Confidentialité et sécurité au sein d’Avature Cloud

Notre technologie de pointe ainsi que notre vaste expérience opérationnelle garantissent la conformité du traitement des données de nos clients aux principales réglementations en matière de confidentialité, notamment le RGPD, CCPA, HIPAA, PIPEDA (LPRPDE), PIPL, APPI et l’Australian Privacy Act.

La différence avec Avature

Depuis plus de 15 ans, Avature fournit des services de traitement des données conçus pour promouvoir les principes fondamentaux de la confidentialité en matière de notification, de choix, d’accès, d’usage et de divulgation.

Nous permettons à nos clients de définir des configurations différenciées de la plate-forme SaaS afin de garantir la conformité avec leurs obligations spécifiques en matière de confidentialité dans les juridictions où ils exercent leurs activités. Ces options de contrôle de données, combinées avec nos contrôles organisationnels matures, nos mesures techniques de protection et nos capacités de localisation, constituent l’une des options les plus complètes disponibles à ce jour en matière de traitement des données conforme à la confidentialité.

Avature, dans sa capacité de traitement des données, se conforme à tous les principaux règlements, traités et conventions internationaux en matière de confidentialité. Notre solide programme de sécurité de l’information est conçu pour empêcher tout accès non autorisé aux données des clients, et notre architecture technique garantit à tout moment la disponibilité et l’intégrité des données des clients.

Pour en savoir plus sur l’approche d’Avature en matière de confidentialité, cliquez ici

Audits et certifications

Les opérations, les politiques et les contrôles d’Avature font l’objet d’audits réguliers afin de garantir qu’Avature respecte et dépasse l’ensemble des exigences attendues d’un fournisseur de services technologiques de classe mondiale. La norme d’excellence d’Avature est soutenue par notre engagement à maintenir nos certifications ISO, SOC 1 et SOC 2.

Inscriptions, auto-évaluations et normes

Les leaders du marché font confiance à Avature

9

des 15 plus importantes
banques mondiales

5

des 10 plus grandes
entreprises de technologie

28

au classement
Forbes Global 100

Construit sur une base de confiance et de conformité

Disponibilité

Avature a constamment atteint son objectif de disponibilité des données au cours des cinq dernières années.

Accès « Client léger »

Il suffit d’un navigateur pour accéder à la plate-forme Avature. Avature prend en charge les principaux navigateurs, notamment Microsoft Edge, Firefox, Chrome et Safari et est accessible sur iOS et Android. Avature n’utilise pas Adobe Flex, Active X ou les plug-ins Java, aucune configuration spéciale n’est donc nécessaire pour l’utiliser sur ordinateurs de bureau. L’interface utilisateur d’Avature est aussi adaptée aux téléphones mobiles, ce qui garantit une expérience mobile fluide et sans limites.

Sauvegarde et restauration

Pour minimiser le risque de perte de données en cas de défaillance des données primaires, Avature effectue une sauvegarde complète des données de chaque client quotidiennement (c.-à-d., sauvegarde incrémentielle/différentielle) et hebdomadaire (c.-à-d., sauvegarde complète). Les sauvegardes sont cryptées et stockées dans deux environnements de production séparés et les fonctions de restauration sont testées périodiquement. Un stockage hors site est fourni par AWS S3 et Glacier.

Reprise après sinistre

Comme les instances d’Avature se présentent par paires, chaque instance client possède une réplique hébergée sur un centre de données alternatif. La réplication à grande échelle en temps quasi réel maintient la réplique synchronisée et fournit une instance alternative pour le shuntage des requêtes lentes et la génération de rapports. Dans le cas peu probable d’une défaillance du centre de données, les utilisateurs sont dirigés vers la réplique (qui devient l’instance de production primaire), et une nouvelle réplique est créée. Ce dispositif de sécurité au niveau des applications simplifie le processus de reprise après sinistre et garantit le respect des objectifs de point de reprise (RPO) et de délai de reprise (RTO).

