Sécurité et Conformité

Tout est une question de confiance

Nous travaillons très fort pour gagner votre confiance, et encore plus pour la garder!
Chez Poka, nous reconnaissons que nos clients nous confient l'un de leurs atouts les plus précieux: leur connaissance organisationnelle et opérationnelle. C'est pourquoi la sécurité n'est pas une réflexion d'après coup; elle fait partie intégrante de notre ADN.

Sécurité

Depuis le tout début, nous avons construit Poka en ayant pour priorité absolue la protection des données et la sécurité. La sécurité de l'information est un effort continu et c'est pourquoi nous améliorons continuellement notre programme de sécurité de l'information et que nous nous assurons d'intégrer les meilleures pratiques autant dans notre organisation que notre plate-forme.

Poka suit les principes de Secure by Design en étant construit à l'aide de technologies modernes offrant agilité, performance, fiabilité, disponibilité et un niveau de sécurité de l'information et de respect de la vie privée nous permettant de répondre aux exigences les plus strictes de nos clients.

Personnel

Comment vous assurez-vous que les employés de Poka jouent leur rôle dans la préservation de la sécurité et de la confidentialité de nos données?

Nos employés jouent un rôle crucial en s’assurant de la sécurité et la confidentialité de Poka et de vos données. Voici quelques-unes des étapes que nous suivons :

  • Vérification des antécédents
    Tous les candidats sont tenus de remplir avec succès une vérification standard des antécédents dans le cadre du processus d'embauche. Ils sont également tenus de signer une entente de confidentialité (NDA) dans le cadre de leur contrat de travail.
  • Rôles et responsabilités
    Les équipes DevOps, Support à la clientèle, Satisfaction clients (Customer Success) et Services professionnels sont informées de leurs responsabilités en matière de sécurité, de confidentialité, d'intégrité et de disponibilité des données clients.
  • Formation
    Poka offre de la formation sur la sécurité de l'information et la protection de la vie privée aux nouveaux employés et, de façon continue, à tous les employés. En plus de cette formation générale en matière de sécurité de l'information et de protection des renseignements personnels, des formations plus ciblées sont également offertes.

Sécurité des Applications

Comment est intégrée la sécurité dans le cycle de développement de l'application?

Cycle de vie du développement logiciel

Chez Poka, nous utilisons les modèles DevOps et de livraisons en continu (Continuous Delivery). Dans ce contexte où les déploiements logiciels et d'infrastructure sont hautement automatisés, et où les livraisons logicielles sont fréquentes, l'intégration de la sécurité dans le cycle de développement logiciel est essentielle.

Ce cycle de développement a été conçu pour s’assurer que la sécurité et la confidentialité fassent partie intégrante du processus de développement et de livraison.

Voici un aperçu de certaines pratiques d'assurance de la sécurité et de la qualité: l'identification des exigences (y compris la sécurité, la confidentialité, les exigences de conformité), l'examen des exigences, les examens de conception, les contrôles de développement (analyse statique, examens de codes), les tests automatisés et manuels, et les contrôles de déploiement.

Comment l'application Poka est-elle disponible?

Poka est un logiciel disponible sous forme de service (SaaS), vous fournissant constamment un accès à l'application la plus à jour et la plus avancée, et ne demandant aucune maintenance et mise à niveau de votre part.

Comment mes données sont-elles protégées?

  • Vos données sont cryptées en transit à l’aide du protocole Transport Layer Security (TLS) 1.2;
  • Vos données sont cryptées au repos en utilisant le protocole 256-bit AES, l'un des plus puissants chiffrements par bloc disponible;
  • Nous protégeons vos données contre tout accès non autorisé à l'aide de multiples contrôles de gestion des accès.
  • Nous effectuons la gestion de versions, et nous ne supprimerons jamais vos données;
  • Vos données sont sauvegardées toutes les heures et sont copiées hors site.

Mes données sont-elles isolées des autres clients?

Pour garantir l'isolement des données et des processus, chaque client reçoit des instances dédiées de l'application Poka, des bases de données et des banques de données séparées.

Quels sont les modèles d'identité de l’utilisateur et les options d'authentification prises en charge?

Vous pouvez choisir parmi deux modèles d'identité avec Poka:

  1. Authentification unique (SSO) basée sur SAML.
    You can integrate Poka with your corporate credential directories using Security Assertion Markup Language (SAML v2.0) to retain full control of authentication process. You can also automatically provision and deprovision your users in Poka with System for Cross-domain Identity Management (SCIM) - an open standard used by identity providers and Single Sign-On (SSO) services to manage user accounts across of SaaS providers, including Poka.

