Sécurité
1. Vue d'ensemble
HireSweet prend sa posture de sécurité très au sérieux : garder les données de nos clients protégées à tout moment est notre plus grande priorité. Tous les employés de HireSweet sont formés aux pratiques de sécurité lors de l'intégration dans l'entreprise et sur une base annuelle. Nous nous engageons à sécuriser les données de votre application et à éliminer continuellement la vulnérabilité des systèmes. HireSweet utilise une variété de technologies et de services standard de l'industrie pour sécuriser vos données contre l'accès non autorisé, la divulgation, l'utilisation et la perte.
Cette page décrit les mesures techniques et organisationnelles mises en place par conception concernant la technologie de HireSweet. Ces mesures sont sujettes à des mises à jour potentielles pour mettre en œuvre des mesures de protection supplémentaires et/ou pour se conformer aux changements des lois/réglementations applicables. Nous améliorons constamment notre technologie afin de vous offrir les performances de sécurité les plus efficaces.
L'utilisation par HireSweet et le transfert à toute autre application des informations reçues des comptes Google seront conformes à la politique des données de l'utilisateur des services Google API, y compris les exigences d'utilisation limitée (plus d'informations : https://developers.google.com/terms/api-services-user-data-policy#additional_requirements_for_specific_api_scopes).
2. Le respect de la vie privée des utilisateurs by design et by default
Tous nos traitements sont construits Privacy by design et Privacy by default. Chaque nouveau traitement opéré chez HireSweet (création d’une nouvelle fonctionnalité de nos technologies, recours à un nouveau logiciel/outil etc.) fait l’objet d’une vérification préalable transversale avec le responsable sécurité et le délégué à la protection des données (ci-après désignés). Tout nouveau traitement fait l’objet d’une vérification de l’architecture technique pour en garantir la sécurité avant toute implémentation/utilisation effective. Les équipes de HireSweet s’interrogent by design et by default sur la possibilité et l’opportunité d’utilisation des principes de minimisation, de pseudonymisation et veille à ce que la gestion des durées de conservation soit strictement conforme à la Réglementation en vigueur.
Dans le cas où un nouveau traitement suscitait l’intervention d’un prestataire externe ou l’utilisation d’un logiciel tiers, une vérification juridique des garanties apportées par ledit tiers est opérée sur le fondement de l’article 28 du RGPD par le DPO. Le cas échéant, HireSweet sollicite l’apport de garanties complémentaires. Sont en particulier vérifiés les points relatifs à l’hébergement des données concernées. De surcroît, le fondement juridique de tout nouveau traitement est strictement vérifié et documenté. En cas de nécessité du consentement de la personne concernée, la preuve de ce recueil est conservée.
3. Plan de réponse aux incidents
Des modèles de réseau inhabituels ou des comportements suspects font partie des plus grandes préoccupations de HireSweets en matière d'hébergement et de gestion de l'infrastructure. Tous les employés de HireSweet s'engagent à respecter un plan de réponse aux incidents spécifique, avec un responsable de la sécurité informatique désigné, un analyste de la sécurité informatique et des solutions de repli assurant une haute disponibilité. Tous les incidents ayant un impact sur le service et les incidents critiques pour l'entreprise sont étroitement surveillés et traités 24 heures sur 24, 7 jours sur 7, 365 jours par an.
Les journaux d'accès, les enregistrements d'activité et d'autres mesures sont examinés au cas où un incident se produirait. Notre équipe d'ingénieurs surveille en permanence notre infrastructure et les alertes des fournisseurs en amont. Nous utilisons des systèmes de notification et d'alerte pour identifier et gérer immédiatement les risques et les menaces.
4. Divulgation des vulnérabilités
Nous encourageons tous ceux qui pratiquent la divulgation responsable et qui respectent nos politiques et nos conditions de service à participer à notre programme de primes aux bogues. Notre objectif est de traiter et de signaler tout problème de sécurité identifié par le biais d'une approche coordonnée et constructive. Veuillez éviter les tests automatisés et effectuer des tests de sécurité uniquement avec vos propres données. Veuillez ne pas divulguer d'informations concernant les vulnérabilités jusqu'à ce que nous les corrigions.