Sécurité physique et hébergement

Nous proposons un hébergement sur Avature Private Cloud ou sur le cloud public d’Amazon Web Services (AWS). Dans les deux cas, les clients peuvent choisir la région dans laquelle se trouvent les centres de données qui stockent et traitent les données.

Hébergement cloud : Public et privé

Le cloud privé d’Avature est exploité à partir de centres de données en colocation neutres vis-à-vis des opérateurs situés aux États-Unis, en Europe et en Asie.

Nous fournisseurs comprennent Equinix, Telehouse, Digital Reality et Internap. Tous nos centres de données sont des centres de données classés niveau 3+, ce qui signifie qu’ils ont une redondance N+1 et sont des points d’appairage majeurs pour Internet. Il s’agit d’installations hautement sécurisées. Outre les rapports d’audit SOC 2 et la certification ISO 27001/2, toutes les installations sont dotées d’une clôture périphérique, de contrôles d’accès biométriques, d’une surveillance vidéo et d’un personnel de sécurité sur site. Dans ces centres de données, Avature exploite non seulement son propre matériel et ses propres réseaux, mais passe aussi des contrats avec de multiples transporteurs IP de niveau 1 (c.-à-d. dorsale) et de niveau 2 (c.-à-d. métro) pour obtenir une faible latence mondiale et régionale.

Pour les clients qui préfèrent un cloud public de marque, Avature héberge dans le monde entier sur Amazon Web Services (AWS). À l’exception de la Chine continentale, les clients d’Avature sont libres de choisir les zones géographiques d’AWS qui accueilleront leurs instances primaires et secondaires. Pour les clients chargés de respecter les exigences de conformité du gouvernement américain (FedRAMP, CJIS, ITAR, EAR, DOD, etc.), nous hébergeons également sur AWS GovCloud.

Emplacements des centres de données :

  • New York et New Jersey, États-Unis
  • Amsterdam, Pays-Bas
  • Francfort, Allemagne
  • Shanghai, Chine

Sécurité du réseau

Les passerelles Avature sont protégées par des pare-feux d’application configurés pour protéger contre les attaques par déni de service (DOS). Avature utilise un logiciel de détection d’intrusion pour déceler les modèles de trafic anormaux et réalise de manière hebdomadaire des analyses de vulnérabilités automatisées du réseau depuis l’extérieur de notre périmètre sur l’intégralité de notre plage IP. Nous utilisons un processus de mise à jour à chaud, et une présence est assurée 24 heures sur 24, 7 jours sur 7. Le test d’intrusion et l’audit biannuels réalisés par un tiers certifié PCI pour nos applications comprennent également notre réseau.

Accessibilité

Conscient de l’importance de fournir la meilleure expérience possible à l’ensemble des utilisateurs, le programme d’accessibilité du Web d’Avature est conçu pour offrir une expérience utilisateur inclusive, large et unifiée. Avature fournit des solutions conformes aux directives d’accessibilité aux contenus Web (en particulier WCAG 2.0, niveau AA), ce qui permet à nos clients d’utiliser des technologies d’assistance courantes afin d’accéder à notre cadre de portail et aux solutions qui en découlent. Non seulement nous évaluons en permanence l’accessibilité, mais le studio de conception d’Avature aide nos clients à concevoir des sites carrière et des landing pages accessibles (par exemple, en les conseillant sur les modèles de couleurs), et les soutient en fournissant des tests et des audits d’accessibilité. Bien que nous concevions nos portails de manière à ce qu’ils soient accessibles à tous les utilisateurs, nous conseillons à nos clients de consulter un conseiller juridique sur les questions d’accessibilité, car nous ne pouvons pas garantir que les choix de configuration individuels sont conformes aux obligations réglementaires de la juridiction respective de chaque client.