  2. Comptes Poka
    Vous pouvez également gérer les comptes d'utilisateurs directement dans Poka.
  • Politique de mot de passe configurable
  • Les informations d'identification ne sont jamais stockées dans un format lisible par l'utilisateur, nous utilisons un algorithme de hachage sécurisé unidirectionnel avec un salage

Comment puis-je limiter l'accès à mon instance de Poka?

L'accès à votre instance Poka est régi par les rôles et les droits d'accès configurés par vos administrateurs Poka

Pare-feu logique

Restreindre l'accès à une plage d'adresses IP spécifiée afin que votre instance Poka ne soit accessible que dans les emplacements physiques désignés et via le VPN de votre organisation.

Nous supportons également une politique d'accès par utilisateur qui permet aux utilisateurs de se connecter en dehors de vos lieux physiques désignés. Vous pouvez également restreindre les pays auxquels les employés ont le droit d’accéder à votre instance Poka en utilisant notre fonctionnalité de contrôle d'accès nommée Géolocalisation IP.

Quelles informations sont stockées sur les appareils mobiles?

Les seules informations stockées sont la structure de votre organisation pour accélérer l'application. Le contenu lui-même est téléchargé ou diffusé sur demande.

Comment gérez-vous les vulnérabilités?

L'équipe de sécurité de Poka utilise une combinaison d'analyse de vulnérabilités automatisées et manuelles afin de détecter, ou de confirmer, la présence de vulnérabilités dans notre infrastructure et application SaaS. Notre équipe de sécurité est responsable de l'évaluation, de la définition des priorités et de la correction des vulnérabilités confirmées.

Effectuez-vous des tests de pénétration sur une base régulière?

Les données clients sont sauvegardées toutes les heures et sont également reproduites en temps quasi réel dans la région secondaire désignée d'Amazon AWS. Les sauvegardes sont effectuées sans affecter la disponibilité de nos instances clients de Poka. Les données clients sont toujours transmises sur un canal de communication sécurisé, et cryptées au repos.

Sécurité des Opérations

Comment sauvegardez-vous nos données?

Les données clients sont sauvegardées toutes les heures et sont également reproduites en temps quasi réel dans la région secondaire désignée d'Amazon AWS. Les sauvegardes sont effectuées sans affecter la disponibilité de nos instances clients de Poka. Les données clients sont toujours transmises sur un canal de communication sécurisé, et cryptées au repos.

Comment pouvez-vous assurer la disponibilité de Poka?

Notre équipe a conçu une architecture, conceptualisé et codé Poka conformément aux principes du cloud computing. Poka tire pleinement avantage des services d'infrastructure d’Amazon Web Services (AWS) afin d’offrir un niveau élevé de disponibilité de manière transparente réparti sur plusieurs centres de données (AWS Availability Zones).

Comment gérez-vous les incidents de sécurité?

Un incident de sécurité potentiel peut inclure, entre autres, une perte de disponibilité, un accès non autorisé, la divulgation ou la modification de données. Poka dispose d'une procédure de gestion des incidents qui couvre l'ensemble du cycle de vie d'un incident potentiel, à savoir les phases suivantes: planifier et préparer, détecter et signaler, accéder, réagir et post-mortem.

Poka informera rapidement le client sans délai en cas de doutes raisonnables d’un incident de sécurité suspecté ou confirmé affectant un client.

Confidentialité, Propriété et Contrôle des Données

Qui possède les données que nous stockons dans votre service?

Vous conservez la propriété et le contrôle total de vos données.

Les employés de Poka auront-ils accès à nos données?

Le fonctionnement des services Poka exige que certains employés autorisés aient accès aux systèmes qui traitent ou stockent vos données. Toutefois, il leur est interdit d'accéder à vos données, sauf si cela est nécessaire. Par exemple, afin de reproduire ou de diagnostiquer un problème que vous rencontrez avec les services Poka, il se peut que nous ayons besoin d'afficher vos données. Nous avons une politique de gestion des données clients et des instructions de travail associées qui limitent et contrôlent l'accès à vos données. En outre, nous avons des contrôles techniques et des politiques de vérification mis en place afin de nous assurer que tout accès à vos données est enregistré.

Qu'advient-il de nos données lorsque nous annulons notre abonnement à Poka?

Poka rendra vos données accessibles pour la récupération pendant une période de 60 jours suivants la fin de votre abonnement pour vous donner le temps de récupérer vos données. Après cette période de 60 jours, Poka désactivera le compte et toutes les copies de vos données seront supprimées en toute sécurité.

Comment récupérer nos données?

Vous pourrez récupérer vos données en format JSON en utilisant l'API Poka RESTful pour vos photos et vos vidéos.

Comment vous assurez-vous que toutes nos données ont été supprimées?

