Sécurité des données

Pratiques de protection des données

Nous avons adopté les principes suivants pour la collecte, l’utilisation, la conservation, le transfert, la divulgation et la destruction des informations personnelles, auxquels les travailleurs doivent se conformer :

  • Nous traiterons les informations personnelles de manière légale, équitable et transparente;
  • Nous ne collectons des informations personnelles qu'à des fins spécifiques, explicites et légitimes;
  • Nous ne traiterons que les informations personnelles qui sont adéquates, pertinentes et nécessaires aux fins pertinentes;
  • Nous conserverons des informations personnelles exactes et prendrons des mesures raisonnables pour veiller à ce que les informations personnelles inexacts sont supprimées ou corrigées sans délai;
  • Nous conserverons les informations personnelless pendant une durée n'excédant pas celle nécessaire aux fins pour lesquelles les informations sont traitées; et
  • Nous prendrons les mesures techniques et organisationnelles appropriées pour garantir que les informations personnelles sont conservées en toute sécurité et protégées contre tout traitement non autorisé ou illégal, ainsi que contre toutes pertes destructions ou dommages accidentels.

Stockage et protection des données

Afin de nous conformer à nos obligations en matière de maintien de la sécurité et de l’intégrité des informations et données personnelles que nous détenons, nos données sont stockées en toute sécurité sur un environnement cloud AWS.

Les caractéristiques générales de la sécurité de nos données sont les suivants:

  • Crisptage de toutes les données en transit comme suit : 
  • L'accàs du client à l’API se fait par HTTPS, et se termine au niveau de l’équilibreur de charge des l’applications AWS;
  • Le trafic entre API et la base de données est interne à notre VPC et crypté; et
  • Client à notre serveur d’authentification des utilisateurs (Auth0) crypté en transit.
  • Crystage des données au repos avec les éléments suivants :
  • Données de la base de données;
  • Journaux de suivi des nuageux; et
  • Journaux de flux VPC.
  • Les données sont chiffrées à l’aide de la norme AES (Advanced Encryption Standard) 256 bits
  • Clés de cryptage gérées par les services de gestion des clés d'AWS; 
  • Rotation des clés de cryptage selon des meilleures pratiques d'AWS;
  • Les journaux de flux VPC sont stockés, cryptés et transmis à la plate-forme centrale de journalisation Splunk;
  • Journaux de suivi de cloud sont stockés de manière cryptée dans S3 et envoyés à la plate-forme centrale de journalisation Splunk; 
  • Tous les journaux de l'application WYWM sont transmis à Splunk pour le débogage et l’analyse ;
  • Envoi d'alertes pour toute modification de la configuration des actifs cloud;
  • Signature unique activée pour tous les administrateurs du cloud avec authentification à 2 facteurs activée; 
  • Autorisation par jeton Web JSON utilisée dans les serveurs API de WYWM pour le contrôle d’accès;
  • Accès SSH désactivé pour toutes les instances de calcul ;
  • Tests réguliers de pénétration de nos systèmes par des tiers; et
  • Les logiciels sont mis à jour en fonction des besoins opérationnels, mais au minimum, tous les quinze jours. Cela comprend l’atténuation des menaces et des vulnérabilités identifiées lors des évaluations périodiques et de l’exploitation du maintien du statu quo.

Avant l’approbation des améliorations et des programmes de la plate-forme WYWM, une évaluation de la sécurité est entreprise pour identifier et évaluer les implications pertinentes en matière de sécurité. Cette évaluation comprend un processus d’atténuation et d’évaluation des risques afin de garantir le maintien et la réduction de la conformité et de la vulnérabilité.

Une diligence raisonnable est également exercée lors de l’évaluation des nouveaux fournisseurs de services informatiques afin de s’assurer que leur introduction ne causera pas de vulnérabilités ou ne réduira pas notre capacité globale de sécurité des données. Nous évaluons également tous les fournisseurs de services informatiques pour vérifier qu'ils respectent la législation et la réglementation en vigueur.

Avec qui nous travaillons

Nous nous associons aux principales agences gouvernementales et aux plus grandes entreprises du monde pour remédier à la pénurie de compétences numériques tout en ayant un impact social positif.
Activités sociales