Sécurité des applications

Conception à faible risque

Le modèle de pointe SaaS d’Avature donne à chaque client sa propre instance logique totalement séparée de l’application. Comme nous ne mettons pas en commun les données des clients et qu’il n’existe pas de point d’accès universel, nous ne courons pas le risque de mélanger les données d’un client avec celles d’un autre. Grâce au fait que des centaines de clients partagent une base de code commune, Avature identifie les problèmes avant même que les clients ne les signalent. Notre cycle de vie de développement logiciel à microversion à haute fréquence (HF-SDLC) nous permet d’effectuer des mises à jour rapides sans devoir recourir à des correctifs. Ainsi, les corrections ne sont pas seulement effectuées plus rapidement, mais aussi avec moins de risques. En outre, qu’elles transitent de votre navigateur à notre serveur ou qu’elles soient au repos dans des environnements de production, vos données sont toujours protégées par un cryptage fort ou complet du disque.

Contrôle d’accès en fonction du rôle

L’accès à la sécurité chez Avature repose sur les rôles et prend en charge l’authentification unique (SAML) et l’authentification à facteurs multiples (MFA). Puisque l’accès est enregistré en temps réel, les administrateurs du système sont autorisés à observer et à mettre fin manuellement aux sessions actives des utilisateurs en cas de besoin. Comme il n’y a pas de rôles prédéfinis dans Avature, les schémas d’autorisation permettent aux clients de définir et d’affecter des utilisateurs à des groupes, des rôles et des privilèges spécifiques, ce qui garantit que l’accès aux données et le contrôle du traitement peuvent être finement segmentés sur l’ensemble de la population d’utilisateurs d’un client. Des fonctions de sécurité supplémentaires, telles que la liste blanche des adresses IP, l’authentification des certificats en fonction du matériel et le cryptage spécifique aux champs pour les données sensibles (par exemple, les SSN), offrent aux clients une expérience de sécurité des applications à la pointe du secteur.

Tenue d’un journal

Le journal d’Avature enregistre les activités de l’utilisateur au sein de l’application, notamment l’historique des connexions de l’utilisateur, les tentatives de connexion réussies et échouées (avec l’IP distante et l’horodatage) et les modifications de données dans les enregistrements, les changements de configuration du workflow et les changements de configuration des paramètres de sécurité.

Tests de sécurité intégrés

Chaque version d’Avature est soumise à plus de 10 000 tests, y compris des tests contre les 10 principales menaces de l’OWASP, ainsi qu’un ensemble exhaustif de tests d’évaluation des performances.

Tests périodiques par des tiers

Une société de sécurité partenaire certifiée PCI (Payment Card Industry) réalise de manière biannuelle un test d’intrusion et un audit relatif à notre application, à l’application mobile, et au réseau. Nos clients ont la possibilité d’accéder à ces résultats à tout moment.

Tests clients

Chez Avature, nous permettons à nos clients d’effectuer leurs propres tests de vulnérabilité des applications contre une copie de leur instance configurée dans un environnement en quarantaine. Les données sont masquées et nos clients peuvent faire appel à des sociétés de test tierces pour exécuter le travail. Nos clients procèdent habituellement à plusieurs tests par trimestre.

Sécurité opérationnelle et conformité

Le principe « Zero Trust », ne faire confiance à personne

La confidentialité, la protection des données et la conformité constituent l’épine dorsale de notre cadre de sécurité opérationnelle. Dès lors, tous les employés d’Avature participent à un programme de sécurité formel fondé sur le principe du « zero trust ». Avant l’entrée en fonction – et comme condition d’embauche – tous les employés sont soumis à une vérification complète de leurs antécédents axée sur la formation, les références personnelles, les employeurs précédents et tout casier judiciaire actuel ou antérieur, conformément à la législation locale.

L’ensemble des employés et consultants sont tenus de signer un accord de confidentialité et de participer à la formation continue d’Avature en matière de sécurité et de conformité. Conformément aux meilleures pratiques de « moindre privilège », nous appliquons également des autorisations d’accès en fonction des rôles afin de séparer les tâches des employés et de limiter l’accès aux données sensibles.