Les vulnérabilités acceptées sont les suivantes :
_Problèmes d'authentification
_ Cross-Site Scripting (XSS)
_ Redirection ouverte
_ Cross-site Request Forgery (CSRF)
_ Inclusion de commande/fichier/URL
_ Exécution de code
_ Injections de code ou de base de données
Les cibles sont limitées aux principaux produits HireSweet. Les blogs, les sites web de tiers, l'énumération de comptes, le déni de service, les attaques de spam, le phishing, l'accès physique et toute attaque contre des utilisateurs spécifiques de HireSweet sont hors de portée.
Les récompenses sont effectuées à notre discrétion en fonction de la criticité de la vulnérabilité signalée. HireSweet prendra en compte l'impact potentiel sur l'entreprise et les clients, la facilité d'exploitation et la capacité à atténuer le problème en interne. Nous travaillons sur des critères et des montants de récompense spécifiques. Pour l'instant, seules les vulnérabilités de gravité moyenne ou supérieure seront récompensées. En tant que sphère de sécurité, Hiresweet s'engage à ne pas entamer de poursuites judiciaires à votre encontre si vos activités sont réalisées dans le respect de cette politique.
Si vous souhaitez signaler une vulnérabilité ou si vous avez un quelconque problème de sécurité avec un produit HireSweet, veuillez contacter [email protected]. Nous serons heureux de travailler avec vous pour résoudre le problème rapidement.
5. Accessibilité aux données de nos clients via nos technologies
Nos technologies utilisent les méthodes les plus sécurisées pour restreindre, opérationnellement et techniquement, l’accessibilité à vos données.
Chaque client ne peut avoir accès qu’à ses propres données. Il n’a aucunement accès aux données d’un autre client de HireSweet grâce à des mesures techniques de cloisonnement appropriées. De même, chaque client ne peut avoir accès qu’aux fonctionnalités effectivement proposées par HireSweet. L’étanchéité est assurée grâce aux différents profils utilisateurs et chacun de ces profils possède des droits ajustables sur mesure.
6. Gouvernance
Une organisation adéquate a été mise en place par HireSweet basée sur une responsabilité partagée entre les entités concernées permettant à HireSweet d'optimiser et d'améliorer en permanence ses services. Ceci garantit la prise en compte des aspects sécuritaires de manière préventive et réactive.
HireSweet a nommé les responsables suivants :
(i) Un responsable sécurité : Ismael Belghiti, CTO, en charge (1) des questions de sécurité de la société HireSweet, (2) de la gestion des violations de données et, éventuellement, de la notification à l'autorité de surveillance compétente.(ii) Un responsable des ressources humaines : Paul Bachelier, COO, en charge (1) de la gestion des ressources humaines et notamment de l'environnement informatique des employés de HireSweet et (2) des conséquences logistiques suite aux arrivées et départs du personnel.(iii) Un délégué à la protection des données : Isis Kiewiet, responsable juridique en charge (1) de la conformité générale de l'entreprise au GDPR et (2) de la gestion des demandes des droits des personnes concernées.
Sous-traitants
HireSweet ne fait appel qu'à des sous-traitants ayant mis en place toutes les mesures techniques et organisationnelles requises afin de garantir la sécurité, l'intégrité, la confidentialité, la disponibilité et la résilience des systèmes et services utilisés pour le traitement des données, tout en respectant les droits des personnes concernées. Les contrats entre HireSweet et les sous-traitants prévoient ces garanties.Un registre des traitements comprend tous les traitements sous-traités sur instruction du client de HireSweet et est régulièrement mis à jour en fonction des mesures techniques et organisationnelles mises en place.
Les employés de HireSweet
Les employés de HireSweet sont informés et tenus par des règles de sécurité telles que décrites ci-après :des contrats de travail qui comportent des clauses traitant directement de la confidentialité des données de nos clients.une formation à la sécurité et au GDPR ainsi que des tests et " Q&A " à l'arrivée dans l'entreprise et au moins annuellement.une charte informatique qui contient des mesures obligatoires de gestion et de sécurité des données.
