Objet
Cette politique de sécurité de l’information (la « Politique ») décrit les pratiques de sécurité de l’information que Groupe Elucidia inc. (faisant affaires sous le nom de Mondata) (« Mondata », « nous », « notre » ou « notre ») maintient pour protéger les données qui sont transmises par les clients à nos systèmes (« Données client ») lors de l’utilisation de la plate-forme logicielle « MD.ECO » et des solutions de gestion et de sécurité des technologies de l’information et de nos autres produits ou services (« Services »).
Cette politique ne s’applique pas aux services tiers que vous pouvez utiliser en relation avec nos services. Les services tiers sont fournis par un fournisseur de services tiers et nous n’avons aucun contrôle sur les pratiques de sécurité qui peuvent être mises en place à leur égard.
Nous pouvons modifier cette politique à l’avenir. Nous aviserons toute modification en affichant un avis des modifications sur notre site Web ou dans toute application ou contrôle administratif utilisé pour accéder à nos Services. Si vous continuez à utiliser nos Services après toute modification, cela signifie que vous acceptez cette modification. Si vous n’êtes pas d’accord, vous pouvez mettre fin à votre utilisation de nos Services. Veuillez vous référer à votre accord client avec nous pour plus de détails.
Si vous avez des questions concernant cette politique, veuillez nous contacter à administration@mondata.ai.
Réponse aux incidents
Mondata dispose d’un plan de réponse aux incidents et d’une équipe pour évaluer, escalader et répondre aux incidents physiques et de cybersécurité identifiée qui peuvent compromettre l’intégrité, la confidentialité ou la disponibilité des Données client (un « Incident »). Mondata revoit et met à jour ce plan fréquemment tout au long de l’année. L’équipe de réponse aux incidents résout les intrusions et les vulnérabilités dès la découverte et conformément aux procédures établies.
Si Mondata détermine qu’un Incident a conduit à une divulgation réelle et confirmée des Données Client à un tiers non autorisé (une « Violation ») (et pas simplement une exposition potentielle à une Violation), Mondata suivra son processus de notification de Violation et se conformera à toutes les lois applicables. La première étape de ce processus consiste à informer le point de contact (« POC ») de l’organisation concernée. Des procédures de gestion des Incidents et d’escalade existent pour garantir que Mondata traite les problèmes du système, les problèmes et les événements liés à la sécurité, en temps opportun, et que tous les Incidents sont enregistrés, classés par ordre de priorité et résolus en fonction des critères et des niveaux de gravité établis.
Gestion du risque
Mondata dispose d’un processus d’évaluation et de gestion des risques de sécurité pour identifier les menaces potentielles pour l’organisation. Mondata gère et évalue tous les risques identifiés.
Gestion des accès
Mondata gère l’accès aux applications internes et externes via des groupes de sécurité utilisateur. Mondata attribue des privilèges et des autorisations système aux utilisateurs ou aux groupes selon le principe du moindre privilège. Mondata attribue des droits d’application et de données en fonction des groupes d’utilisateurs et des rôles, et accorde l’accès aux informations en fonction de la fonction du travail. Mondata effectue une revue régulière des accès afin de s’assurer de la pertinence de ceux-ci.
Gestion des usagers
Mondata nécessite des demandes d’accès approuvées avant d’accorder un nouvel accès utilisateur et de modifier l’accès utilisateur existant aux réseaux et systèmes d’entreprise et cloud. Mondata désactive rapidement l’accès aux applications, à la plate-forme et au réseau pour les utilisateurs résiliés dès la notification de la résiliation.
Authentification des usagers et mots de passe
Les utilisateurs autorisés doivent s’identifier et s’authentifier auprès du réseau, des applications et des plateformes à l’aide de l’authentification multi facteur, le cas échéant, ou de leur ID utilisateur et mot de passe uniques. Le système de gestion des usagers requiert des paramètres de mot de passe minimum pour accéder au réseau d’entreprise.
Sécurité et configuration des équipements
Tous les postes de travail Mondata ont un logiciel antivirus (AV) actif installé pour surveiller les virus et les logiciels malveillants. Les postes sont analysés en temps réel et une analyse complète du système est effectuée périodiquement. Une surveillance est en place pour indiquer quand un agent antivirus ne s’enregistre pas pendant des périodes prolongées. L’équipe des opérations de sécurité enquête et prend des mesures pour résoudre les problèmes, le cas échéant. Les mises à jour des définitions de virus vers les appareils d’extrémité sont téléchargées automatiquement dès qu’elles sont disponibles.