Appui en matière de conformité

Grâce à notre haute configurabilité et à notre flexibilité, nous aidons nos clients à s’adapter aux obligations de conformité légales et règlementaires de plus en plus rigoureuses, au niveau mondial. Les exigences de conformité peuvent varier du RGPD en Europe, à l’égalité d’accès à l’emploi et l’OFCCP aux États-Unis, en passant par des lois spécifiques telles que le Privacy Act de 1988 en Australie, ou bien celles réglementant les données en Russie. Nos solutions permettent la collecte et le stockage automatique et approprié des données relatives à la conformité, y compris les critères de recherche et les résultats. Les clients peuvent demander un consentement avant la création d’un profil, envoyer des rappels aux parties prenantes avant de supprimer les informations, traiter des enregistrements de manière différente en fonction de la date ou du pays, et conserver anonymement ou alors supprimer certains types d’information. Notre gamme complète d’options pour la gestion des doublons permet également de garantir que tous les profils individuels sont traités de manière uniforme. Veuillez consulter le contenu connexe ci-dessous pour plus d’informations relatives aux exigences attendues en entreprise, en matière de RGPD ou d’OFCCP.

Avature a constamment atteint son objectif de disponibilité des données au cours des cinq dernières années.

Accès « Client léger »

Il suffit d’un navigateur pour accéder à la plate-forme Avature. Avature prend en charge les principaux navigateurs, notamment Microsoft Edge, Firefox, Chrome et Safari et est accessible sur iOS et Android. Avature n’utilise pas Adobe Flex, Active X ou les plug-ins Java, aucune configuration spéciale n’est donc nécessaire pour l’utiliser sur ordinateurs de bureau. L’interface utilisateur d’Avature est aussi adaptée aux téléphones mobiles, ce qui garantit une expérience mobile fluide et sans limites.

Sauvegarde et restauration

Pour minimiser le risque de perte de données en cas de défaillance des données primaires, Avature effectue une sauvegarde complète des données de chaque client quotidiennement (c.-à-d., sauvegarde incrémentielle/différentielle) et hebdomadaire (c.-à-d., sauvegarde complète). Les sauvegardes sont cryptées et stockées dans deux environnements de production séparés et les fonctions de restauration sont testées périodiquement. Un stockage hors site est fourni par AWS S3 et Glacier.

Reprise après sinistre

Comme les instances d’Avature se présentent par paires, chaque instance client possède une réplique hébergée sur un centre de données alternatif. La réplication à grande échelle en temps quasi réel maintient la réplique synchronisée et fournit une instance alternative pour le shuntage des requêtes lentes et la génération de rapports. Dans le cas peu probable d’une défaillance du centre de données, les utilisateurs sont dirigés vers la réplique (qui devient l’instance de production primaire), et une nouvelle réplique est créée. Ce dispositif de sécurité au niveau des applications simplifie le processus de reprise après sinistre et garantit le respect des objectifs de point de reprise (RPO) et de délai de reprise (RTO).

Nous proposons un hébergement sur Avature Private Cloud ou sur le cloud public d’Amazon Web Services (AWS). Dans les deux cas, les clients peuvent choisir la région dans laquelle se trouvent les centres de données qui stockent et traitent les données.

Hébergement cloud : Public et privé

Le cloud privé d’Avature est exploité à partir de centres de données en colocation neutres vis-à-vis des opérateurs situés aux États-Unis, en Europe et en Asie.

Nous fournisseurs comprennent Equinix, Telehouse, Digital Reality et Internap. Tous nos centres de données sont des centres de données classés niveau 3+, ce qui signifie qu’ils ont une redondance N+1 et sont des points d’appairage majeurs pour Internet. Il s’agit d’installations hautement sécurisées. Outre les rapports d’audit SOC 2 et la certification ISO 27001/2, toutes les installations sont dotées d’une clôture périphérique, de contrôles d’accès biométriques, d’une surveillance vidéo et d’un personnel de sécurité sur site. Dans ces centres de données, Avature exploite non seulement son propre matériel et ses propres réseaux, mais passe aussi des contrats avec de multiples transporteurs IP de niveau 1 (c.-à-d. dorsale) et de niveau 2 (c.-à-d. métro) pour obtenir une faible latence mondiale et régionale.

