Sécurité de l'organisation

Nous avons mis en place un système de gestion de la sécurité de l'information (ISMS) qui prend en compte nos objectifs de sécurité, ainsi que les risques et les réductions associées pour toutes les parties prenantes. Nous nous appuyons sur des critères et des procédures rigoureuses qui incluent la sécurité, la disponibilité, le traitement, l'intégrité et la confidentialité des données des clients.

Vérifications des antécédents des employés et des collaborateurs

Chaque employé ou collaborateur è soumis à un processus de vérification de son passé. Nous faisons appel à des agences externes renommées pour effectuer ce contrôle en notre nom. Nous le faisons pour vérifier les casiers judiciaires, les expériences professionnelles antérieures, si présentes, et les diplômes. Tant que ce contrôle n'est pas effectué, l'employé ou le collaborateur ne se voit pas attribuer d'activitàs pouvant comporter des risques pour les utilisateurs.

Conscience de la sécurité

Chaque employé ou collaborateur, au moment de l'embauche, signe un accord de confidentialité et une politique d'utilisation acceptable, puis participe à la formation relative à la sécurité des informations, à la vie privée et à la conformité. De plus, nous évaluons le niveau de formation de l'employé ou du collaborateur par le biais de tests et de quiz pour déterminer quels sujets nécessitent un approfondissement supplémentaire. Nous fournissons une formation sur des aspects spécifiques de la sécurité, dont l'employé ou le collaborateur pourrait avoir besoin en fonction de son rôle. Nous formons continuellement nos employés et collaborateurs en matière de sécurité des informations, de vie privée et de conformité dans notre communauté interne, à laquelle nos employés et collaborateurs accèdent régulièrement, pour une mise à jour personnelle constante sur les pratiques de sécurité de l'organisation. En outre, nous organisons des événements internes pour accroître la sensibilisation et promouvoir l'innovation en matière de sécurité et de vie privée.

Équipes dédiées à la sécurité et à la confidentialité

Nous disposons d'équipes dédiées à la sécurité et à la confidentialité qui mettent en œuvre et gèrent nos programmes de sécurité et de confidentialité. Ces équipes conçoivent et gèrent nos systèmes de défense, développent des processus de révision pour la sécurité et surveillent en permanence nos réseaux pour détecter des activités suspectes. Elles fournissent des services de conseil et des lignes directrices spécifiques au domaine à nos équipes de conception.

Vérification interne et conformité

Nous disposons d'une équipe dédiée à la conformité qui examine les procédures et les politiques adoptées par Framework360 afin de les aligner sur les normes et de déterminer quels contrôles, processus et systèmes sont nécessaires pour satisfaire aux normes. Cette équipe effectue également des vérifications internes périodiques et facilite des contrôles et évaluations indépendants par des tiers. Pour plus de détails, consultez notre portfolio de conformité.

Sécurité des endpoints

Toutes les stations de travail fournies aux employés et aux collaborateurs exécutent une version mise à jour du système d'exploitation et sont équipées de logiciels antivirus. Elles sont configurées pour respecter nos normes de sécurité, qui exigent que toutes les stations de travail soient correctement configurées, installées avec les correctifs appliqués et surveillées par les solutions de gestion des points de terminaison de Framework360. Ces stations de travail sont sécurisées par défaut, car elles sont configurées pour chiffrer les données au repos, disposent de mots de passe complexes et se verrouillent si inactives. Les appareils mobiles utilisés à des fins professionnelles sont enregistrés dans le système de gestion des appareils mobiles, afin de garantir qu'ils respectent nos normes de sécurité.

Sécurité physique dans l'environnement de travail

Nous contrôlons l'accès à nos ressources (bâtiments, infrastructures et installations), ce qui inclut la consommation, l'entrée et l'utilisation, via des cartes d'accès. Nous fournissons à nos employés, sous-traitants, fournisseurs et visiteurs différentes cartes d'accès qui permettent l'entrée uniquement pour les objectifs spécifiques d'accès aux installations. L'équipe des Ressources Humaines établit et gère des objectifs spécifiques pour les rôles. Nous maintenons des enregistrements d'accès pour identifier et résoudre les anomalies.

