search icon

Programme de gestion de la sécurité des données

Date d'entrée en vigueur : octobre 2023

Objectif

L'architecture de logiciel-service de Sage Intacct est avant tout évolutive et polyvalente. Cependant, cela ne doit pas influer sur la sécurité des données relatives aux clients, qui demeurent un élément essentiel de notre philosophie. Dans le présent document, nous montrons et détaillons l'architecture, les contrôles et les pratiques de sécurité de Sage Intacct pour tous les environnements de production du progiciel de gestion intégré de base de Sage Intacct.

Personnel de sécurité et direction

Sage Intacct emploie des professionnels de la sécurité des données dévoués, chevronnés et certifiés (certification CISSP) qui ont la responsabilité de développer et de diriger le programme de sécurité de Sage Intacct. Le programme englobe la sécurité physique et logique de l'application et de l'infrastructure de Sage Intacct, ainsi que des systèmes informatiques internes de Sage Intacct.

 

Politiques et processus liés à la sécurité

Sage Intacct maintient une suite de politiques et de processus pertinents liés à la sécurité. Les mises à jour des politiques et des procédures sont effectuées au moins une fois par an, sous réserve des approbations et des contrôles documentaires appropriés. Voici une liste de ces politiques :

Nom de la politique Utilisation générale
Politique d'utilisation acceptable

Politique générale de sécurité couvrant les sujets suivants :

  • Droit de propriété des données informatiques de Sage Intacct et
  • Droits de propriété intellectuelle de protection des données
  • Utilisation personnelle
  • Représentation publique de Sage Intacct
  • Logiciels interdits
  • Utilisation inappropriée
  • Antivirus et correctifs
  • Appareils mobiles
  • Mots de passe et identifiants des utilisateurs
  • Accès à distance
  • Technologie du pousser
  • Conformité (c.-à-d. PCI, HIPAA, RGPD)
  • Courrier électronique
  • Outils d'atteinte à la sécurité
  • Transfert ou stockage électronique des renseignements confidentiels de l'entreprise
Normes de configuration du système et du réseau Les normes de configuration doivent être maintenues pour toutes les ressources/applications critiques, conformément aux normes de référence définies par l'industrie.
Politique et procédures de sauvegarde des systèmes Précisent la fréquence des sauvegardes, les données qui sont sauvegardées, l'emplacement et le déplacement sécurisé des données de sauvegarde, ainsi que les exigences en matière de contrôle régulier.
Politique et procédures d'analyse de la vulnérabilité et de la gestion des menaces Déterminent la responsabilité, l'étendue et la fréquence des audits et des évaluations concernant la vulnérabilité.
Politique de sécurité des applications Politique et normes, fondées sur les pratiques de l'Open Web Application Security Project et d'autres pratiques exemplaires générales, pour le développement sécurisé des applications.
Contrôle des changements/gestion des problèmes Définit les exigences en matière de gestion du changement et le processus de gestion des changements pour l'informatique, l'ingénierie et les opérations.
Évaluation interne de la vulnérabilité des systèmes, des applications et des réseaux Définit l'autorité et la portée des évaluations internes et des tests de pénétration de notre application, de notre réseau et de notre infrastructure.
Disposition des médias Définit les exigences permettant de s'assurer que les données sensibles et les données relatives aux clients de Sage Intacct sont définitivement supprimées des supports avant leur élimination, leur maintenance ou leur réutilisation.
Document sur le processus de cycle de vie du développement des systèmes Comprend la planification, la conception, la construction, les tests de sécurité et autres tests et la livraison de divers composants de notre application.
Plan de continuité des activités (PCA) et/ou plan de reprise après sinistre Exigences et processus à suivre en cas de catastrophe ou d'autre événement exigeant que Sage Intacct assure la continuité de l'activité afin de respecter les accords sur les niveaux de service.
Mots de passe Politique et normes relatives à la création, à l'administration et à la gestion des mots de passe, à la protection de ces mots de passe et à la fréquence des changements de mots de passe.
Appareil mobile Décrit la politique de sécurité concernant les dispositifs mobiles portables.
Départ Régit les mesures à prendre en cas de départ volontaire ou involontaire d'un emploi ou d'une autre forme d'affiliation à Sage Intacct.
Accès aux installations Fournit les exigences liées à la sécurité physique pour accéder aux installations de Sage Intacct.
Classification des données Orientations relatives à la classification des actifs de données de Sage Intacct.
Antivirus – Gestion des correctifs Décrit les exigences en matière de protection des postes de travail (c'est-à-dire l'antivirus et les correctifs de sécurité des logiciels).
Sensibilisation à la sécurité Définit les exigences relatives au programme de sensibilisation et de formation à la sécurité des informations de Sage Intacct.
Politique de confidentialité des logiciels Politique de confidentialité