Pour les clients qui préfèrent un cloud public de marque, Avature héberge dans le monde entier sur Amazon Web Services (AWS). À l’exception de la Chine continentale, les clients d’Avature sont libres de choisir les zones géographiques d’AWS qui accueilleront leurs instances primaires et secondaires. Pour les clients chargés de respecter les exigences de conformité du gouvernement américain (FedRAMP, CJIS, ITAR, EAR, DOD, etc.), nous hébergeons également sur AWS GovCloud.

Emplacements des centres de données :

  • New York et New Jersey, États-Unis
  • Amsterdam, Pays-Bas
  • Francfort, Allemagne
  • Shanghai, Chine

Sécurité du réseau

Les passerelles Avature sont protégées par des pare-feux d’application configurés pour protéger contre les attaques par déni de service (DOS). Avature utilise un logiciel de détection d’intrusion pour déceler les modèles de trafic anormaux et réalise de manière hebdomadaire des analyses de vulnérabilités automatisées du réseau depuis l’extérieur de notre périmètre sur l’intégralité de notre plage IP. Nous utilisons un processus de mise à jour à chaud, et une présence est assurée 24 heures sur 24, 7 jours sur 7. Le test d’intrusion et l’audit biannuels réalisés par un tiers certifié PCI pour nos applications comprennent également notre réseau.

Conscient de l’importance de fournir la meilleure expérience possible à l’ensemble des utilisateurs, le programme d’accessibilité du Web d’Avature est conçu pour offrir une expérience utilisateur inclusive, large et unifiée. Avature fournit des solutions conformes aux directives d’accessibilité aux contenus Web (en particulier WCAG 2.0, niveau AA), ce qui permet à nos clients d’utiliser des technologies d’assistance courantes afin d’accéder à notre cadre de portail et aux solutions qui en découlent. Non seulement nous évaluons en permanence l’accessibilité, mais le studio de conception d’Avature aide nos clients à concevoir des sites carrière et des landing pages accessibles (par exemple, en les conseillant sur les modèles de couleurs), et les soutient en fournissant des tests et des audits d’accessibilité. Bien que nous concevions nos portails de manière à ce qu’ils soient accessibles à tous les utilisateurs, nous conseillons à nos clients de consulter un conseiller juridique sur les questions d’accessibilité, car nous ne pouvons pas garantir que les choix de configuration individuels sont conformes aux obligations réglementaires de la juridiction respective de chaque client.

Conception à faible risque

Le modèle de pointe SaaS d’Avature donne à chaque client sa propre instance logique totalement séparée de l’application. Comme nous ne mettons pas en commun les données des clients et qu’il n’existe pas de point d’accès universel, nous ne courons pas le risque de mélanger les données d’un client avec celles d’un autre. Grâce au fait que des centaines de clients partagent une base de code commune, Avature identifie les problèmes avant même que les clients ne les signalent. Notre cycle de vie de développement logiciel à microversion à haute fréquence (HF-SDLC) nous permet d’effectuer des mises à jour rapides sans devoir recourir à des correctifs. Ainsi, les corrections ne sont pas seulement effectuées plus rapidement, mais aussi avec moins de risques. En outre, qu’elles transitent de votre navigateur à notre serveur ou qu’elles soient au repos dans des environnements de production, vos données sont toujours protégées par un cryptage fort ou complet du disque.