Suivi

Nous surveillons tous les mouvements entrants et sortants dans tous nos sites, dans tous nos centres d'affaires et centres de données via des caméras de vidéosurveillance réparties conformément aux réglementations locales. Une copie de sauvegarde des enregistrements est disponible pendant une période déterminée, selon les exigences spécifiques de l'établissement.

Sécurité de l'infrastructure sécurité du réseau

Nos techniques de sécurité et de surveillance du réseau sont conçues pour fournir plusieurs niveaux de protection et de défense. Nous utilisons des pare-feu pour empêcher les accès non autorisés à notre réseau et le trafic indésirable. Nos systèmes sont divisés en réseaux séparés pour protéger les données sensibles. Les systèmes qui soutiennent les activités de test et de développement sont hébergés sur un réseau distinct par rapport aux systèmes qui soutiennent l'infrastructure de production de Framework360. Nous surveillons l'accès au pare-feu avec une planification rigoureuse et régulière. Un technicien réseau examine chaque jour tous les changements apportés au pare-feu. De plus, tous les trois mois, ces modifications sont analysées pour mettre à jour et revoir les règles. L'équipe dédiée de notre Centre d'Opérations Réseau surveille l'infrastructure et les applications pour détecter d'éventuelles divergences ou activités suspectes. Tous les paramètres critiques sont constamment surveillés via notre outil propriétaire et des notifications sont déclenchées dans tout cas d'activité anormale ou suspecte dans notre environnement de production.

Redondance de réseau

Tous les composants de notre plateforme sont redondants. Nous utilisons une architecture de réseau distribué pour protéger notre système et nos services des éventuelles erreurs des serveurs. Dans ce cas, les utilisateurs peuvent continuer à travailler comme d'habitude car leurs données et les services Framework360 seront toujours disponibles. De plus, nous utilisons plusieurs commutateurs, routeurs et passerelles de sécurité pour garantir la redondance au niveau des dispositifs. Ainsi, nous évitons les pannes à des points uniques du réseau interne.

Prévention des attaques DDoS

Nous utilisons des technologies de fournisseurs de services consolidés et fiables pour prévenir les attaques DDoS sur nos serveurs. Ces technologies offrent de multiples fonctionnalités de mitigation des attaques DDoS, afin d'éviter les interruptions causées par le trafic malveillant, tout en permettant le trafic légitime. De cette manière, nos sites web, nos applications et nos API sont toujours disponibles et performants.

Protection avancée des serveurs

Tous les serveurs soumis à un provisionnement pour les activités de développement et de test sont renforcés (en désactivant les ports et les comptes inutilisés, en supprimant les mots de passe par défaut, etc.). L'image du système d'exploitation (OS) de base è dotée d'un renforcement intégré du serveur et l'image de ce système d'exploitation est fournie sur les serveurs pour garantir la cohérence entre les serveurs.

Détection et prévention des intrusions

Notre mécanisme de détection des intrusions prend note des signaux basés sur l'hôte sur des dispositifs individuels et des signaux basés sur le réseau, provenant de points de surveillance au sein de nos serveurs. L'accès administratif, l'utilisation de commandes privilégiées et les appels système sur tous les serveurs de notre réseau de production sont enregistrés. Les règles et l'intelligence des machines basées sur ces données fournissent aux techniciens de la sécurité des alertes d'incidents possibles. Au niveau de l'application, nous avons notre WAF propriétaire qui fonctionne sur des règles de liste blanche et de liste noire. Au niveau du fournisseur de services Internet (ISP), une approche de sécurité multi-niveaux a été mise en œuvre avec un nettoyage, un routage réseau, une limitation de la vitesse et un filtrage pour contrer les attaques à tous les niveaux, du réseau à l'application. Ce système garantit un trafic propre, un service proxy fiable et une notification immédiate des éventuelles attaques. 