Formation et sensibilisation

Sage Intacct exige que tous les employés aient suivi une formation périodique en sécurité au cours des douze (12) derniers mois. Cette formation à la sécurité comprend, entre autres, les éléments suivants : l'utilisation acceptable, l'ingénierie sociale, la sécurité du personnel, la protection des données, les normes des industries des cartes de paiement, les normes de la loi HIPAA et du RGPD et la réponse aux incidents. Les développeurs et ingénieurs d'applications de Sage Intacct reçoivent une formation supplémentaire en matière de sécurité liée au développement d'applications, qui comprend (au minimum) les dix principaux risques de sécurité décrits par l'Open Worldwide Application Security Project. Outre la formation formelle à la sécurité, les employés sont informés des questions de sécurité au cours de l'orientation des nouveaux employés et tout au long de l'exercice par le biais de courriels de rappel et d'affiches/rappels sur les moniteurs.

Réponse aux incidents de sécurité

Sage Intacct maintient un plan de réponse aux incidents de sécurité qui détaille les procédures à suivre en cas d'accès non autorisé réel ou raisonnablement suspecté à Sage Intacct ou aux données relatives aux clients, ou en cas d'utilisation de ces données, y compris, mais sans s'y limiter, la divulgation, le vol ou la manipulation de données qui ont le potentiel de causer un préjudice aux systèmes, aux données ou à la marque de Sage Intacct. Notre processus de réponse aux incidents est testé au moins une fois par an et répond aux exigences spécifiques liées aux normes de l'industrie des cartes de paiement, aux normes de la loi HIPAA et du RGPD, à la CCPA et à d'autres réglementations et exigences en matière de sécurité et de protection de la vie privée.

Analyse des journaux

Pour les applications et systèmes associés à l'accès, au traitement, au stockage, à la communication et/ou à la transmission des données de Sage Intacct, Sage Intacct génère des journaux d'audit détaillant l'utilisation, l'accès, la divulgation, le vol, la manipulation et la reproduction. Les journaux d'audit relatifs à la sécurité sont générés et examinés régulièrement pour détecter des indicateurs de compromission ou d'autres activités suspectes pertinentes. Les journaux sont conservés pendant au moins un an. Si l'examen des journaux d'audit révèle des preuves raisonnables d'un incident de sécurité, des mesures appropriées seront prises conformément au plan d'intervention d'incident de sécurité.

Audit et conformité

Sage Intacct effectue différents types d'audits internes et de tiers pour valider la conformité aux exigences applicables. Une fois chaque audit terminé, un rapport écrit des conclusions et des recommandations est rédigé et conservé dans un répertoire central sécurisé. Dans le cas où une non-conformité, une déficience ou une autre constatation est découverte au cours d'un audit, Sage Intacct évalue, hiérarchise, atténue ou identifie rapidement les contrôles compensatoires appropriés. Les environnements de production de Sage Intacct aux États-Unis sont inclus dans le champ d'application des avis et audits énumérés ci-dessous. Nous prévoyons d'inclure les environnements non américains dans la portée de l'audit ci-dessous à partir de novembre 2021.

