Ce qui suit décrit les normes de sécurité de Stintar en ce qui concerne les contrôles administratifs, techniques et physiques applicables au Service. Les termes commençant par une majuscule auront la signification qui leur est attribuée dans le Contrat, sauf définition contraire dans les présentes.
1. Programme de sécurité
1.1 Programme de sécurité. Stintar mettra en œuvre et maintiendra un programme de sécurité des informations basé sur les risques qui comprend des protections administratives, techniques et organisationnelles conçues pour protéger la confidentialité, l'intégrité et la disponibilité des données client.
1.2 Organisation de la sécurité. Stintar disposera d'une équipe de sécurité dédiée chargée de la mise en œuvre, de la maintenance, de la surveillance et de l'application des mesures de sécurité alignées sur le système de gestion de la sécurité de l'information.
2. Évaluations de sécurité, certifications et attestations
2.1 Surveillance du programme de sécurité. Stintar effectue des évaluations périodiques pour surveiller son programme de sécurité de l'information afin d'identifier les risques et de garantir le fonctionnement efficace des contrôles en effectuant des tests d'intrusion, des audits internes et des évaluations des risques.
2.2 Tests d'intrusion. Stintar engagera un tiers qualifié pour effectuer des tests d'intrusion couvrant l'étendue des services au moins une fois par an. Stintar mettra à la disposition de ses clients un résumé du test d'intrusion le plus récemment réalisé conformément à la section 2.5.
2.3 Programme de prime aux bogues. Stintar doit maintenir un programme de bug bounty qui permet aux chercheurs indépendants en sécurité de signaler en permanence les menaces et les vulnérabilités de sécurité. Les constatations identifiées doivent être traitées et atténuées en fonction du risque et en temps opportun.
2.4 Artefacts de sécurité. Stintar mettra à la disposition du client des artefacts de sécurité qui démontrent sa conformité à ces normes de sécurité des données et aux cadres répertoriés dans la section 2.2. Les artefacts comprendront des questionnaires conformes aux normes de l'industrie, un résumé des résultats des tests d'intrusion et un résumé du plan de continuité des activités et de reprise après sinistre.
2.5 Audits clients. Dans la mesure où le Client ne peut raisonnablement confirmer la conformité de Stintar à ces normes de sécurité des données avec les informations fournies par Stintar, le Client peut faire une demande écrite pour effectuer un audit à distance aux frais du Client avec un préavis d'au moins trente jours. La demande écrite doit préciser les zones qui ne peuvent être confirmées au travers des artefacts mis à disposition du Client. L'audit doit être effectué pendant la Durée d'abonnement et sa portée doit être mutuellement convenue entre le Client et Stintar avant le début de l'audit. L'audit doit être effectué pendant les heures normales de bureau avec une perturbation minimale des opérations commerciales de Stintar et n'aura pas lieu plus d'une fois par an.
3. Gestion des incidents de sécurité
3.1 Surveillance de la sécurité. Stintar surveillera ses systèmes d'information pour identifier les accès non autorisés, les comportements inattendus, certaines signatures d'attaque et d'autres indicateurs d'un incident de sécurité.
3.2 Réponse aux incidents. Stintar maintiendra un plan de réponse aux incidents de sécurité qui est examiné et testé au moins une fois par an pour établir une réponse raisonnable et cohérente aux incidents de sécurité et aux incidents de sécurité présumés impliquant la destruction accidentelle ou illégale, la perte, le vol, l'altération, la divulgation non autorisée ou l'accès à , Données client transmises, stockées ou autrement traitées par Stintar.
3.3 Notification des incidents. Stintar enquêtera rapidement sur un incident de sécurité dès qu'il en aura connaissance. Dans la mesure permise par la loi applicable, Stintar informera les clients d'un incident de sécurité conformément à ses obligations en vertu de l'addendum sur le traitement des données. Le client est responsable de fournir à Stintar des informations de contact de sécurité mises à jour dans la console d'administration, comme décrit ici.
4. Contrôles de sécurité
4.1 Contrôle d'accès
4.1.1 Accès restreint. L'accès aux données client est limité au personnel Stintar autorisé qui est tenu d'accéder aux données client pour exécuter des fonctions dans le cadre de la fourniture de services. L'accès est accordé sur la base du principe du moindre privilège et l'accès accordé est proportionnel à la fonction professionnelle. L'accès aux données client doit se faire via des noms d'utilisateur et des mots de passe uniques et l'authentification multifacteur doit être activée. L'accès est désactivé dans un délai d'un jour ouvrable après le licenciement d'un employé.
4.1.2 Mots de passe. Stintar maintiendra une politique de mot de passe qui respecte les exigences de mot de passe secret mémorisé NIST 800-63b.