Sécurité des données Sécurité dès la conception

Toutes les modifications et les nouvelles fonctions sont régies par une politique de gestion des modifications, pour garantir que toutes les modifications aux applications soient autorisées avant leur mise en œuvre dans l'environnement de production. Notre cycle de développement logiciel (SDLC) impose la conformité aux directives sur le codage sécurisé, ainsi que le filtrage des modifications du code pour d'éventuels problèmes de sécurité avec nos outils d'analyse de code, les scanners de vulnérabilités et les processus de révision manuelle. Notre solide cadre de sécurité basé sur les normes OWASP, mis en œuvre au niveau de l'application, fournit des fonctionnalités pour réduire les menaces telles que l'injection SQL, le Cross-Site Scripting et les attaques DOS au niveau de l'application.

Isolation des données

Notre framework distribue et maintient l'espace dans le cloud pour nos clients. Les données relatives à l'assistance de chaque client sont séparées logiquement par rapport aux données des autres clients en utilisant une série de protocoles sécurisés dans le framework. Cela garantit qu'aucune des données relatives à l'assistance des clients ne sera accessible à un autre client. Les données relatives à l'assistance sont stockées sur nos serveurs lorsque vous utilisez nos services. Vos données sont votre propriété et non celle de Marketing Studio. Nous ne partageons pas ces données avec des tiers sans votre consentement.

Crittographie En transit : Tous les données des clients transmises à nos serveurs sur des réseaux publics sont protégées par des protocoles de cryptographie rigoureux. Nous imposons l'utilisation de la cryptographie Transport Layer Security (TLS 1.2/1.3) avec des clés de cryptage complexes pour toutes les connexions à nos serveurs, y compris l'accès Web, l'accès API, les applications pour appareils mobiles et l'accès aux clients de messagerie IMAP/POP/SMTP. Cela garantit une connexion sécurisée permettant l'authentification des deux parties impliquées dans la connexion et le chiffrement des données à transférer. De plus, pour le courrier électronique, nos services utilisent par défaut le TLS opportuniste. Le TLS chiffre et remet le courrier électronique en toute sécurité, réduisant l'interception entre les serveurs de messagerie où les services pairs prennent en charge ce protocole. Nous avons un support complet pour Perfect Forward Secrecy (PFS) avec nos connexions chiffrées, ce qui nous garantit que même en cas de compromission future, aucune communication précédente ne serait déchiffrée. Nous avons activé l'en-tête HTTP Strict Transport Security (HSTS) dans toutes nos connexions Web. Cela indique à tous les navigateurs modernes de se connecter à nous uniquement via une connexion chiffrée, même si une URL d'une page non sécurisée est saisie sur notre site. De plus, sur le Web, tous nos cookies d'authentification sont marqués comme sécurisés.

Au repos : Les données sensibles inactives des clients sont cryptées à l'aide de l'Advanced Encryption Standard (AES) à 256 bits. Les données cryptées au repos varient en fonction des services que vous choisissez. Nous possédons et gérons les clés via notre service de gestion des clés (KMS) interne. Nous fournissons des niveaux supplémentaires de sécurité en cryptant les clés de chiffrement des données à l'aide de clés maîtresses. Les clés maîtresses et les clés de chiffrement des données sont physiquement séparées et stockées sur des serveurs différents avec un accès limité.

Conservation et élimination des données

Nous conservons les données de votre compte pendant la durée pendant laquelle vous choisissez d'utiliser Framework360. Après que vous aurez fermé votre compte utilisateur Framework360, vos données seront supprimées de la base de données active lors du nettoyage suivant, qui est effectué une fois tous les 6 mois. Les données supprimées de la base de données active seront supprimées des sauvegardes après 1 mois. Un fournisseur vérifié et autorisé effectue l'élimination des dispositifs inutilisables. D'ici là, nous les classerons et les conserverons dans un endroit sûr. Toute information contenue dans les dispositifs est supprimée avant l'élimination.