  • SSAE 18 SOC 1 de type II
    Sage Intacct maintient une cote SSAE 18 SOC 1 de type II de la part d'un cabinet d'audit tiers réputé et indépendant. Nous menons cette activité deux fois par an afin de répondre aux exigences d'échéancier des clients en matière de production de rapports. Le rapport contrôlé est mis à la disposition des parties concernées (y compris les clients et les clients potentiels) sur demande, dans le cadre d'un accord de confidentialité.
  • SOC 2 de type II
    Sage Intacct bénéficie d'une cote SOC 2 de type II provenant d'un cabinet d'audit tiers réputé et indépendant. Cette activité a lieu une fois par an. Le rapport contrôlé est mis à la disposition des parties concernées (y compris les clients et les clients potentiels) sur demande, dans le cadre d'un accord de confidentialité.
  • ISAE 3402/ISAE 3000
    Les normes internationales d'assurance ISAE 3402 et 3000 correspondent respectivement aux normes SSAE 18 et SOC 2. Sage Intacct maintient une cote ISAE 3402 et ISAE 3000 délivrée par un cabinet d'audit tiers réputé et indépendant. Les rapports contrôlés sont mis à la disposition des parties concernées (y compris les clients et les clients potentiels) sur demande, dans le cadre d'un accord de confidentialité.
  • PCI-DCC de niveau 1
    Sage Intacct maintient un statut PCI de niveau 1, qui comprend un audit complet par un évaluateur de sécurité qualifié, qui émet un rapport de conformité et deux attestations en tant que commerçant et fournisseur de services. Nos attestations de conformité sont mises à la disposition des parties concernées (y compris les clients et les clients potentiels) sur demande, dans le cadre d'un accord de confidentialité.
  • Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA, Health Insurance Portability and Accountability Act)
    Le logiciel de Sage Intacct est évalué périodiquement par un tiers indépendant afin de nous assurer que le logiciel peut assister nos clients à remplir leurs obligations en vertu de la loi américaine HIPAA.
  • RGPD
    Le logiciel Sage Intacct répond aux exigences du Règlement général sur la protection des données (RGPD).
  • ISO27001
    Sage Intacct maintient une norme ISO27001, qui est une norme internationale définissant les exigences d'un système de gestion de la sécurité des renseignements. Ce système est un ensemble de politiques, de procédures, de processus et de systèmes qui permettent de gérer les risques liés aux renseignements, tels que les cyberattaques, les piratages, les fuites de données ou le vol.

Évaluation des risques et tests de pénétration

Sage Intacct effectue régulièrement des évaluations des risques et des tests de pénétration internes et externes par des tiers sur les applications, systèmes et infrastructures de données associés à l'accès, au traitement, au stockage, à la communication et/ou à la transmission de données relatives aux clients ou de données sensibles. Un rapport de synthèse indépendant est mis à la disposition des parties concernées (y compris les clients et les clients potentiels) sur demande, dans le cadre d'un accord de confidentialité.

Gestion des fournisseurs

Sage Intacct a élaboré et mis en œuvre un programme visant à évaluer les fournisseurs et partenaires tiers pertinents avant de s'engager dans une relation commerciale à long terme avec eux. Dans le cadre de notre programme de gestion des fournisseurs, nous adoptons une approche fondée sur les risques afin d'évaluer la maturité en matière de sécurité, la conformité et les caractéristiques et fonctionnalités de sécurité offertes sur Sage Intacct.

Prévention de la perte de données

Sage Intacct a mis en œuvre une variété de processus et de technologies pour identifier et gérer les événements de perte de données dans les principales applications commerciales internes de Sage Intacct, telles que le système de messagerie électronique de l'entreprise et les outils de collaboration sanctionnés.

Réputation numérique/veille

Sage Intacct a déployé une technologie et des processus pour détecter et corriger les menaces qui pèsent sur la société et ses employés sur les plateformes sociales, mobiles, numériques et collaboratives, afin d'inclure aussi bien les ressources commerciales que le Dark Web.

Transfert des données de Sage Intacct

Le traitement et le transfert des données relatives aux clients, qu'elles soient sous forme électronique ou sur papier, y compris, mais sans s'y limiter, le transfert hors site à des fins de stockage ou de sauvegarde, sont effectués à l'aide de méthodes adaptées à la nature confidentielle et à la criticité des données. Le processus de traitement et de transport physique des données relatives aux clients est documenté et passé en revue régulièrement.

