant le modèle de responsabilité partagée pour la sécurité et la conformité, ce qui garantit une définition claire de qui assume la responsabilité de quoi en matière de sécurité. AWS est accrédité par et conforme à un grand nombre des dernières normes de l’industrie – plus d’informations peuvent être trouvées ici : https://aws.amazon.com/artifact.

.

Pour le traitement des données financières et des données relatives aux cartes de crédit, SafetyCulture fait appel à plusieurs partenaires (Chargify, eWay et Stripe) dont les pratiques de sécurité sont conformes à la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS).

Sécurité du réseau

Les réseaux d’entreprise de SafetyCulture sont protégés par des pare-feu ainsi que par la technologie IDS &amp ; IPS au niveau du périmètre (fournie par des dispositifs de sécurité Cisco gérés dédiés) afin que nous puissions détecter et nous protéger contre tout trafic malveillant.

Pour nos plateformes basées sur le Cloud, nous utilisons principalement Amazon Web Services (AWS) qui fournit une stratégie multicouche pour se défendre contre les attaques externes. Au niveau de l’infrastructure, AWS utilise des stratégies telles que le contrôle d’accès aux périphériques réseau, la ségrégation des données à l’aide de pare-feu et de Clouds privés virtuels pour filtrer le trafic malveillant et faire usage d’une journalisation et d’une surveillance étendues pour prévenir les attaques basées sur le réseau. Au niveau des applications, nous bénéficions d’AWS Web Application Firewall et d’AWS Shield pour prévenir les attaques basées sur le Web et les attaques par déni de service (DoS) contre nos produits.

Logging & ; Monitoring

SafetyCulture fait usage d’un système de journalisation centralisé qui comprend des événements d’audit d’accès aux applications. Ces journaux sont conservés pendant 90 jours. Nous utilisons également les journaux d’Amazon ELB pour suivre les demandes d’accès aux services (réussies ou non). Les journaux stockés dans AWS ne peuvent pas être modifiés et l’accès est limité aux personnes qui en ont besoin pour les exigences de leur rôle.

Nous reconnaissons l’importance d’examiner régulièrement les journaux afin de repérer les activités malveillantes des utilisateurs et d’identifier les vulnérabilités potentielles de nos produits ; nous avons mis en place une surveillance automatisée qui nous alerte sur des types spécifiques d’événements potentiellement malveillants au sein de notre infrastructure globale.

Formation de sensibilisation à la sécurité

Tout le personnel de SafetyCulture suit régulièrement des formations de sensibilisation à la sécurité pour les rôles techniques et non techniques. Des supports de formation à la sécurité sont également élaborés pour chaque membre du personnel, le cas échéant, afin de s’assurer qu’ils sont équipés pour gérer les exigences spécifiques du rôle axé sur la sécurité.

Patching et gestion des vulnérabilités

La mise à jour de notre environnement informatique est l’une des mesures les plus fondamentalement importantes que nous prenons pour rester en sécurité contre une violation potentielle de la sécurité. Pour y parvenir :

  • Nous utilisons AWS System Manager pour déployer régulièrement des correctifs pour notre infrastructure basée sur le Cloud.

  • Nous utilisons des solutions de gestion des appareils pour nous assurer que les correctifs importants sont installés le plus rapidement et le plus efficacement possible.

  • Nous déployons d’abord les correctifs pour les vulnérabilités les plus critiques, les correctifs étant déployés dans notre environnement de non-production pour des tests initiaux avant d’être rapidement propagés dans tout l’environnement informatique.

Protection des données des clients

SafetyCulture prend la sécurité des données de nos clients extrêmement au sérieux. Nous prenons un certain nombre de mesures pour nous assurer que les données des clients sont soigneusement protégées.

