ISMS Copilot
Sécurité

Politiques de Sécurité

Cette page documente les politiques de sécurité formellement adoptées par ISMS Copilot 2.0 dans le cadre de notre système de gestion de la sécurité de l'information (SGSI). Ces politiques soutiennent notre conformité aux normes ISO 27001, SOC 2 et ISO 42001, et reflètent notre engagement envers le développement d'une IA responsable et la protection des données.

Ces politiques guident nos opérations internes et notre mise en œuvre technique. Pour plus de détails sur la manière dont nous protégeons vos données en pratique, consultez notre Aperçu de la sécurité et de la protection des données.

Politique de contrôle d'accès

Nous protégeons l'accès à nos systèmes et à nos données par des contrôles d'authentification et d'autorisation stricts.

Authentification et autorisation

  • L'authentification multi-facteurs (MFA) est obligatoire pour tous les utilisateurs accédant aux services critiques

  • Les privilèges d'accès sont accordés selon le principe du moindre privilège

  • Des comptes identifiés uniques sont requis pour tout accès à la production, aucun identifiant partagé

  • Les privilèges d'accès des employés sont revus trimestriellement pour assurer l'alignement avec les rôles actuels

  • Des gestionnaires de mots de passe sont utilisés par tous les membres de l'équipe pour sécuriser les identifiants et les clés API

Gestion des sessions

  • Des limites de durée de session et des exigences de ré-authentification sont appliquées

  • Des connexions sécurisées via TLS sont requises pour tout accès à la production

  • L'accès aux bases de données est restreint aux réseaux internes uniquement

Cycle de vie de l'accès

  • Le provisionnement des accès est vérifié pour l'adéquation au rôle avant l'octroi des permissions

  • Le départ des employés suit des procédures documentées avec désactivation du compte sous 24 heures

  • L'accès d'urgence est fourni via des comptes « break-glass » avec journalisation obligatoire et revue post-événement

Notre architecture de sécurité au niveau des lignes garantit une isolation complète des données entre les comptes clients, empêchant tout accès non autorisé même au sein de notre infrastructure.

Politique de gestion des actifs

Nous maintenons un inventaire complet et une protection de tous les actifs de l'entreprise, des appareils des employés aux bases de connaissances propriétaires.

Sécurité des appareils

  • Le verrouillage automatique de l'écran est configuré sur tous les appareils des employés

  • Le chiffrement au repos protège les données sensibles sur les appareils de l'équipe

  • Les mises à jour logicielles sont maintenues automatiquement pour réduire l'exposition aux vulnérabilités

  • Un logiciel anti-malware et des pare-feux configurés protègent contre les menaces

  • La gestion des appareils mobiles (MDM) applique les politiques de sécurité sur tous les appareils

  • Systèmes d'exploitation supportés uniquement : les appareils doivent exécuter un OS/logiciel bénéficiant d'un support actif du fournisseur

Manipulation des données

  • Les dispositifs de stockage amovibles sont interdits pour les données de l'entreprise

  • L'effacement sécurisé est requis avant toute vente, transfert ou mise au rebut d'un appareil

  • Tâches approuvées uniquement : les appareils des employés sont limités à un usage professionnel autorisé

  • Des emplacements physiques sécurisés sont requis lors de l'accès aux données de l'entreprise à distance

Inventaire des actifs

  • Le suivi des actifs maintient un inventaire systématique de tous les actifs de l'entreprise, y compris les bases de connaissances propriétaires et le code source

  • Des revues annuelles garantissent l'exactitude et la pertinence de l'inventaire

  • Des processus d'élimination sécurisée protègent les actifs déclassés contre les fuites de données

Ressources du système d'IA

  • Les ressources du cycle de vie de l'IA sont identifiées et documentées (fournisseurs de LLM, composants de l'architecture RAG)

  • Les ressources de données pour les systèmes d'IA sont documentées (bases de connaissances propriétaires)

  • Les ressources d'outillage sont documentées (Semgrep, Sentry)

  • Les ressources informatiques sont documentées (infrastructure Vercel, Supabase)

Politique de continuité d'activité, sauvegarde et récupération

Nous maintenons notre résilience grâce à des procédures de reprise après sinistre documentées et des systèmes de sauvegarde automatisés.