Confidentialité

Sage Intacct s'engage à respecter les lois en matière de protection des données qui s'appliquent à nos activités et à nos opérations. Nous avons mis en œuvre de nombreuses mesures techniques et administratives pour la protection et la sécurité de vos données et nous faisons preuve de transparence quant à la manière dont nous traitons les données. Vous pouvez consulter la politique de confidentialité de nos logiciels à l'adresse suivante : Politique de confidentialité.

Contrôle de l'accès

Tous les employés de Sage Intacct doivent disposer d'identifiants et de mots de passe valides pour accéder au réseau d'entreprise de Sage Intacct, aux applications internes et aux applications en mode logiciel-service depuis le bureau et/ou à distance par réseau privé virtuel. En plus du nom d'utilisateur et du mot de passe, l'authentification multifacteur est requise pour l'accès aux systèmes critiques de l'entreprise. Les identifiants des utilisateurs sont utilisés pour restreindre les privilèges du système en fonction des tâches professionnelles, des responsabilités relatives au projet et d'autres activités commerciales pertinentes. Les politiques de Sage Intacct exigent que les utilisateurs se conforment aux politiques du système d'exploitation du réseau en ce qui concerne les identifiants et les mots de passe. Dans la mesure du possible, les mots de passe doivent comporter un nombre minimum de caractères et expirer à intervalles réguliers. Les mots de passe doivent être suffisamment complexes et comporter une combinaison de chiffres, de lettres et de caractères spéciaux. En outre, si un utilisateur tente de se connecter en utilisant un mot de passe incorrect plus d'un certain nombre de fois, il sera exclu du système pendant une durée déterminée ou jusqu'à ce que le mot de passe soit réinitialisé manuellement par un administrateur.

Justification des accès/processus d'autorisation

Les procédures d'autorisation d'accès sont conformes aux normes suivantes :

  • Sage Intacct a mis en place un processus conçu pour limiter l'accès aux données relatives aux clients aux seuls membres du personnel autorisés qui en ont besoin professionnellement pour remplir leurs obligations envers les clients.
  • Chaque autorisation est approuvée par la direction compétente de Sage Intacct. L'autorisation et l'approbation du gestionnaire sont documentées et conservées.
  • Sage Intacct a mis en place un processus qui supprimera rapidement tous les accès des employés qui quittent l'entreprise ou qui changent de poste au sein de l'entreprise et qui n'ont plus besoin des autorisations d'accès.
  • Une revérification annuelle des personnes ayant accès aux systèmes qui hébergent Sage Intacct ou aux données relatives aux clients de Sage Intacct est effectuée pour confirmer qu'il n'existe pas de comptes malveillants, périmés ou inconnus.
  • Sage Intacct surveille les comptes utilisés à des fins de télémaintenance afin de confirmer qu'ils sont uniquement activés pour la durée nécessaire.

Surveillance des systèmes et des applications

Sage Intacct utilise une variété de services de surveillance pour contrôler les opérations des systèmes de production et d'entreprise. Ces utilitaires surveillent les opérations des serveurs et des utilisateurs sur les serveurs du réseau Sage Intacct et en assurent le suivi, notamment en ce qui concerne les configurations de sécurité, la surveillance des systèmes, les opérations d'accès à distance, la capacité des serveurs et les événements qui s'y déroulent. Les administrateurs du système et le personnel de sécurité sont chargés d'examiner les activités contrôlées à intervalles réguliers, ainsi que de contrôler les journaux du pare-feu et d'autres activités de l'administration du système et du réseau. Les événements sont enregistrés sur un serveur central de journalisation, corrélés et affichés sur une console, et les alertes pertinentes sont envoyées au personnel chargé des opérations et de la sécurité de Sage Intacct.

Cryptage et gestion des clés

Sage Intacct assure la protection des données relatives aux clients par une combinaison de contrôles d'accès et de cryptage.