Contrôle d’accès en fonction du rôle

L’accès à la sécurité chez Avature repose sur les rôles et prend en charge l’authentification unique (SAML) et l’authentification à facteurs multiples (MFA). Puisque l’accès est enregistré en temps réel, les administrateurs du système sont autorisés à observer et à mettre fin manuellement aux sessions actives des utilisateurs en cas de besoin. Comme il n’y a pas de rôles prédéfinis dans Avature, les schémas d’autorisation permettent aux clients de définir et d’affecter des utilisateurs à des groupes, des rôles et des privilèges spécifiques, ce qui garantit que l’accès aux données et le contrôle du traitement peuvent être finement segmentés sur l’ensemble de la population d’utilisateurs d’un client. Des fonctions de sécurité supplémentaires, telles que la liste blanche des adresses IP, l’authentification des certificats en fonction du matériel et le cryptage spécifique aux champs pour les données sensibles (par exemple, les SSN), offrent aux clients une expérience de sécurité des applications à la pointe du secteur.

Tenue d’un journal

Le journal d’Avature enregistre les activités de l’utilisateur au sein de l’application, notamment l’historique des connexions de l’utilisateur, les tentatives de connexion réussies et échouées (avec l’IP distante et l’horodatage) et les modifications de données dans les enregistrements, les changements de configuration du workflow et les changements de configuration des paramètres de sécurité.

Tests de sécurité intégrés

Chaque version d’Avature est soumise à plus de 10 000 tests, y compris des tests contre les 10 principales menaces de l’OWASP, ainsi qu’un ensemble exhaustif de tests d’évaluation des performances.

Tests périodiques par des tiers

Une société de sécurité partenaire certifiée PCI (Payment Card Industry) réalise de manière biannuelle un test d’intrusion et un audit relatif à notre application, à l’application mobile, et au réseau. Nos clients ont la possibilité d’accéder à ces résultats à tout moment.

Tests clients

Chez Avature, nous permettons à nos clients d’effectuer leurs propres tests de vulnérabilité des applications contre une copie de leur instance configurée dans un environnement en quarantaine. Les données sont masquées et nos clients peuvent faire appel à des sociétés de test tierces pour exécuter le travail. Nos clients procèdent habituellement à plusieurs tests par trimestre.

Le principe « Zero Trust », ne faire confiance à personne

La confidentialité, la protection des données et la conformité constituent l’épine dorsale de notre cadre de sécurité opérationnelle. Dès lors, tous les employés d’Avature participent à un programme de sécurité formel fondé sur le principe du « zero trust ». Avant l’entrée en fonction – et comme condition d’embauche – tous les employés sont soumis à une vérification complète de leurs antécédents axée sur la formation, les références personnelles, les employeurs précédents et tout casier judiciaire actuel ou antérieur, conformément à la législation locale.

L’ensemble des employés et consultants sont tenus de signer un accord de confidentialité et de participer à la formation continue d’Avature en matière de sécurité et de conformité. Conformément aux meilleures pratiques de « moindre privilège », nous appliquons également des autorisations d’accès en fonction des rôles afin de séparer les tâches des employés et de limiter l’accès aux données sensibles.

Appui en matière de conformité

Grâce à notre haute configurabilité et à notre flexibilité, nous aidons nos clients à s’adapter aux obligations de conformité légales et règlementaires de plus en plus rigoureuses, au niveau mondial. Les exigences de conformité peuvent varier du RGPD en Europe, à l’égalité d’accès à l’emploi et l’OFCCP aux États-Unis, en passant par des lois spécifiques telles que le Privacy Act de 1988 en Australie, ou bien celles réglementant les données en Russie. Nos solutions permettent la collecte et le stockage automatique et approprié des données relatives à la conformité, y compris les critères de recherche et les résultats. Les clients peuvent demander un consentement avant la création d’un profil, envoyer des rappels aux parties prenantes avant de supprimer les informations, traiter des enregistrements de manière différente en fonction de la date ou du pays, et conserver anonymement ou alors supprimer certains types d’information. Notre gamme complète d’options pour la gestion des doublons permet également de garantir que tous les profils individuels sont traités de manière uniforme. Veuillez consulter le contenu connexe ci-dessous pour plus d’informations relatives aux exigences attendues en entreprise, en matière de RGPD ou d’OFCCP.

Ressources connexes