Reprise après sinistre

  • Un plan de reprise après sinistre (DRP) est maintenu, approuvé par la direction et mis à jour annuellement

  • Les objectifs de récupération définissent le RTO (temps de rétablissement) et le RPO (perte de données maximale) pour tous les systèmes critiques

  • Des tests annuels valident les procédures de reprise après sinistre

  • Des revues annuelles évaluent la continuité d'activité et les stratégies de redondance, en particulier après des changements majeurs comme l'ajout de fournisseurs d'IA

Exigences de sauvegarde

  • Des sauvegardes continues des bases de données de production protègent les historiques de chat et les fichiers téléchargés, avec récupération à un point précis dans le temps activée

  • Rétention de 7 jours minimum pour les sauvegardes

  • Chiffrement de toutes les sauvegardes au repos et en transit via le chiffrement Supabase

  • Accès restreint aux systèmes de sauvegarde avec journalisation et surveillance complètes

  • Des tests de restauration bi-annuels valident l'intégrité des sauvegardes et les procédures de récupération

  • Une validation annuelle du basculement (failover) pour la redondance et les mécanismes de récupération multi-régions

Politique de gestion des données

Nous traitons les données avec des contrôles stricts alignés sur le RGPD et les meilleures pratiques de protection des données.

Cycle de vie des données

  • Un système de classification de l'inventaire des données catégorise toutes les données (Publiques, Internes, Confidentielles, Secrètes)

  • Suppression sécurisée sur demande formelle ou après expiration de la période de rétention, conformément aux droits du RGPD

  • Minimisation des données — seules les données nécessaires aux fins définies sont collectées et conservées

  • Bases légales de traitement documentées (consentement, contrat, obligation légale, intérêts légitimes)

  • Les registres des activités de traitement documentent les finalités, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité

Chiffrement et transport

  • TLS 1.2 minimum (idéalement 1.3) pour tous les services HTTP externes via Vercel

  • Les en-têtes HSTS sur les applications web de production empêchent les attaques par déclassement de protocole

  • Chiffrement AES-256 au repos pour toutes les bases de données de production via Supabase

Gestion des données d'IA

  • La journalisation de l'acquisition des données suit les détails de la source pour le contenu des bases de connaissances propriétaires

  • Le suivi de la provenance des données tout au long du cycle de vie de l'IA assure la traçabilité dans notre architecture RAG

  • Le contrôle de version et les journaux d'accès gèrent les données pour le développement des systèmes d'IA

  • Des vérifications de la qualité des données par rapport à des critères définis avant utilisation dans les systèmes d'IA

  • Des méthodes de préparation approuvées standardisent le traitement RAG pour des conseils de conformité cohérents

Droits de protection des données

  • Les droits des personnes concernées (accès, suppression, rectification) sont honorés dans les délais légaux requis par le RGPD

  • Mise au rebut sécurisée pour les actifs déclassés stockant des données sensibles

  • Protection des sauvegardes — les sauvegardes suivent les mêmes règles de chiffrement, de rétention et d'accès que les données de production

Pour des détails complets sur nos pratiques de manipulation des données, consultez notre documentation sur la Confidentialité des données et conformité au RGPD.

Politique de développement sécurisé

Nous intégrons la sécurité dans notre cycle de développement, du commit de code au déploiement en production.

Protection du code source

  • Créer une branche dédiée pour tout nouveau développement

  • Des branches par défaut protégées empêchent les « force pushes » vers les dépôts de code en production

  • Exigences de Pull Request — pas de commits directs sur les branches protégées

  • Revue de code obligatoire et approbation avant fusion

  • Des messages de commit standardisés améliorent la traçabilité et les capacités d'audit

Tests de sécurité

  • Des tests automatisés sont exécutés pour chaque commit et pull request avant fusion

  • Une analyse des secrets détecte automatiquement les identifiants exposés via Semgrep

  • Une analyse des vulnérabilités des dépendances sur toutes les bibliothèques tierces via Semgrep SCA

  • Analyse des images de conteneur avant déploiement (le cas échéant)

  • DAST (Dynamic Application Security Testing) sur les environnements de staging

  • SAST (Static Application Security Testing) via Semgrep sur tous les changements de code

  • Blocage du déploiement lorsque des vulnérabilités critiques ou de haute sévérité sont détectées

  • Tests d'intrusion annuels sur les systèmes de production

Flux de travail de développement

  • Ne pas travailler sur de nouvelles fonctionnalités tant que des bugs clés affectent encore les utilisateurs

  • Des branches spécifiques aux fonctionnalités pour un développement et des tests isolés

