Date d'entrée en vigueur : octobre 2023
Sage Intacct emploie des professionnels de la sécurité des données dévoués, chevronnés et certifiés (certification CISSP) qui ont la responsabilité de développer et de diriger le programme de sécurité de Sage Intacct. Le programme englobe la sécurité physique et logique de l'application et de l'infrastructure de Sage Intacct, ainsi que des systèmes informatiques internes de Sage Intacct.
Sage Intacct maintient une suite de politiques et de processus pertinents liés à la sécurité. Les mises à jour des politiques et des procédures sont effectuées au moins une fois par an, sous réserve des approbations et des contrôles documentaires appropriés. Voici une liste de ces politiques :
Nom de la politique | Utilisation générale |
Politique d'utilisation acceptable |
Politique générale de sécurité couvrant les sujets suivants :
|
Normes de configuration du système et du réseau | Les normes de configuration doivent être maintenues pour toutes les ressources/applications critiques, conformément aux normes de référence définies par l'industrie. |
Politique et procédures de sauvegarde des systèmes | Précisent la fréquence des sauvegardes, les données qui sont sauvegardées, l'emplacement et le déplacement sécurisé des données de sauvegarde, ainsi que les exigences en matière de contrôle régulier. |
Politique et procédures d'analyse de la vulnérabilité et de la gestion des menaces | Déterminent la responsabilité, l'étendue et la fréquence des audits et des évaluations concernant la vulnérabilité. |
Politique de sécurité des applications | Politique et normes, fondées sur les pratiques de l'Open Web Application Security Project et d'autres pratiques exemplaires générales, pour le développement sécurisé des applications. |
Contrôle des changements/gestion des problèmes | Définit les exigences en matière de gestion du changement et le processus de gestion des changements pour l'informatique, l'ingénierie et les opérations. |
Évaluation interne de la vulnérabilité des systèmes, des applications et des réseaux | Définit l'autorité et la portée des évaluations internes et des tests de pénétration de notre application, de notre réseau et de notre infrastructure. |
Disposition des médias | Définit les exigences permettant de s'assurer que les données sensibles et les données relatives aux clients de Sage Intacct sont définitivement supprimées des supports avant leur élimination, leur maintenance ou leur réutilisation. |
Document sur le processus de cycle de vie du développement des systèmes | Comprend la planification, la conception, la construction, les tests de sécurité et autres tests et la livraison de divers composants de notre application. |
Plan de continuité des activités (PCA) et/ou plan de reprise après sinistre | Exigences et processus à suivre en cas de catastrophe ou d'autre événement exigeant que Sage Intacct assure la continuité de l'activité afin de respecter les accords sur les niveaux de service. |
Mots de passe | Politique et normes relatives à la création, à l'administration et à la gestion des mots de passe, à la protection de ces mots de passe et à la fréquence des changements de mots de passe. |
Appareil mobile | Décrit la politique de sécurité concernant les dispositifs mobiles portables. |
Départ | Régit les mesures à prendre en cas de départ volontaire ou involontaire d'un emploi ou d'une autre forme d'affiliation à Sage Intacct. |
Accès aux installations | Fournit les exigences liées à la sécurité physique pour accéder aux installations de Sage Intacct. |
Classification des données | Orientations relatives à la classification des actifs de données de Sage Intacct. |
Antivirus – Gestion des correctifs | Décrit les exigences en matière de protection des postes de travail (c'est-à-dire l'antivirus et les correctifs de sécurité des logiciels). |
Sensibilisation à la sécurité | Définit les exigences relatives au programme de sensibilisation et de formation à la sécurité des informations de Sage Intacct. |
Politique de confidentialité des logiciels | Politique de confidentialité |
Sage Intacct exige que tous les employés aient suivi une formation périodique en sécurité au cours des douze (12) derniers mois. Cette formation à la sécurité comprend, entre autres, les éléments suivants : l'utilisation acceptable, l'ingénierie sociale, la sécurité du personnel, la protection des données, les normes des industries des cartes de paiement, les normes de la loi HIPAA et du RGPD et la réponse aux incidents. Les développeurs et ingénieurs d'applications de Sage Intacct reçoivent une formation supplémentaire en matière de sécurité liée au développement d'applications, qui comprend (au minimum) les dix principaux risques de sécurité décrits par l'Open Worldwide Application Security Project. Outre la formation formelle à la sécurité, les employés sont informés des questions de sécurité au cours de l'orientation des nouveaux employés et tout au long de l'exercice par le biais de courriels de rappel et d'affiches/rappels sur les moniteurs.
Sage Intacct maintient un plan de réponse aux incidents de sécurité qui détaille les procédures à suivre en cas d'accès non autorisé réel ou raisonnablement suspecté à Sage Intacct ou aux données relatives aux clients, ou en cas d'utilisation de ces données, y compris, mais sans s'y limiter, la divulgation, le vol ou la manipulation de données qui ont le potentiel de causer un préjudice aux systèmes, aux données ou à la marque de Sage Intacct. Notre processus de réponse aux incidents est testé au moins une fois par an et répond aux exigences spécifiques liées aux normes de l'industrie des cartes de paiement, aux normes de la loi HIPAA et du RGPD, à la CCPA et à d'autres réglementations et exigences en matière de sécurité et de protection de la vie privée.