Le cryptage est nécessaire si :

  • Les données relatives aux clients sont transmises sur des réseaux publics.
  • L'utilisation du cryptage est imposée par la loi ou la réglementation (par exemple, les normes de sécurité de l'industrie des cartes de paiement).
  • Sage Intacct détermine que le cryptage est nécessaire pour protéger les données relatives aux clients.

Lorsque les données sont transmises sur des réseaux publics ou sur des réseaux sans fil privés ou publics, les dispositions suivantes s'appliquent comme il est indiqué :

  • Utilisation de techniques de cryptographie et de cryptage solides (au moins 128 bits) telles que le protocole SSL/TLS (Secure Sockets Layer) ou le protocole IPSEC (Internet Protocol Security) pour protéger les données sensibles.
  • Pour les réseaux sans fil transmettant des données clients, les transmissions sont cryptées à l'aide de la technologie WPA (Wi-Fi Protected Access) si elle est compatible avec cette technologie, sinon à l'aide d'un RPV ou du protocole TLS à 128 bits.

Lorsque le cryptage au repos est exigé par la loi ou la réglementation, ou que Sage Intacct détermine que le cryptage est nécessaire, ce qui suit est mis en œuvre :

  • Les données sensibles relatives aux clients sont rendues illisibles partout où elles sont conservées (au repos), en utilisant l'une des approches suivantes, selon les circonstances :
  • Hachages à sens unique (index hachés) tels que SHA
  • Troncature
  • Cryptographie forte, telle que Triple-DES à 128 bits ou AES à 256 bits, avec les processus et procédures de gestion des clés associés

Le cryptage est nécessaire si :

  • L'accès aux clés est limité au plus petit nombre de personnes possible
  • Les clés sont conservées dans le plus petit nombre d'endroits possible et font l'objet de mesures visant à empêcher toute divulgation non autorisée
  • La prévention de la substitution non autorisée des clés
  • Le remplacement des clés compromises ou suspectées de l'être

Sécurité des applications

Sage Intacct a adopté et mis en place des directives et des processus dans le but de concevoir, de développer et de maintenir la plateforme et les applications de Sage Intacct et rendre celles-ci exemptes de vulnérabilités sur le plan de la sécurité. Nous avons intégré la sécurité dans notre processus de cycle de vie du développement logiciel axé sur l'agilité. Des évaluations internes et tierces régulières sont menées, et nous sommes constamment à l'affût des nouvelles menaces et vulnérabilités émergentes qui pourraient avoir des conséquences sur l'application de Sage Intacct.

Tous les employés responsables du développement ou de la maintenance du code sont tenus d'accomplir les tâches suivantes :

  • Respecter les normes de codage sécurisé de Sage Intacct
  • Remédier en temps opportun à tout problème de sécurité découvert dans les applications
  • Se sensibiliser à la sécurité des applications et mener à terme une formation sur le sujet Dans le cadre de ces domaines, nous nous appuyons sur les 10 premières priorités de l'OWASP (Open Worldwide Application Security Project) :
    • Défauts d'injection
    • Authentification et gestion des sessions
    • Scripts intersites
    • Références directes non sécurisées
    • Mauvaises configurations de la sécurité
    • Exposition aux données sensibles
    • Contrôle des accès
    • Falsification des requêtes intersites
    • Utilisation de composants à vulnérabilité reconnue
    • Redirections et transferts non validés

Sécurité des réseaux et des hôtes

Sage Intacct déploie des dispositifs raisonnables et efficaces de détection d'intrusion dans le réseau, des pare-feu et une protection antivirus de qualité commerciale. Les systèmes d'exploitation et les applications associés aux données relatives aux clients de Sage Intacct et aux données sensibles de Sage Intacct sont corrigés dans un délai commercialement raisonnable après que Sage Intacct a eu connaissance de toute vulnérabilité en matière de sécurité ou de la publication de correctifs par les fournisseurs. Sage Intacct prend des précautions conçues pour protéger les logiciels, les systèmes ou les réseaux qui peuvent interagir avec les systèmes de Sage Intacct, les réseaux ou toute donnée relative aux clients de Sage Intacct de manière à ce qu'ils ne soient pas infectés par des virus informatiques, des logiciels malveillants, des programmes non autorisés ou d'autres composants nuisibles.