  • L'environnement de staging reflète la production pour les tests de pré-production

  • Tests locaux requis avant de commiter sur les branches partagées

  • Un SDLC (Software Development Lifecycle) documenté guide les processus de développement

  • Système de suivi des tickets pour le signalement et le suivi des bugs produit

  • L'analyse de sécurité effectue la revue de code et identifie les problèmes de sécurité

  • Tests unitaires et d'intégration requis pour toute la logique métier critique

Contrôles de sécurité

  • Des linters de sécurité (ESLint) empêchent les schémas de codage non sécurisés en TypeScript

  • Les déploiements automatisés suivent des procédures reproductibles et sécurisées via Vercel

  • Des pipelines de déploiement continu pour les changements de code approuvés

  • L'accès au VCS suit le moindre privilège avec MFA obligatoire

  • Des procédures de rotation des identifiants sont exécutées immédiatement en cas de détection de fuite

  • Des coffres-forts sécurisés gèrent les secrets dans les environnements CI/CD et de développement

  • Journalisation de l'activité dans les systèmes de contrôle de version (journaux d'audit GitHub)

Sécurité des applications

  • Politiques CORS correctement configurées pour restreindre les accès non autorisés

  • Les en-têtes CSP (Content Security Policy) empêchent les attaques XSS et par injection

  • Sécurité des cookies — drapeaux HttpOnly et Secure via Supabase Auth

  • Protection CSRF sur toutes les opérations modifiant l'état

  • Épinglage de certificat (certificate pinning) pour les connexions API critiques

  • Sécurité des messages d'erreur — erreurs internes gérées par Sentry, non exposées aux utilisateurs

  • Protection contre l'injection SQL via des requêtes paramétrées et des ORM dans Supabase PostgreSQL

  • Protection XSS par la désinfection des entrées et l'encodage des sorties

  • Validation des entrées pour le type, le format, la longueur et la plage avant traitement

  • Limitation de débit (rate limiting) sur les points de terminaison critiques (authentification, requêtes d'IA)

  • Sécurité des webhooks via la vérification de signature et l'authentification

Protection des données dans le code

  • Pas de mots de passe en clair — chiffrement au niveau des lignes de la base de données

  • Dépendances supportées uniquement — pas de bibliothèques obsolètes ou non supportées en production

  • Configuration externalisée — pas de secrets codés en dur dans le code de l'application

  • Migrations contrôlées par version pour les changements de schéma de base de données

  • Pas de journalisation sensible — les identifiants et les PII ne sont jamais journalisés

  • Les langages sûrs pour la mémoire (TypeScript) sont privilégiés pour les nouveaux développements

Licences et conformité

  • Logiciels sous licence uniquement — des outils correctement licenciés, approuvés et payés sont requis

  • Pas de licences copyleft (GPL v3) pour protéger le code propriétaire

  • Vérification automatisée des licences dans les pipelines CI/CD via Semgrep

  • Communication des changements aux parties prenantes internes et aux utilisateurs externes pour les mises à jour majeures

  • Processus d'assurance qualité pour toutes les versions de production

Notre intégration Semgrep analyse automatiquement chaque modification de code pour détecter les vulnérabilités, les secrets exposés et les problèmes de conformité de licence avant le déploiement.

Politique d'infrastructure sécurisée

Notre infrastructure cloud-native met en œuvre une défense en profondeur avec des contrôles de sécurité automatisés.

Sécurité du réseau

  • Protection par Web Application Firewall (WAF) via Vercel pour toutes les applications faisant face à Internet

  • Protocoles chiffrés uniquement (TLS, SSH) pour toutes les connexions externes

  • La segmentation du réseau isole les environnements de production, de staging et de développement dans l'architecture serverless

  • Règles de pare-feu configurées avec le moindre privilège (refus par défaut) via Vercel

  • Protection DDoS activée pour les ressources exposées à Internet via Vercel

  • TLS 1.2 minimum pour toutes les communications chiffrées

  • TLS direct privilégié par rapport à STARTTLS pour les connexions chiffrées

  • DNSSEC activé pour les zones DNS gérées afin d'empêcher l'usurpation DNS

  • Authentification des e-mails (DKIM, SPF, DMARC) configurée pour les domaines d'envoi

Gestion de l'infrastructure

  • L'infrastructure en tant que code (IaC) gère les configurations Vercel pour plus de répétabilité