7. Sécurité - généralités
Sécurité de l'infrastructure et du réseau
Les technologies d'HireSweet sont hébergées sur Amazon Web Services (Londres) et Google Cloud Platform (Paris) et nous utilisons de multiples mécanismes et fonctions de sécurité au niveau des applications pour assurer la sécurité des données des clients. Les centres de données Amazon Web Services (AWS) et Google Cloud Platform (GCP) sont hautement évolutifs, sécurisés et fiables. AWS se conforme aux principales politiques et cadres de sécurité, notamment SSAE 16, SOC framework, ISO 27001 et PCI DSS niveau 1.
Seuls les membres autorisés désignés de HireSweet ont accès à la configuration de l'infrastructure. Nous prenons des mesures appropriées pour assurer que toutes les données personnelles sont gardées en sécurité, y compris des mesures de sécurité pour empêcher que les données personnelles soient accidentellement perdues, ou utilisées ou accédées d'une manière non autorisée, pendant la durée de votre utilisation de nos services. Les employés de HireSweet n'ont pas d'accès physique aux centres de données AWS et GCP, aux serveurs, à l'équipement de réseau ou au stockage.
Contrôles et audits de sécurité.
HireSweet effectue (1) des pentests de sécurité externes annuels menés par des prestataires externes et (2) des pentests de sécurité internes mensuels. Les erreurs et incidents sont corrigés dans des délais stricts.Politique de gestion des mots de passe. HireSweet a mis en place une politique stricte de gestion des mots de passe pour chacune de ses technologies (authentification multi-facteurs, mots de passe complexes, hash des identifiants de connexion, etc.
Sécurité des postes de travail internes.
Tous les postes de travail des employés de HireSweet sont soumis à des règles de sécurité obligatoires, telles qu'un mécanisme de verrouillage automatique des sessions, des firewalls de sécurité et des comptes uniques pour toutes les ressources informatiques mises à disposition par HireSweet, avec des permissions et des autorisations en fonction de la nature de la fonction de l'employé.
Enregistrement des événements.
HireSweet a mis en place un système d'enregistrement des identifiants des employés et des utilisateurs conservés pendant une période de quinze jours à des fins d'analyse de sécurité et de détection des événements susceptibles d'affecter la sécurité du système informatique de HireSweet technologies.Sécurité Internet. Les locaux de HireSweet sont équipés de réseaux wifi et de mots de passe dédiés (1) aux équipes internes et (2) aux équipes externes et aux visiteurs, ainsi que de systèmes de vidéosurveillance et d'alarme.
Gestion des périodes de rétention.
HireSweet a mis en place des politiques de suppression des bases de données de ses technologies conformément au Règlement.
Gestion des crises.
HireSweet a mis en place une politique interne en cas de tentative, de violation réelle ou présumée des données comprenant toutes les procédures internes et les mesures techniques et organisationnelles pour garantir que les moyens précédemment mis en œuvre par HireSweet permettent d'éviter la violation des données, y compris la fourniture d'informations sur toutes les procédures internes mises en place pour assurer la communication des instructions obligatoires en cas de violation réelle ou présumée des données et une procédure de notification de ses clients qui pourraient être concernés.
Les modèles de réseau inhabituels ou les comportements suspects font partie des plus grandes préoccupations de HireSweet en matière d'hébergement et de gestion de l'infrastructure. Tous les employés de HireSweet s'engagent à respecter un plan spécifique de réponse aux incidents, avec un responsable de la sécurité informatique désigné, un analyste de la sécurité informatique et des solutions de repli garantissant une haute disponibilité. Tous les incidents ayant un impact sur le service et les incidents critiques pour l'entreprise sont étroitement surveillés et font l'objet d'une réponse 24 heures sur 24, 7 jours sur 7, 365 jours par an.
Les journaux d'accès, les enregistrements d'activité et d'autres mesures sont examinés au cas où un incident se produirait. Notre équipe d'ingénieurs surveille en permanence notre infrastructure et les alertes des fournisseurs en amont. Nous utilisons des systèmes de notification et d'alerte pour identifier et gérer immédiatement les risques et les menaces.
8. Commentaires et autres informations
Veuillez contacter :
- [email protected], ou
- [email protected]