Propriété
Tous les appareils et logiciels utilisés par nos employés pour exécuter le travail sont la propriété de Mondata et restent la propriété de Mondata à tout moment. Aucune utilisation d’appareils personnels ou de logiciels n’est autorisée.
Terminaux
Tous les ordinateurs portables des employés sont fournis par Mondata et sont installés avec un logiciel antivirus. Tous les ordinateurs portables sont la propriété de Mondata et restent la propriété de Mondata après la cessation d’emploi.
Surveillance et journalisation
Mondata surveille les applications, l’infrastructure, le réseau, l’espace de stockage de données et les performances du système. Des journaux contenant les détails sur la date, l’heure, la source et le type d’événements sont également collectés. L’équipe des opérations de sécurité examine les rapports et assure le suivi des événements, si nécessaire. La journalisation du système est activée pour l’activité de l’utilisateur final et de l’administrateur et est revue si nécessaire, y compris les tentatives de connexion infructueuses et réussies.
Développement sécuritaire
La méthodologie du cycle de vie du développement logiciel (SDLC) de Mondata régit l’acquisition, le développement, la mise en œuvre, la configuration, la maintenance, la modification et la gestion de l’infrastructure et des composants logiciels. La méthodologie SDLC est conforme aux exigences définies de sécurité, de disponibilité et de confidentialité Mondata.
Sécurité réseau
Des solutions de défense du périmètre du réseau, incluant des coupe-feux, sont en place pour surveiller, détecter et empêcher les activités réseau malveillantes. Le personnel des opérations de sécurité surveille les éléments détectés et prend les mesures appropriées. Les configurations et les règles du pare-feu sont passées en revue. Les réseaux d’entreprise et cloud de Mondata sont logiquement segmentés par des réseaux locaux virtuels (VLAN) et des coupe-feux surveillent le trafic pour restreindre l’accès aux utilisateurs, systèmes et services autorisés.
Sécurité physique
Accès aux bureaux
L’accès aux bureaux de Mondata est contrôlé par carte électronique et enregistré. Tous les visiteurs doivent être accompagnés d’un employé en tout temps ou se verront remettre une carte d’accès temporaire en fonction de leurs besoins.
Sécurité des ressources humaines
Politique de sécurité interne
Mondata comprend qu’elle agit en tant que dépositaire d’informations sensibles et vise donc à se conformer aux meilleures pratiques de sécurité. Tous les employés de Mondata doivent lire et signer notre politique de sécurité interne, qui est conservée par le service des ressources humaines. Cette politique de sécurité couvre les différents mécanismes en place pour garantir que nous pouvons fournir un environnement sécurisé à la fois à nos employés et à nos clients.
Entente de confidentialité
En plus de signer chaque année la politique de sécurité de Mondata, tous les employés de Mondata doivent également signer notre accord de confidentialité.
Vérification des antécédents
Dans le cadre de notre processus d’embauche, tous les candidats Mondata doivent passer par une vérification des antécédents criminels.
Reprise après sinistre et continuité des activités
Mondata maintient un plan de reprise après sinistre et de continuité des activités pour assurer le fonctionnement en cas de problèmes susceptibles de perturber la disponibilité des Services, tels que panne de systèmes informatiques, pannes de télécommunications, pannes de courant ou catastrophes. Mondata teste ce plan au moins une fois par an pour s’assurer qu’il est efficace. Dans le cadre du plan, Mondata maintient une installation de reprise après sinistre qui est physiquement distincte de l’hébergement principal des Services. Tous les systèmes sur le principal les sites d’hébergement sont sauvegardés quotidiennement avec des journaux d’activité incrémentiels enregistrés au centre de reprise après sinistre sur une base périodique tout au long de la journée. Mondata maintient également des connexions redondantes via Internet pour permettre l’accès à ses services. Les Centres d’hébergements de Mondata disposent de diverses alimentations ininterrompues en cas de panne de courant. Dans certaines situations graves, une panne de courant dans l’installation d’hébergement principale peut nécessiter le transfert du service vers l’installation de récupération après sinistre.