  • Journalisation centralisée via Sentry pour tous les composants de l'infrastructure, y compris la capture de l'ID utilisateur (UUID uniquement) en production pour la corrélation d'erreurs et un dépannage plus rapide

  • Auto-scaling configuré via Vercel pour maintenir la disponibilité lors des pics de trafic

  • Alertes automatisées pour les incidents de sécurité et les comportements anormaux via Semgrep et Sentry

  • Réplication de base de données et basculement automatique pour les bases de données critiques via Supabase Enterprise

  • Restrictions sur le compte racine (root) — moindre privilège IAM, le compte root n'est pas utilisé pour les opérations quotidiennes

  • Pistes d'audit activées (journaux Supabase) et surveillées pour la conformité

  • Documentation de l'architecture maintenue et revue annuellement

Durcissement du système

  • Chiffrement de disque activé sur tous les volumes de stockage au repos via Supabase

  • Conteneurs sans racine (rootless) le cas échéant pour réduire les risques d'élévation de privilèges

  • Correctifs de sécurité automatisés dans l'environnement serverless

  • Correctifs critiques appliqués sous 7 jours, correctifs standards sous 30 jours

  • OS supportés uniquement recevant des mises à jour de sécurité actives (garanti par Vercel serverless)

  • Versions LTS pour la stabilité de la production

  • Synchronisation NTP pour des horodatages de journaux précis

  • Rotation trimestrielle des identifiants pour l'infrastructure (clés API, jetons)

Accès et authentification

  • Coffres-forts sécurisés (cloud KMS) pour le stockage des clés cryptographiques

  • Hôtes bastions pour l'accès administratif à l'infrastructure de production

  • Accès au moindre privilège via les contrôles IAM

  • Accès sécurisé VPN/SSH/cloud-native requis pour l'infrastructure de production

  • Comptes de service avec privilèges limités pour les processus automatisés

  • Gestion automatisée des certificats via Vercel (Let's Encrypt)

  • Surveillance de l'expiration des certificats avec alertes à 30, 14 et 7 jours avant expiration

Conformité

  • Contrôles de résidence des données pour les clients de l'UE (AWS Francfort) afin de se conformer au RGPD

Politique de sécurité des ressources humaines

Nous garantissons la sensibilisation à la sécurité et la responsabilité de notre équipe tout au long du cycle de vie de l'employé.

Structure organisationnelle

  • L'organigramme visualise la structure de l'entreprise, mis à jour trimestriellement

  • Des rôles et responsabilités documentés clairement définis (modèle RACI pour les petites équipes)

  • Les descriptions de poste documentent les exigences liées à la sécurité pour le recrutement

Recrutement et intégration

  • Des procédures de recrutement documentées garantissent des embauches vérifiées et réduisent les risques internes

  • Les contrats de travail incluent des clauses de non-divulgation (NDA) et de confidentialité pour protéger la PI

  • L'intégration de sécurité comprend la configuration du MFA et la formation aux politiques de sécurité

  • Formation de sensibilisation à la sécurité complétée par tous les employés

Gestion continue

  • Des évaluations de performance annuelles soutiennent le développement des compétences et la sensibilisation à la sécurité

  • Application de la politique — les employés qui violent les politiques de sécurité font face à des sanctions documentées

  • Signalement d'incidents via un système de tickets ou un e-mail de support pour les préoccupations de sécurité

Départ

  • Des procédures de départ documentées garantissent la désactivation du compte et la révocation de l'accès (critique pour les rôles de super administrateur)

Compétences spécifiques à l'IA

  • Les compétences du personnel en IA sont déterminées et assurées par la formation ou le recrutement

  • La documentation des ressources d'IA suit les compétences et les contributions de l'équipe

  • Sensibilisation à la politique d'IA — le personnel comprend son rôle dans le développement responsable de l'IA

Politique de sécurité des opérations

Nous maintenons la sécurité opérationnelle par la surveillance, la réponse aux incidents et l'amélioration continue.

