Pratiques de protection des données
Nous avons adopté les principes suivants pour la collecte, l’utilisation, la conservation, le transfert, la divulgation et la destruction des renseignements personnels, auxquels les travailleurs doivent se conformer :
- Nous traiterons les renseignements personnels de manière légale, équitable et transparente;
- Nous collecterons des informations personnelles à des fins spécifiées, explicites et légitimes uniquement;
- Nous ne traiterons que les informations personnelles qui sont adéquates, pertinentes et nécessaires aux fins pertinentes;
- Nous conserverons des renseignements personnels exacts et prendrons des mesures raisonnables pour nous assurer que les renseignements personnels inexacts sont supprimés ou corrigés sans délai;
- Nous ne conserverons pas les renseignements personnels plus longtemps que nécessaire aux fins pour lesquelles les renseignements sont traités; et
- Nous prendrons les mesures techniques et organisationnelles appropriées pour nous assurer que les informations personnelles sont conservées en toute sécurité et protégées contre tout traitement non autorisé ou illégal, et contre les pertes, les destructions ou les dommages accidentels.
Stockage et protection des données
Afin de nous conformer à nos obligations en ce qui concerne le maintien de la sécurité et de l’intégrité des informations personnelles et des données que nous détenons, nos données sont stockées en toute sécurité sur un environnement cloud AWS.
Les caractéristiques générales de sécurité de notre sécurité des données comprennent:
- Chiffrement de toutes les données en transit comme suit :
- Le client à l’API est HTTPS, terminé à L’équilibreur de charge de l’application AWS;
- Le trafic API vers base de données est interne à notre VPC et crypté; et
- Client à notre serveur d’authentification utilisateur (Auth0) crypté en transit.
- Chiffrement des données au repos avec les éléments suivants :
- Données de la base de données;
- Journaux de sentiers nuageux; et
- Journaux de flux VPC.
- Les données sont chiffrées à l’aide de la norme AES (Advanced Encryption Standard) 256 bits
- Clés de chiffrement gérées par les services de gestion des clés AWS;
- Les clés de chiffrement ont pivoté en fonction des meilleures pratiques AWS;
- Les journaux de flux VPC stockés, chiffrés et diffusés sur la plateforme de journalisation centrale Splunk;
- Journaux de piste cloud stockés cryptés dans S3 et envoyés à la plateforme de journalisation centrale Splunk;
- Tous les journaux d’application WYWM ont afflué vers Splunk pour le débogage/ l’analyse ;
- Alertes envoyées pour toute modification de la configuration des actifs cloud;
- L’authentification unique est activée pour tous les administrateurs cloud avec l’authentification à 2 facteurs activée;
- Autorisation de jeton Web JSON utilisée dans les serveurs d’API WYWM pour le contrôle d’accès;
- Accès SSH désactivé à toutes les instances de calcul ;
- Tests de pénétration réguliers de nos systèmes par 3ème partie; et
- Le logiciel est mis à jour en fonction des exigences opérationnelles, mais au minimum, sur une base bimensuelle. Cela comprend l’atténuation des menaces et des vulnérabilités identifiées lors des évaluations périodiques et de l’exploitation du maintien du statu quo.
- Avant l’approbation des améliorations et des programmes de la plateforme WYWM, une évaluation de la sécurité est entreprise pour identifier et évaluer les implications pertinentes en matière de sécurité. Cette évaluation comprend un processus d’atténuation et d’évaluation des risques pour s’assurer que la conformité et la vulnérabilité sont maintenues et minimisées.
- Une diligence raisonnable est également exercée lors de l’évaluation des nouveaux fournisseurs de services informatiques pour s’assurer que leur introduction n’entraînera pas de vulnérabilités ou ne réduira pas notre capacité globale de sécurité des données.
- Nous évaluons également la conformité de tous les fournisseurs de services informatiques à la législation et aux réglementations pertinentes.