  • Détection des intrusions
    Chez Sage Intacct, nous avons mis en œuvre un programme de détection des intrusions comprenant la détection des intrusions dans le réseau, l'analyse des journaux et la surveillance de l'intégrité des données, afin de surveiller tout le trafic réseau associé à l'accès, au traitement, au stockage, à la communication et/ou à la transmission des données relatives aux clients de Sage Intacct. Le personnel de Sage Intacct reçoit des alertes, les analyse et, si nécessaire, prend des mesures sur tout indicateur de compromission suspecté et maintient à jour tous les moteurs de détection et de prévention des intrusions.
  • Pare-feu
    Sage Intacct utilise des pare-feu dynamiques à différents endroits de son infrastructure. Sage Intacct a établi des normes de configuration de pare-feu qui incluent :
    - Une politique sur les autorisations par défaut, exigeant uniquement des ports et des protocoles autorisés.
    - Un processus formel d'approbation et de test de toutes les connexions au réseau externe et de toutes les modifications apportées à la configuration des pare-feu.
    - Des audits réguliers des configurations de nos pare-feu.
  • Gestion des correctifs et des vulnérabilités
    Sage Intacct a mis en place les processus suivants :
     - Mise à jour de tous les composants et logiciels du système avec les derniers correctifs de sécurité transmis par les fournisseurs
     - Identification des vulnérabilités de sécurité récemment découvertes (par le biais d'un abonnement à des services d'alerte)
     - Mise à jour des normes pour tenir compte des vulnérabilités nouvellement découvertes
  • Antivirus
    Sage Intacct dispose d'un logiciel antivirus de qualité commerciale pour vous protéger contre les virus, les vers et autres codes malveillants. Un logiciel de détection des virus (si disponible) est installé et maintenu sur tous les systèmes, y compris ceux qui permettent de consulter, de conserver ou de traiter les données relatives aux clients de Sage Intacct ou d'autres renseignements sensibles identifiés. Une fois installé, le logiciel antivirus ne doit pas être désactivé. Les logiciels antivirus sont régulièrement mis à jour avec des signatures de virus afin de localiser (et de se protéger contre) les nouveaux virus ou codes malveillants.
  • Renforcement des systèmes
    Sage Intacct suit les pratiques de l'industrie en matière de renforcement des systèmes hébergeant les données relatives aux clients de Sage Intacct, notamment :
    - Le retrait des fonctionnalités superflues du système, y compris les scripts, les pilotes, les fonctions, les sous-systèmes et les systèmes de fichiers inutilisés
    - La désactivation des services et des protocoles inutilisés et non sécurisés
    - La configuration des paramètres de sécurité du système conformément aux pratiques exemplaires de l'industrie (c.-à-d. CIS/NIST) afin d'éviter les utilisations déloyales
    - La modification des paramètres par défaut transmis par les fournisseurs avant que le système ne soit en service sur le réseau
    Pour les environnements sans fil, nous modifions les paramètres par défaut des fournisseurs, notamment les clés WEP, le SSID par défaut, les mots de passe et les chaînes de communauté SNMP, et nous désactivons les diffusions du SSID. Nous activons la technologie WPA (Wi-Fi Protected Access) pour le cryptage et l'authentification si elle est compatible avec le WPA.
  • Routeurs et infrastructure de réseau
    Sage Intacct met en œuvre les pratiques exemplaires en sécurisation de l'infrastructure réseau, notamment :
     - Installer les derniers correctifs de sécurité fournis par le fournisseur sur tous les dispositifs (matériels et logiciels) de l'infrastructure du réseau
     - Mettre en place un processus d'identification des vulnérabilités de sécurité récemment découvertes
     - Auditer périodiquement les dispositifs

Courriel

Nous limitons l'accès aux logiciels espions, aux logiciels publicitaires et au courriel Web en effectuant les opérations suivantes :