Opérations de l'infrastructure

  • Un schéma de l'architecture réseau est maintenu et mis à jour annuellement

  • Journalisation des changements d'infrastructure pour les pistes d'audit et la gestion des changements

  • Synchronisation NTP quotidienne pour des horodatages de journaux précis

  • Mises à jour trimestrielles de l'OS du serveur via l'automatisation serverless

  • Agrégation centralisée des journaux via Sentry, capturant les IDs utilisateurs (UUID uniquement) en production pour la corrélation d'erreurs

  • Rétention des journaux de 30 jours pour les journaux de production d'applications

Gestion des menaces

  • Protection WAF pour les applications de production (équivalent Vercel)

  • Tests d'intrusion annuels de l'environnement de production

  • Surveillance active des menaces pour l'infrastructure cloud via Semgrep et Sentry

  • Surveillance en temps réel via Sentry pour une réponse proactive

  • Alertes automatisées pour les incidents de sécurité

Réponse aux incidents

  • Un plan formel de réponse aux incidents pour les problèmes critiques et de sécurité

  • Des alertes Slack pour une notification immédiate des pannes de production

  • Un historique des revues d'incidents est maintenu dans un répertoire centralisé pour les leçons apprises

  • Partage d'événements de sécurité avec les parties concernées pour la transparence

  • Conformité NIS2 : les incidents de cybersécurité significatifs sont signalés aux autorités (alerte précoce sous 24 heures, notification d'incident sans délai indu, rapport final sous un mois)

Sécurité des e-mails

  • Les protocoles SPF, DKIM, DMARC sécurisent les serveurs de messagerie

  • Filtres de sécurité pour la protection contre le spam et les malwares

Communication et transparence

  • Un portail en libre-service fournit la documentation produit aux utilisateurs

  • Le site web public décrit clairement les fonctionnalités et les avantages

  • Une adresse e-mail de signalement de sécurité pour la divulgation coordonnée de vulnérabilités

  • Le Trust Center détaille les pratiques de sécurité et les certifications de conformité

  • Une page de statut publique communique l'état des services et les incidents (prévu)

Atténuation des risques

  • Une assurance cybersécurité protège les activités de l'entreprise contre l'impact financier des incidents de sécurité

Opérations d'IA

  • Surveillance du système d'IA pour la performance et les erreurs, avec remédiation par réentraînement, corrections de code ou mises à jour

  • Journalisation des événements d'IA aux phases clés du cycle de vie avec une tenue de registres complète

Politique de sécurité physique

Nous protégeons les actifs physiques et l'infrastructure par des contrôles de sécurité appropriés.

  • La sécurité des centres de données repose sur des fournisseurs certifiés (Supabase/Vercel avec certifications ISO 27001, SOC 2 Type II)

  • Atténuation des menaces pour les emplacements physiques (extincteurs, etc.) dans le cadre de l'évaluation des risques

  • Mesures de sécurité physiques mises en œuvre pour tous les actifs physiques

  • Contrôle d'accès au bureau par badge ou système de clé (le cas échéant)

  • Enregistrement des visiteurs dans un système numérique pour le suivi des accès au bureau

Politique de gestion des risques

Nous identifions, évaluons et traitons systématiquement les risques liés à notre sécurité de l'information et à nos systèmes d'IA.

Gestion générale des risques

  • Des évaluations de risques annuelles ou selon les besoins identifient et évaluent les menaces de sécurité

  • AIPD (Analyses d'Impact relatives à la Protection des Données) pour les activités de traitement de données personnelles à haut risque

Gestion des risques liés à l'IA

  • Identification annuelle des risques d'IA pour le système de gestion de l'IA

  • Évaluation des risques du système d'IA utilisant une notation de probabilité et d'impact

  • Traitement des risques en appliquant des contrôles, en acceptant, en transférant ou en évitant les risques

  • Analyses d'impact sur les individus et les sociétés avec résultats documentés pour les revues de risques

  • Évaluations à intervalles planifiés ou déclenchées par des changements avec résultats documentés

  • Plans de traitement des risques mis en œuvre, vérifiés et mis à jour avec documentation

Politique relative aux tiers

Nous évaluons et gérons les risques de sécurité provenant de fournisseurs tiers et de prestataires de services.

  • Évaluations annuelles des fournisseurs pour les tiers comme OpenAI et ConvertAPI

  • Responsabilités du cycle de vie de l'IA réparties entre l'organisation, les partenaires, les fournisseurs, les clients et les tiers

  • Examen des fournisseurs pour l'alignement de l'IA avant d'utiliser des services, produits ou composants

  • Intégration des besoins des clients dans l'approche d'IA responsable

  • Évaluation des risques de cybersécurité de la chaîne d'approvisionnement incluant les dépendances de sécurité et les mesures d'atténuation

Nous avons mis en place des accords de rétention de données nulle (Zero Data Retention - ZDR) avec des fournisseurs d'IA tels que Mistral pour renforcer la protection des données et clarifier les responsabilités des tiers.