Restreindre l’accès aux données

SafetyCulture prend un certain nombre de mesures pour aider à protéger les données des clients contre un accès inapproprié ou une utilisation par des personnes non autorisées (externes ou internes). Les données des clients sont uniquement stockées dans notre environnement de production, et l’accès à ces données par les employés de SafetyCulture est limité aux seuls employés qui ont besoin d’y accéder pour effectuer leurs tâches standard. L’accès aux données des clients est géré à l’aide d’outils de contrôle d’accès et d’authentification (y compris l’utilisation d’une authentification à deux facteurs) fournis par Amazon Web Services et nos autres partenaires du Cloud.

Les données des clients sont uniquement utilisées à des fins compatibles avec la fourniture des services contractuels, comme le dépannage des demandes d’assistance technique. Pour tous les détails, veuillez vous référer à la politique de confidentialité de SafetyCulture qui se trouve ici : https://safetyculture.com/legal/privacy-policy/.

Dans le cas rare où les employés de l’assistance de SafetyCulture ont besoin d’accéder à l’ensemble des données d’un client spécifique, alors SafetyCulture demandera toujours le consentement d’un client avant d’accéder à ces données.

.

Nous ne stockons pas ou ne mettons pas en cache les données financières des clients utilisées en conjonction avec la facturation via la plateforme SafetyCulture, et nos employés n’ont pas d’accès direct aux données de facturation.

Accès physique aux données des clients

Toutes les données des clients sont hébergées sur une infrastructure fournie par Amazon Web Services qui maintient la sécurité physique de leurs sites en utilisant les contrôles des meilleures pratiques de l’industrie, comme indiqué dans leur site Web sur la sécurité et la conformité qui se trouve ici : https://aws.amazon.com/architecture/security-identity-compliance/.

Aucune donnée client n’est stockée dans nos bureaux physiques.

.

Encryptage des données

SafetyCulture a mis en place des mécanismes pour garantir que les données de nos clients sont protégées à la fois en attente et en transit. Au repos, toutes les données des clients stockées dans les systèmes sont cryptées en utilisant AES-256 avec des clés gérées par le service de gestion des clés d’Amazon Web Services. Toutes les données sont stockées de manière sécurisée et soumises aux politiques et procédures de sécurité d’AWS.

Pour protéger les données en transit, SafetyCulture utilise la sécurité de la couche de transport (TLS) et applique une norme minimale de TLS v1.2 en utilisant des clés de chiffrement de 128 bits. Nous prenons en charge les connexions avec des clés de chiffrement allant jusqu’à 256 bits pour une utilisation avec un chiffrement AES (Advanced Encryption Standard).

Sauvegardes des données

Les données de SafetyCulture sont sauvegardées à intervalles réguliers sur des solutions disparates de stockage de données cryptées fournies par Amazon Web Services. Les sauvegardes sont répliquées sur plusieurs installations AWS dans la région choisie par le client.

L’accès aux sauvegardes de données est limité aux seuls employés spécifiques de SafetyCulture lorsque cet accès est requis dans le cadre des exigences de leur rôle.

Suppression et élimination des données

Nos données clients sont principalement stockées dans, et soumises aux procédures de suppression et d’élimination d’Amazon Web Services. Ces procédures comprennent un processus sécurisé pour effacer logiquement les supports retirés. Les médias essuyés sont ensuite inspectés pour s’assurer de la destruction réussie des données.

Tout document appartenant à SafetyCulture et contenant des données confidentielles – y compris les sauvegardes de SafetyCulture – est soumis à une destruction logique des données conforme aux normes de l’industrie avant d’être recyclé. Dans la mesure du possible, SafetyCulture utilise un cryptage AES-256 GCM sur toutes les copies numériques.

Sécurisation de nos produits

Nous reconnaissons que pour la majeure partie des clients, leur principale expérience avec SafetyCulture se fera par le biais de notre produit phare iAuditor. La sécurité constitue une partie importante de la manière dont ce produit est développé, et fonctionne, comme nous l’expliquons ci-dessous.

Pratiques de développement de logiciels sécurisés

Dans le cadre de notre processus de développement de produits, chaque changement de code et d’infrastructure est examiné avant la mise en production de ce changement. Cet examen inclut le respect des meilleures pratiques en matière de sécurité. Nous séparons également nos environnements de développement, de test et de production.