4.2 Sécurité des applications
4.2.1 SDLC. Stintar maintiendra une politique formelle de gestion des changements qui garantit que la sécurité est intégrée tout au long du cycle de vie du développement logiciel et prend en compte les 10 principaux risques de sécurité des applications Web de l'OWASP.
4.2.2 Révision et tests du code. Toutes les modifications apportées au code ayant un impact sur les données client seront examinées et testées avant d'être déployées en production.
4.2.3 Gestion des vulnérabilités. Stintar maintiendra un programme de gestion des vulnérabilités qui garantit que les vulnérabilités identifiées sont priorisées, traitées et atténuées en fonction du risque. Stintar déploiera des efforts commercialement raisonnables pour remédier aux vulnérabilités critiques dans un délai de 30 jours.
4.2.4 Dépendances de logiciels tiers. Stintar doit s'assurer que les bibliothèques et composants tiers sont gérés de manière appropriée et que les mises à jour sont installées en temps opportun lorsqu'il est déterminé qu'il existe un risque potentiel d'affecter la sécurité de notre produit.
4.3 Cryptage. Stintar chiffrera les données client en transit et au repos à l'aide d'algorithmes de chiffrement standard de l'industrie adaptés au mécanisme de transfert (par exemple, TLS 1.2, AES-256).
4.4 Disponibilité et reprise après sinistre. Stintar mettra en œuvre et maintiendra un ensemble documenté de politiques et de procédures de reprise après sinistre pour permettre la récupération ou la poursuite de l'infrastructure et des systèmes technologiques vitaux après une catastrophe. De plus, Stintar effectuera des tests annuels de son plan de reprise après sinistre et mettra à la disposition de ses clients un résumé des résultats.
4.5 Sauvegardes. Stintar effectuera des sauvegardes régulières des données client et veillera à ce que les sauvegardes bénéficient des mêmes protections que les bases de données de production.
4.6 Sécurité de l'appareil. Les appareils Stintar qui accèdent aux données client doivent être gérés de manière centralisée et les paramètres de sécurité suivants doivent être activés : le cryptage du disque dur, le mot de passe local activé et un logiciel antivirus et/ou anti-malware doivent être installés, activés en permanence et automatiquement mis à jour.
4.7 Sécurité physique. Stintar veillera à ce que tous les emplacements physiques qui traitent, stockent ou transmettent les données client soient situés dans une installation physique sécurisée. Stintar doit examiner les certifications de sécurité tierces (par exemple SOC 2 Type 2) de ses fournisseurs d'hébergement cloud tiers au moins une fois par an pour garantir que des contrôles de sécurité physique appropriés sont en place.
4.8 Gestion des risques liés aux fournisseurs. Stintar doit maintenir un programme formel de gestion des risques liés aux fournisseurs qui garantit que tous les fournisseurs tiers ayant accès aux données client subissent une évaluation des risques avant d'être intégrés. Les fournisseurs ayant accès aux données des clients doivent conclure un accord de traitement des données avec Stintar pour garantir qu'ils sont contractuellement tenus de protéger nos informations et de répondre aux exigences minimales de sécurité et de confidentialité des informations, y compris le signalement des incidents et des violations de sécurité.
4.9 Évaluation des risques. Stintar maintiendra un programme de gestion des risques pour identifier, surveiller et gérer les risques pouvant avoir un impact sur la confidentialité, l'intégrité et la disponibilité des données client.
4.10 Formation à la sécurité. Stintar fournira à son personnel une formation sur la sécurité des informations et la confidentialité dès son embauche et au moins une fois par an par la suite. De plus, tous les employés doivent signer et reconnaître la politique de sécurité des informations et de protection des données de Stintar lors de leur embauche.
4.11 Sécurité du personnel. Stintar effectuera des vérifications des antécédents des employés qui ont accès aux données client conformément aux lois, réglementations, exigences éthiques et/ou pratiques locales acceptées pour les juridictions non américaines pour chaque individu au moins lors de l'embauche initiale (sauf interdiction par la loi). . Le niveau de vérification doit être approprié en fonction du rôle de l'employé, de la sensibilité des informations auxquelles il faut accéder dans le cadre de l'exercice de ses fonctions, des risques pouvant découler d'une mauvaise utilisation des informations et des pratiques locales acceptées dans les pays non américains. juridictions. Les vérifications suivantes doivent être effectuées pour chaque individu au moins lors de l'embauche initiale, sauf interdiction par la loi ou incompatible avec les pratiques locales acceptées dans les juridictions non américaines : (i) vérification de l'identité et (ii) antécédents criminels.
5. Mises à jour des normes de sécurité des données
Le Client reconnaît que Stintar peut mettre à jour ou modifier les normes de sécurité des données de temps à autre, à condition que ces mises à jour et modifications ne dégradent pas ou ne diminuent pas la sécurité globale du Service.