Gestion des vulnérabilité

Nous disposons d'un processus dédié à la gestion des vulnérabilités, qui effectue une analyse active des menaces à la sécurité en utilisant une combinaison d'outils de scan certifiés de tiers et d'outils internes, avec des activités automatisées et l'exécution de tests de pénétration manuels. De plus, notre équipe de sécurité examine activement les rapports de sécurité entrants et surveille les listes de diffusion publiques, les publications de blogs et les wikis pour identifier les incidents de sécurité pouvant affecter l'infrastructure de l'entreprise. En cas d'identification d'une vulnérabilité à corriger, celle-ci est enregistrée et se voit attribuer une priorité en fonction de sa gravité et un propriétaire. Nous identifions également les risques associés et surveillons la vulnérabilité jusqu'à sa résolution, en appliquant des correctifs aux systèmes vulnérables ou des contrôles pertinents.

Protection contre les malwares et le spam

Nous scannons tous les fichiers utilisateurs avec notre système de scan automatisé, conçu pour empêcher la propagation de logiciels malveillants dans l'écosystème Framework360. Notre moteur anti-malware personnalisé reçoit des mises à jour périodiques de sources externes d'intelligence sur les menaces et scanne les fichiers à la recherche de signatures en liste noire et de schémas dangereux. De plus, notre moteur de détection propriétaire, combiné avec des techniques d'apprentissage automatique, garantit la protection des données des clients contre les logiciels malveillants. Framework360 prend en charge le protocole DMARC (Domain-based Message Authentication, Reporting, and Conformance) comme méthode pour éviter le spam. DMARC utilise SPF et DKIM pour vérifier que les messages sont authentiques. Nous utilisons également notre moteur de détection propriétaire pour identifier l'abus des services Framework360, par exemple, les activités de phishing et de spam. En outre, nous disposons d'une équipe anti-spam dédiée pour surveiller les signaux provenant du logiciel et gérer les plaintes d'abus.

Backup

Nous effectuons des sauvegardes incrémentielles quotidiennes et des sauvegardes complètes hebdomadaires de nos bases de données pour les centres de données (DC) de Framework360. Les données de sauvegarde dans le DC sont stockées au même endroit et chiffrées à l'aide de l'algorithme AES à 256 bits. Les données sont archivées au format tar.gz. Toutes les données de sauvegarde sont conservées pendant 1 mois. Si un client demande la restauration des données pendant la période de conservation, nous restaurerons les données et les rendrons disponibles avec un accès sécurisé. Les délais de restauration des données dépendent de la taille et de la complexité des données elles-mêmes. Pour garantir la sécurité des données de sauvegarde, un tableau redondant de disques indépendants (RAID) est utilisé sur les serveurs de sauvegarde. Toutes les sauvegardes sont planifiées et surveillées régulièrement. En cas d'erreur, une nouvelle exécution est lancée et le problème est immédiatement résolu. Nous recommandons vivement de planifier des sauvegardes régulières des données en les exportant depuis les services respectifs Framework360 et en les stockant localement dans votre infrastructure.

Récupération d'urgence et continuité du service

Les données des applications sont stockées sur un stockage résilient qui est répliqué dans les centres de données. Les données du DC primaire sont répliquées dans le secondaire presque en temps réel. En cas de défaillance du DC primaire, le DC secondaire prend le contrôle et les opérations se déroulent sans heurts, avec une perte de temps minimale ou nulle. Les deux centres sont équipés de plusieurs FAI. Nous disposons de systèmes d'alimentation de secours, de contrôle de la température et de prévention des incendies, ainsi que de mesures physiques pour garantir la continuité des affaires. Ces mesures nous aident à assurer la résilience. En plus de la redondance des données, nous avons un plan de continuité des activités pour nos opérations principales, telles que le support et la gestion de l'infrastructure.