Nous avons une procédure pour la suppression sécurisée des données client en cas de désabonnement. La tâche sera assignée à un administrateur de système de Poka qui supprimera toutes les données client: base de données, stockage des fichiers, sauvegardes de données, clés de chiffrement, ainsi que votre instance de Poka. Nous vous fournirons également un rapport de destruction des données signé par le vice-président de la sécurité de l'information qui s'assurera que la procédure a été complétée, et que les données ont bel et bien été supprimées en toute conformité.

Infrastructure d'Hébergement

Où mes données seront-elles hébergées?

Nous hébergeons Poka aux États-Unis, au Canada ou en Allemagne selon votre choix dans les centres de données d'Amazon Web Services (AWS) qui est le principal fournisseur de services d'infrastructure en tant que service (IaaS). AWS maintient de multiples certifications et attestations pour ses opérations d'hébergement. Pour plus d'informations sur leurs certifications et leur conformité, veuillez visiter le site Web de la sécurité d'AWS et le site Web de conformité d'AWS.

Confidentialité

Poka s'engage à protéger vos données, y compris les informations personnelles de vos employés. Conséquemment, nous aidons votre organisation à démontrer sa conformité aux lois et réglementations relatives à la protection de la vie privée, telles que le RGPD. Poka suit les sept principes de traitement de données du RGPD:

  • Licéité, loyauté et transparence
  • Limitation des finalités
  • Minimisation des données
  • Exactitude
  • Limitation de la conservation
  • Intégrité et confidentialité
  • Responsabilité

Learn More about Poka's stance on GDPR by consulting the Compliance section

Conformité

SOC 2 Type II

Poka possède un rapport Service and Organisation Controls (SOC) 2 Type 2 de l'AICPA. Cette attestation de sécurité est l'une des plus recherchées par les fournisseurs de SaaS.

Le rapport SOC 2 Type 2 fournit l'assurance que le programme de sécurité de l'information de Poka ainsi que son environnement de contrôle sont conformes aux Trust Services Criteria développés et maintenus par l'AICPA. Le rapport couvre les contrôles que Poka a mis en place autant d'un point de vue technique que organisationnel, et comprend la gestion des accès, le chiffrement, le changement et le déploiement du code, la surveillance, la gestion des vulnérabilités, la gestion des incidents, la gestion de risques, la gestion des ressources humaines, la gestion des fournisseurs, etc.

Ce rapport aide les entreprises cherchant à utiliser un SaaS comme Poka à évaluer et à gérer les risques qui y sont associés.

Le rapport SOC 2 Type 2 de Poka est disponible sous NDA à tous nos clients existants ainsi qu'à nos clients potentiels.

Contactez l'équipe de sécurité pour en demander une copie à l'addresse suivante infosec@poka.io.

Cloud Security Alliance: registre de sécurité, de confiance et d'assurance (CSA STAR)

La Cloud Security Alliance (CSA) est une organisation à but non lucratif dirigée par une vaste coalition de praticiens, sociétés et d'autres intervenants importants dans l’industrie du nuage informatique (cloud). Elle est dédiée à la définition des meilleures pratiques afin d'assurer un environnement de cloud computing plus sécurisé, et d’aider les clients potentiels de ce type d’infrastructure à prendre des décisions éclairées lors de la sélection d'un fournisseur utilisant le nuage.

Le Questionnaire sur l'évaluation des consensus de la CSA (CAIQ) v3.0.1 fournit un ensemble complet de questions que les clients peuvent utiliser afin d'évaluer la portée et l'ampleur des processus de sécurité, de confidentialité et de conformité des fournisseurs de services informatiques en nuage.

L'équipe de sécurité Poka a répondu à toutes les 294 questions du questionnaire. Ce document est une ressource précieuse pour comprendre comment Poka rencontre, et dépasse les exigences établies par la CSA (Document seulement disponible en anglais).

Téléchargé le document

Programme canadien des marchandises contrôlées

The Controlled Goods Program (CGP) was initiated in April 2001 to further strengthen and coordinate defence trade controls with the U.S. The Controlled Goods Program is a registration and compliance program that regulates access to controlled goods and technologies, including ITAR-controlled articles, in Canada.

Since 2017, Poka is registered (CGP #20710) and complies with the requirements of the Canadian Controlled Goods Regulation and the Defence Production Act which requires conducting security assessments of personnel, preparing for inspections, developing security plans and reporting security breaches.

Please contact Poka's Security team to learn more about our compliance with CGP at infosec@poka.io. If the content of your communication is sensitive, please encrypt your email using our PGP key.