Pour les applications et systèmes associés à l'accès, au traitement, au stockage, à la communication et/ou à la transmission des données de Sage Intacct, Sage Intacct génère des journaux d'audit détaillant l'utilisation, l'accès, la divulgation, le vol, la manipulation et la reproduction. Les journaux d'audit relatifs à la sécurité sont générés et examinés régulièrement pour détecter des indicateurs de compromission ou d'autres activités suspectes pertinentes. Les journaux sont conservés pendant au moins un an. Si l'examen des journaux d'audit révèle des preuves raisonnables d'un incident de sécurité, des mesures appropriées seront prises conformément au plan d'intervention d'incident de sécurité.
Sage Intacct effectue différents types d'audits internes et de tiers pour valider la conformité aux exigences applicables. Une fois chaque audit terminé, un rapport écrit des conclusions et des recommandations est rédigé et conservé dans un répertoire central sécurisé. Dans le cas où une non-conformité, une déficience ou une autre constatation est découverte au cours d'un audit, Sage Intacct évalue, hiérarchise, atténue ou identifie rapidement les contrôles compensatoires appropriés. Les environnements de production de Sage Intacct aux États-Unis sont inclus dans le champ d'application des avis et audits énumérés ci-dessous. Nous prévoyons d'inclure les environnements non américains dans la portée de l'audit ci-dessous à partir de novembre 2021.
Sage Intacct effectue régulièrement des évaluations des risques et des tests de pénétration internes et externes par des tiers sur les applications, systèmes et infrastructures de données associés à l'accès, au traitement, au stockage, à la communication et/ou à la transmission de données relatives aux clients ou de données sensibles. Un rapport de synthèse indépendant est mis à la disposition des parties concernées (y compris les clients et les clients potentiels) sur demande, dans le cadre d'un accord de confidentialité.
Sage Intacct a élaboré et mis en œuvre un programme visant à évaluer les fournisseurs et partenaires tiers pertinents avant de s'engager dans une relation commerciale à long terme avec eux. Dans le cadre de notre programme de gestion des fournisseurs, nous adoptons une approche fondée sur les risques afin d'évaluer la maturité en matière de sécurité, la conformité et les caractéristiques et fonctionnalités de sécurité offertes sur Sage Intacct.
Sage Intacct a mis en œuvre une variété de processus et de technologies pour identifier et gérer les événements de perte de données dans les principales applications commerciales internes de Sage Intacct, telles que le système de messagerie électronique de l'entreprise et les outils de collaboration sanctionnés.
Sage Intacct a déployé une technologie et des processus pour détecter et corriger les menaces qui pèsent sur la société et ses employés sur les plateformes sociales, mobiles, numériques et collaboratives, afin d'inclure aussi bien les ressources commerciales que le Dark Web.
Le traitement et le transfert des données relatives aux clients, qu'elles soient sous forme électronique ou sur papier, y compris, mais sans s'y limiter, le transfert hors site à des fins de stockage ou de sauvegarde, sont effectués à l'aide de méthodes adaptées à la nature confidentielle et à la criticité des données. Le processus de traitement et de transport physique des données relatives aux clients est documenté et passé en revue régulièrement.
Sage Intacct s'engage à respecter les lois en matière de protection des données qui s'appliquent à nos activités et à nos opérations. Nous avons mis en œuvre de nombreuses mesures techniques et administratives pour la protection et la sécurité de vos données et nous faisons preuve de transparence quant à la manière dont nous traitons les données. Vous pouvez consulter la politique de confidentialité de nos logiciels à l'adresse suivante : Politique de confidentialité.
Tous les employés de Sage Intacct doivent disposer d'identifiants et de mots de passe valides pour accéder au réseau d'entreprise de Sage Intacct, aux applications internes et aux applications en mode logiciel-service depuis le bureau et/ou à distance par réseau privé virtuel. En plus du nom d'utilisateur et du mot de passe, l'authentification multifacteur est requise pour l'accès aux systèmes critiques de l'entreprise. Les identifiants des utilisateurs sont utilisés pour restreindre les privilèges du système en fonction des tâches professionnelles, des responsabilités relatives au projet et d'autres activités commerciales pertinentes. Les politiques de Sage Intacct exigent que les utilisateurs se conforment aux politiques du système d'exploitation du réseau en ce qui concerne les identifiants et les mots de passe. Dans la mesure du possible, les mots de passe doivent comporter un nombre minimum de caractères et expirer à intervalles réguliers. Les mots de passe doivent être suffisamment complexes et comporter une combinaison de chiffres, de lettres et de caractères spéciaux. En outre, si un utilisateur tente de se connecter en utilisant un mot de passe incorrect plus d'un certain nombre de fois, il sera exclu du système pendant une durée déterminée ou jusqu'à ce que le mot de passe soit réinitialisé manuellement par un administrateur.