Gestion des incidents Signalement

Nous disposons d'une équipe dédiée à la gestion des incidents. Nous vous informons des incidents dans notre environnement qui vous concernent, en vous indiquant les actions que vous pourriez devoir entreprendre. Nous surveillons et résolvons les incidents avec les actions correctives appropriées. Si applicable, nous nous engageons à identifier, collecter, acquérir et fournir les preuves nécessaires sous forme de journaux des applications et de vérifications pour les incidents qui vous concernent. De plus, nous mettons en œuvre des contrôles pour éviter que des situations similaires ne se reproduisent. Nous répondons avec la plus haute priorité aux incidents de sécurité ou de confidentialité signalés par les utilisateurs à l'adresse assistance@marketingstudio.it. En cas d'incidents génériques, nous informerons les utilisateurs via nos blogs, forums et réseaux sociaux. En cas d'incidents spécifiques à un utilisateur ou à une organisation, nous informerons la partie concernée par e-mail (en utilisant son adresse e-mail principale ou celle de l'administrateur de l'organisation enregistrée sur notre système).

Notification de violation

En tant que responsables du traitement des données, nous informons l'autorité compétente en matière de protection des données d'une violation dans les 72 heures suivant sa détection, conformément au Règlement général sur la protection des données (RGPD). Selon les exigences spécifiques, nous informons également les clients, si nécessaire. En tant que sous-traitants du traitement des données, nous informons les responsables du traitement des données concernées sans retard injustifié.

Gestion des fournisseurs et des prestataires tiers

Nous évaluons et qualifions nos fournisseurs en fonction de notre politique de gestion des fournisseurs. Nous intégrons de nouveaux fournisseurs après avoir compris leurs processus de fourniture du service et avoir effectué les évaluations des risques. Nous adoptons les mesures appropriées pour garantir le maintien de notre position de sécurité, en établissant des accords qui imposent aux fournisseurs de respecter les engagements de confidentialité, de disponibilité et d'intégrité que nous avons pris envers nos clients. Nous surveillons le fonctionnement effectif des processus et des mesures de sécurité de l'organisation en effectuant des révisions périodiques des contrôles.

Contrôles pour la sécurité du client

Jusqu'à présent, nous avons décrit ce que nous faisons pour garantir à nos clients la sécurité sur divers fronts. Voici les choses que vous pouvez faire en tant que client pour garantir la sécurité :

  • Choisissez un mot de passe unique et complexe et protégez-le.
  • Utilisez l'authentification à plusieurs facteurs.
  • Utilisez les versions les plus récentes des navigateurs et des systèmes d'exploitation mobiles ainsi que des applications mobiles mises à jour, pour garantir que les correctifs de sécurité contre les vulnérabilités sont appliqués et que les fonctionnalités de sécurité les plus récentes sont utilisées.
  • Adoptez des précautions raisonnables lors du partage des données de notre environnement cloud.
  • Classez vos informations en données personnelles ou sensibles et étiquetez-les en conséquence.
  • Surveillez les appareils connectés à votre compte, les sessions Web actives et l'accès de tiers pour détecter des anomalies dans les activités de votre compte et gérer les rôles et privilèges correspondants.
  • Soyez conscient des menaces de phishing et de malware, faites attention aux adresses e-mail, sites Web et liens inconnus qui pourraient exploiter vos informations sensibles en se faisant passer pour Framework360 ou d'autres services auxquels vous faites confiance.

Conclusion

La sécurité de vos données è un droit pour vous et une mission sans fin pour Marketing Studio. Nous continuerons à travailler dur pour garder vos données en sécurité, comme nous l'avons toujours fait. Pour toute question sur ce sujet, écrivez-nous à l'adresse assistenza@marketingstudio.it.   

Voulez-vous apprendre à utiliser Framework360 ?

Rejoins le groupe
Regarde les tutoriels

Aimes-tu ce site ? Ce site web è a été réalisé avec Framework360.

Conditions générales SécuritéPolitique anti-spamTypes de maltraitanceViolation de copyrightRèglement d'affiliationConfidentialitéPolitique de cookiesPréférences GDPR

Marketing Studio Srl Unipersonale © Tous droits réservés.
P.IVA/C.F 12717710011 - Corso Re Umberto 8, 10121 Turin (TO) - REA 1311172 - Capital social € 10.000,00 I.V.