  • Inspection du trafic de courriels sur le Web pour y déceler des indicateurs d'activité suspecte
  • Installation, configuration et maintien d'un logiciel antiespion et contre les programmes malveillants
  • Identification et blocage des attaques de type hameçonnage pour les courriels d'entreprise
  • Formation appropriée et envoi périodique de courriels aux employés concernant les menaces envoyées par courriel

Sécurité physique

Sage Intacct a mis en place des mesures de sécurité physique pour contrôler l'accès aux locaux, aux documents papier et aux systèmes informatiques de l'entreprise. En outre, les centres de données de Sage Intacct qui conservent ou traitent les données des clients sont conformes à la norme SOC 2 et comprennent les contrôles suivants :

  • Badge d'accès
  • Appareils biométriques
  • Système de prévention des intrusions
  • Système de télévision en circuit fermé
  • Sécurité 24 heures sur 24 et 7 jours sur 7
  • Contrôles environnementaux rigoureux

Continuité des activités et reprise après sinistre

  • Récupération de données
    Chez Sage Intacct, nous avons les moyens de récupérer les données en cas de sinistre ou à des fins de continuité des activités. Sage Intacct dispose d'un processus de récupération des données, couvrant les procédures de sauvegarde et de restauration des données relatives aux clients de Sage Intacct. Pour les données relatives aux clients, nos accords de niveau de service incluent à la fois un objectif de point de restauration ne dépassant pas quatre (4) heures et un objectif de temps de restauration ne dépassant pas les vingt-quatre (24) heures.
  • Sauvegardes hors site
    Sage Intacct adhère et maintient des mesures pour sécuriser les données transportées hors site à des fins d'utilisation, d'hébergement, de sauvegarde et/ou de stockage. Cela comprend :
     - Le stockage des copies de sauvegarde des supports dans une installation hors site sécurisée, qui peut être soit une autre tierce partie, soit une installation de stockage commerciale
     - Un contrôle strict de la distribution interne ou externe de toutes les sauvegardes des supports qui contiennent des données relatives aux clients de Sage Intacct
     - Le transfert de données par des protocoles sécurisés

Élimination des données et assainissement du matériel

Sage Intacct procède à l'assainissement des supports contenant des données de Sage Intacct ou des données relatives aux clients. Les données sont éliminées à l'aide de l'une de ces trois méthodes :

  • Écrasement – Processus logiciel qui remplace les données précédemment conservées sur un support de stockage magnétique par un ensemble prédéterminé de données sans signification, ce qui rend les données irrécupérables.
  • Démagnétisation – Exposition du support à des champs magnétiques puissants afin de détruire son contenu. Cette méthode permet d'éliminer toutes les données encore présentes sur le support.
  • Destruction physique – Il s'agit du déchiquetage ou de toute autre méthode de destruction physique, y compris l'utilisation d'une force physique et de températures extrêmes. La destruction physique est effectuée de manière à empêcher toute utilisation ultérieure du support.

Gestion du changement

Les changements apportés aux ressources informationnelles sont gérés et exécutés conformément à un processus défini de gestion des tickets et des changements. Ce processus nous assiste dans l'examen, l'autorisation, les tests, la documentation, la mise en œuvre et la publication des modifications proposées selon une procédure contrôlée, ainsi que dans le suivi de l'état d'avancement de chaque changement proposé.

Les applications qui transmettent, traitent ou conservent les données relatives aux clients de Sage Intacct s'appuient sur une méthodologie du cadre de cycle de vie du développement des systèmes qui renforce la sécurité en tant que fonction intégrée.

Le cycle de vie comprend, entre autres, les éléments suivants :

  • Des tests de sécurité et une analyse du code source des changements de configuration des systèmes et des logiciels
  • Des environnements de développement/test et de production distincts
  • Des fonctions distinctes entre les environnements de développement/test et de production
  • Une suppression des données de test et des comptes avant la mise en activité des systèmes de production
  • Une documentation sur les conséquences
  • L'approbation de la direction

Commentaires