Contrôle des changements

Toutes les modifications apportées aux produits SafetyCulture sont activement testées au cours de leur développement afin de garantir l’évaluation de l’impact sur les utilisateurs finaux avant le déploiement, et toutes les modifications importantes sont incluses dans les notes de mise en production.

SafetyCulture emploie des systèmes de suivi des modifications et de contrôle des versions pour surveiller et gérer activement les modifications apportées à la base de code ou à la configuration de nos produits. Nous utilisons également Amazon CloudTrail pour le suivi de tout changement de configuration sous-jacent à la plateforme Cloud sur laquelle nos produits fonctionnent.

Identification des vulnérabilités et ; gestion des correctifs

Nous travaillons dur pour minimiser le nombre de vulnérabilités qui apparaissent dans nos produits, et nous reconnaissons qu’il est important de prendre des mesures proactives pour s’assurer que nous traitons toute vulnérabilité aussi rapidement que possible. À cette fin, SafetyCulture teste et surveille activement les vulnérabilités de ses applications. Nous gérons un programme privé de prime aux bogues en reconnaissance du fait qu’une communauté de chercheurs en sécurité indépendants incités à tester nos produits de manière continue afin d’identifier toute observation potentielle ne fera que renforcer la sécurité de nos produits.

Lorsqu’une vulnérabilité est identifiée (en interne ou en externe), l’observation est suivie et hiérarchisée en fonction de la gravité potentielle de l’impact sur nos clients. Pour les observations de gravité critique, cela peut inclure un travail 24 heures sur 24 par nos développeurs jusqu’à ce que l’observation soit corrigée.

Les correctifs pour les observations sont développés et diffusés dans l’environnement de production par le biais d’un processus d’intégration continue (CI/CD) et appliqués dès que possible.

Gestion des incidents de sécurité

Bien que nous fassions tout notre possible pour prévenir tout incident de sécurité, nous reconnaissons que nous devons également être préparés à gérer ces incidents s’ils se produisent afin de minimiser l’impact potentiel sur nos clients et sur SafetyCulture.

Nous avons mis en place une série de mesures, notamment :

  • Une procédure de gestion des incidents documentée qui définit notre processus de traitement de la confidentialité, de l’intégrité et de la disponibilité de notre environnement et de nos applications informatiques.

  • Une équipe dévouée d’employés de SafetyCulture répartis en Océanie, aux États-Unis et en Asie du Sud-Est pour fournir un soutien lors d’un incident.

  • Des plans de reprise après sinistre et des stratégies d’urgence qui peuvent être exécutés pour nous aider à maintenir la continuité des opérations pendant un incident. Cela comprend l’utilisation de plusieurs zones de disponibilité géographiques via Amazon Web Services et la réplication des données sur plusieurs systèmes dans chaque zone. Cela permet de garantir un accès continu aux données lors d’incidents affectant la disponibilité du système et de fournir une redondance des données en cas de défaillance du système ou du stockage des données.

SafetyCulture alerte rapidement les clients concernés des incidents majeurs ayant un impact sur la disponibilité des services ou des données de SafetyCulture et de tout incident affectant la confidentialité et l’intégrité des données des utilisateurs, conformément à notre Politique de confidentialité de SafetyCulture.

Pensées finales

SafetyCulture considère la cybersécurité comme un élément fondamental de notre activité et des produits que nous fournissons aux entreprises du monde entier. Bien que les contrôles et les mesures que nous avons mis en place s’étendent bien au-delà de ce qui est couvert ici, ce contenu sert à fournir une compréhension globale de l’approche à multiples facettes que nous adoptons, et de notre engagement, en matière de sécurité.

Si vous avez des questions sur le contenu, ou si vous souhaitez obtenir plus d’informations sur notre approche en matière de support, de sécurité ou de confidentialité, veuillez nous contacter aux coordonnées ci-dessous :

support@safetyculture.com

>

security@safetyculture.com

>

privacy@safetyculture.com