Les procédures d'autorisation d'accès sont conformes aux normes suivantes :
Sage Intacct utilise une variété de services de surveillance pour contrôler les opérations des systèmes de production et d'entreprise. Ces utilitaires surveillent les opérations des serveurs et des utilisateurs sur les serveurs du réseau Sage Intacct et en assurent le suivi, notamment en ce qui concerne les configurations de sécurité, la surveillance des systèmes, les opérations d'accès à distance, la capacité des serveurs et les événements qui s'y déroulent. Les administrateurs du système et le personnel de sécurité sont chargés d'examiner les activités contrôlées à intervalles réguliers, ainsi que de contrôler les journaux du pare-feu et d'autres activités de l'administration du système et du réseau. Les événements sont enregistrés sur un serveur central de journalisation, corrélés et affichés sur une console, et les alertes pertinentes sont envoyées au personnel chargé des opérations et de la sécurité de Sage Intacct.
Sage Intacct assure la protection des données relatives aux clients par une combinaison de contrôles d'accès et de cryptage.
Le cryptage est nécessaire si :
Lorsque les données sont transmises sur des réseaux publics ou sur des réseaux sans fil privés ou publics, les dispositions suivantes s'appliquent comme il est indiqué :
Lorsque le cryptage au repos est exigé par la loi ou la réglementation, ou que Sage Intacct détermine que le cryptage est nécessaire, ce qui suit est mis en œuvre :
Le cryptage est nécessaire si :
Sage Intacct a adopté et mis en place des directives et des processus dans le but de concevoir, de développer et de maintenir la plateforme et les applications de Sage Intacct et rendre celles-ci exemptes de vulnérabilités sur le plan de la sécurité. Nous avons intégré la sécurité dans notre processus de cycle de vie du développement logiciel axé sur l'agilité. Des évaluations internes et tierces régulières sont menées, et nous sommes constamment à l'affût des nouvelles menaces et vulnérabilités émergentes qui pourraient avoir des conséquences sur l'application de Sage Intacct.
Tous les employés responsables du développement ou de la maintenance du code sont tenus d'accomplir les tâches suivantes :
Sage Intacct déploie des dispositifs raisonnables et efficaces de détection d'intrusion dans le réseau, des pare-feu et une protection antivirus de qualité commerciale. Les systèmes d'exploitation et les applications associés aux données relatives aux clients de Sage Intacct et aux données sensibles de Sage Intacct sont corrigés dans un délai commercialement raisonnable après que Sage Intacct a eu connaissance de toute vulnérabilité en matière de sécurité ou de la publication de correctifs par les fournisseurs. Sage Intacct prend des précautions conçues pour protéger les logiciels, les systèmes ou les réseaux qui peuvent interagir avec les systèmes de Sage Intacct, les réseaux ou toute donnée relative aux clients de Sage Intacct de manière à ce qu'ils ne soient pas infectés par des virus informatiques, des logiciels malveillants, des programmes non autorisés ou d'autres composants nuisibles.
Nous limitons l'accès aux logiciels espions, aux logiciels publicitaires et au courriel Web en effectuant les opérations suivantes :
Sage Intacct a mis en place des mesures de sécurité physique pour contrôler l'accès aux locaux, aux documents papier et aux systèmes informatiques de l'entreprise. En outre, les centres de données de Sage Intacct qui conservent ou traitent les données des clients sont conformes à la norme SOC 2 et comprennent les contrôles suivants :
Sage Intacct procède à l'assainissement des supports contenant des données de Sage Intacct ou des données relatives aux clients. Les données sont éliminées à l'aide de l'une de ces trois méthodes :
Les changements apportés aux ressources informationnelles sont gérés et exécutés conformément à un processus défini de gestion des tickets et des changements. Ce processus nous assiste dans l'examen, l'autorisation, les tests, la documentation, la mise en œuvre et la publication des modifications proposées selon une procédure contrôlée, ainsi que dans le suivi de l'état d'avancement de chaque changement proposé.
Les applications qui transmettent, traitent ou conservent les données relatives aux clients de Sage Intacct s'appuient sur une méthodologie du cadre de cycle de vie du développement des systèmes qui renforce la sécurité en tant que fonction intégrée.
Le cycle de vie comprend, entre autres, les éléments suivants :
Personnel de sécurité et direction
Politiques et processus de sécurité
Réponse aux incidents de sécurité
Évaluation des risques et tests de pénétration
Prévention de la perte de données
Transfert des données de Sage Intacct
Justification des accès/processus d'autorisation
Surveillance des systèmes et des applications
Sécurité des réseaux et des hôtes
Gestion des correctifs et des vulnérabilités
Routeurs et infrastructure de réseau
Continuité des activités et reprise après sinistre
Commentaires