Politique de gestion de l'IA

Nous gouvernons nos systèmes d'IA via un cadre de gestion complet aligné sur l'ISO 42001.

Système de gestion de l'IA

  • Les enjeux externes et internes pertinents pour les systèmes d'IA sont déterminés et documentés

  • Les parties intéressées sont identifiées ainsi que leurs exigences

  • Les limites et l'applicabilité du système de gestion de l'IA sont définies

  • Amélioration continue du système de gestion de l'IA

  • Engagement de la haute direction démontré (approche « prêcher par l'exemple » menée par le CEO)

Cadre de la politique d'IA

  • Politique d'IA documentée fournissant un cadre pour les objectifs et l'amélioration

  • Alignement de la politique avec les autres politiques organisationnelles

  • Revues à intervalles planifiés de la politique d'IA

  • Objectifs d'IA mesurables cohérents avec la politique, surveillés et mis à jour (ex: métriques de réduction des hallucinations)

Changements au système d'IA

  • Les changements planifiés au système de gestion de l'IA sont exécutés systématiquement (ex: ajout de nouveaux fournisseurs d'IA)

  • L'allocation des ressources pour le système de gestion de l'IA est déterminée et fournie

  • Cadre de communication pour les communications internes et externes sur les systèmes d'IA (inclut le Trust Center)

  • Protection des documents pour les informations du système de gestion de l'IA

Gestion des processus d'IA

  • Processus basés sur les exigences planifiés, mis en œuvre et contrôlés

  • Surveillance de la performance et évaluation avec conservation des preuves

  • Audits internes à intervalles planifiés

  • Revues de direction sur la pertinence du système de gestion de l'IA

  • Actions correctives pour les non-conformités avec documentation

Politique d'analyse d'impact de l'IA

Nous évaluons les conséquences potentielles de nos systèmes d'IA sur les individus et la société.

  • Analyses d'impact annuelles des conséquences du système d'IA sur les individus et les sociétés

  • Les résultats documentés sont conservés à des fins de conformité et d'audit

  • Évaluation de l'impact individuel/groupe prenant en compte la vie privée des utilisateurs et les biais potentiels

  • Évaluation de l'impact sociétal alignée sur la loi sur l'IA (AI Act) de l'UE et des considérations éthiques plus larges

Politique sur le cycle de vie du système d'IA

Nous gérons les systèmes d'IA de manière responsable, de la conception au déploiement et à l'exploitation.

Objectifs de développement

  • Les objectifs d'IA responsable sont identifiés, documentés et intégrés dans le développement RAG

  • Les directives de responsabilité sont suivies lors de la conception et du développement pour réduire les hallucinations

Conception et développement

  • Spécification des exigences pour les systèmes d'IA documentée

  • Documentation de conception basée sur les objectifs et les exigences

  • Vérification et validation par des tests de régression avant le déploiement

  • Déploiement basé sur les exigences — les systèmes ne sont déployés qu'une fois les exigences satisfaites

  • Documentation technique fournie aux parties concernées (équipe et utilisateurs)

Utilisation et information

  • Les informations utilisateur sont déterminées et fournies (guides d'utilisation expliquant les limitations)

  • Capacités de signalement d'impacts négatifs fournies pour les retours utilisateurs

  • Notifications par e-mail pour les incidents d'IA afin de renforcer la confiance

  • Les obligations de signalement aux parties intéressées sont déterminées et documentées

  • Les directives d'utilisation responsable sont suivies pour les systèmes d'IA

  • Les objectifs d'utilisation pour une IA responsable sont identifiés et documentés

  • La surveillance de la finalité prévue garantit une utilisation axée sur la conformité

Mises à jour et revues de la politique

Ces politiques sont revues et mises à jour régulièrement pour maintenir l'alignement avec l'évolution de notre posture de sécurité, les exigences de conformité et les pratiques opérationnelles. Les changements substantiels sont communiqués aux parties prenantes via les canaux appropriés.

Nos politiques de sécurité reflètent notre engagement à « mettre en pratique ce que nous préconisons » en tant que plateforme SaaS axée sur la conformité. Nous mettons en œuvre les mêmes contrôles de sécurité robustes que nous aidons nos clients à atteindre.

Ressources liées

Cela vous a-t-il été utile ?