Règlement général sur la protection des données (RGPD)

Le règlement général sur la protection des données (RGPD) est un règlement de l'UE qui a remplacé la directive 95/46/CE et qui cherche à revoir les règles et les directives existantes sur la manière dont les organisations peuvent traiter les données à caractère personnel des citoyens de l'UE. Son objectif est également de normaliser les lois sur la protection des données dans l'ensemble de l’Europe. L'une des principales caractéristiques du RPGD est l'ajout de droits sur les personnes concernées afin de donner plus de pouvoir et de contrôle aux citoyens européens sur leur vie privée.

Quelle est la position de Poka sur le RGPD?

Chez Poka, nous sommes très enthousiastes à propos du RGPD, car ce règlement contribuera également à protéger la sécurité et la vie privée des individus. C'est la raison pour laquelle Poka s'est pleinement engagé à mettre en place des contrôles et des processus supplémentaires pour assurer la conformité au RGPD.

Quelles informations personnelles collectons-nous et traitons-nous?

En utilisant nos services, Poka peut collecter et traiter deux catégories de données: données client et autres informations.

  • Données client: Cette catégorie comprend toutes les informations personnelles ou non personnelles que le client peut avoir soumises lors de ses interactions avec nos services (Poka). Cette catégorie comprend également certains types d'informations ou de données indirectement créées par l'utilisation par le client de nos services (Poka), tels que, sans s’y limiter, les journaux d'application à Poka, les conversations de support, etc.

    C'est la responsabilité du client de vérifier la base juridique pour la collecte et le traitement des informations personnelles par le biais des services de Poka (Poka), et de la gestion des demandes de toute personne concernée.
  • Autres informations: Poka doit, dans son intérêt légitime, collecter et traiter des informations personnelles pour fonctionner en tant qu'entreprise. Poka peut collecter et traiter des informations personnelles sur ses utilisateurs pour mener à bien ses activités de facturation, de comptabilité et d'audit. Poka peut également envoyer des enquêtes de satisfaction à certains utilisateurs, et collecter leurs réponses dans le but d'améliorer ses services et offres aux clients actuels et futurs. Ces informations ne sont utilisées que pour des activités internes.

Qui est le responsable du traitement et le sous-traitant?

Comme mentionné précédemment, Poka collecte et traite deux catégories de données: les données client et les autres informations.

Le client est le responsable du traitement des données clients, et Poka en est le sous-traitant. Pour les autres informations, Poka est le responsable du traitement.

Combien de temps conservons-nous les informations personnelles?

  • Données du client: Poka conservera toutes les données du client conformément aux instructions du client. Habituellement, Poka conservera toutes les données du client jusqu'à la fin des services de traitement de données entre le client et Poka. Le client peut être en mesure de modifier ou de supprimer toute information directement dans le service Poka, et peut demander de l'aide à Poka lorsque nécessaire.
  • Autres informations: Poka conservera toute autre information aussi longtemps que nécessaire pour satisfaire à ses intérêts commerciaux légitimes, comme indiqué ci-dessus dans la section Quelles informations personnelles recueillons-nous et traitons-nous?

Offrez-vous de l'aide avec RGPD?

Poka se fera un plaisir de collaborer et d'aider chaque client cherchant à se conformer aux obligations énoncées aux articles 32 à 36 du RGPD.

Comment traitez-vous les demandes des personnes concernées?

Avec les nouvelles dispositions du RGPD, les droits des citoyens européens à l’égard de leurs informations personnelles ont été considérablement renforcés et les citoyens européens peuvent désormais demander ce qui suit:

  • Droit à l'oubli
  • Droit d'opposition
  • Droit de rectification
  • Droit à la portabilité des données
  • Droit d'accès

Poka gère les demandes des personnes concernées différemment selon le type d'informations:

  • Données du client: dans le cas où Poka reçoit une demande d’une personne concernée en lien avec les données du client, Poka transmettra la demande au client qui agit en tant que responsable du traitement. Poka n'agira jamais sans les ordres du client. Il incombe au client de gérer ces demandes. Dans la mesure du possible, Poka peut aider le client si celui-ci ne peut satisfaire entièrement à la demande de la personne concernée.
  • Autres informations: Poka gérera les demandes des personnes concernées en lien avec les autres informations.

Est-il possible de signer un DPA avec Poka pour assurer la conformité au RGPD?

Oui, Poka met à la disposition de ses clients un Data Processing Addendum (DPA).

Contactez-nous

Vous avez encore des questions?

Courrier Électronique

Contactez Infosec

Vous pouvez communiquer avec l'équipe de la sécurité de l'information (InfoSec) de Poka par courrier électronique

Clé PGP

Si le contenu de votre communication est sensible, veuillez chiffrer votre courriel à l'aide de notre clé PGP.

Légal

Conditions générales de service pour les Clients

Politique d'utilisation et exigences TI

Politique de confidentialité

Politique de sécurité

Niveau de Service Garanti (SLA)