Depuis le tout début, nous avons construit Poka en ayant pour priorité absolue la protection des données et la sécurité. La sécurité de l'information est un effort continu et c'est pourquoi nous améliorons continuellement notre programme de sécurité de l'information et que nous nous assurons d'intégrer les meilleures pratiques autant dans notre organisation que notre plate-forme.
Poka suit les principes de Secure by Design en étant construit à l'aide de technologies modernes offrant agilité, performance, fiabilité, disponibilité et un niveau de sécurité de l'information et de respect de la vie privée nous permettant de répondre aux exigences les plus strictes de nos clients.
Comment vous assurez-vous que les employés de Poka jouent leur rôle dans la préservation de la sécurité et de la confidentialité de nos données?
Nos employés jouent un rôle crucial en s’assurant de la sécurité et la confidentialité de Poka et de vos données. Voici quelques-unes des étapes que nous suivons :
Comment est intégrée la sécurité dans le cycle de développement de l'application?
Cycle de vie du développement logiciel
Chez Poka, nous utilisons les modèles DevOps et de livraisons en continu (Continuous Delivery). Dans ce contexte où les déploiements logiciels et d'infrastructure sont hautement automatisés, et où les livraisons logicielles sont fréquentes, l'intégration de la sécurité dans le cycle de développement logiciel est essentielle.
Ce cycle de développement a été conçu pour s’assurer que la sécurité et la confidentialité fassent partie intégrante du processus de développement et de livraison.
Voici un aperçu de certaines pratiques d'assurance de la sécurité et de la qualité: l'identification des exigences (y compris la sécurité, la confidentialité, les exigences de conformité), l'examen des exigences, les examens de conception, les contrôles de développement (analyse statique, examens de codes), les tests automatisés et manuels, et les contrôles de déploiement.
Comment l'application Poka est-elle disponible?
Poka est un logiciel disponible sous forme de service (SaaS), vous fournissant constamment un accès à l'application la plus à jour et la plus avancée, et ne demandant aucune maintenance et mise à niveau de votre part.
Comment mes données sont-elles protégées?
Mes données sont-elles isolées des autres clients?
Pour garantir l'isolement des données et des processus, chaque client reçoit des instances dédiées de l'application Poka, des bases de données et des banques de données séparées.
Quels sont les modèles d'identité de l’utilisateur et les options d'authentification prises en charge?
Vous pouvez choisir parmi deux modèles d'identité avec Poka:
Comment puis-je limiter l'accès à mon instance de Poka?
L'accès à votre instance Poka est régi par les rôles et les droits d'accès configurés par vos administrateurs Poka
Pare-feu logique
Restreindre l'accès à une plage d'adresses IP spécifiée afin que votre instance Poka ne soit accessible que dans les emplacements physiques désignés et via le VPN de votre organisation.
Nous supportons également une politique d'accès par utilisateur qui permet aux utilisateurs de se connecter en dehors de vos lieux physiques désignés. Vous pouvez également restreindre les pays auxquels les employés ont le droit d’accéder à votre instance Poka en utilisant notre fonctionnalité de contrôle d'accès nommée Géolocalisation IP.
Quelles informations sont stockées sur les appareils mobiles?
Les seules informations stockées sont la structure de votre organisation pour accélérer l'application. Le contenu lui-même est téléchargé ou diffusé sur demande.
Comment gérez-vous les vulnérabilités?
L'équipe de sécurité de Poka utilise une combinaison d'analyse de vulnérabilités automatisées et manuelles afin de détecter, ou de confirmer, la présence de vulnérabilités dans notre infrastructure et application SaaS. Notre équipe de sécurité est responsable de l'évaluation, de la définition des priorités et de la correction des vulnérabilités confirmées.
Effectuez-vous des tests de pénétration sur une base régulière?
Les données clients sont sauvegardées toutes les heures et sont également reproduites en temps quasi réel dans la région secondaire désignée d'Amazon AWS. Les sauvegardes sont effectuées sans affecter la disponibilité de nos instances clients de Poka. Les données clients sont toujours transmises sur un canal de communication sécurisé, et cryptées au repos.
Comment sauvegardez-vous nos données?
Les données clients sont sauvegardées toutes les heures et sont également reproduites en temps quasi réel dans la région secondaire désignée d'Amazon AWS. Les sauvegardes sont effectuées sans affecter la disponibilité de nos instances clients de Poka. Les données clients sont toujours transmises sur un canal de communication sécurisé, et cryptées au repos.
Comment pouvez-vous assurer la disponibilité de Poka?
Notre équipe a conçu une architecture, conceptualisé et codé Poka conformément aux principes du cloud computing. Poka tire pleinement avantage des services d'infrastructure d’Amazon Web Services (AWS) afin d’offrir un niveau élevé de disponibilité de manière transparente réparti sur plusieurs centres de données (AWS Availability Zones).
Comment gérez-vous les incidents de sécurité?
Un incident de sécurité potentiel peut inclure, entre autres, une perte de disponibilité, un accès non autorisé, la divulgation ou la modification de données. Poka dispose d'une procédure de gestion des incidents qui couvre l'ensemble du cycle de vie d'un incident potentiel, à savoir les phases suivantes: planifier et préparer, détecter et signaler, accéder, réagir et post-mortem.
Poka informera rapidement le client sans délai en cas de doutes raisonnables d’un incident de sécurité suspecté ou confirmé affectant un client.
Qui possède les données que nous stockons dans votre service?
Vous conservez la propriété et le contrôle total de vos données.
Les employés de Poka auront-ils accès à nos données?
Le fonctionnement des services Poka exige que certains employés autorisés aient accès aux systèmes qui traitent ou stockent vos données. Toutefois, il leur est interdit d'accéder à vos données, sauf si cela est nécessaire. Par exemple, afin de reproduire ou de diagnostiquer un problème que vous rencontrez avec les services Poka, il se peut que nous ayons besoin d'afficher vos données. Nous avons une politique de gestion des données clients et des instructions de travail associées qui limitent et contrôlent l'accès à vos données. En outre, nous avons des contrôles techniques et des politiques de vérification mis en place afin de nous assurer que tout accès à vos données est enregistré.
Qu'advient-il de nos données lorsque nous annulons notre abonnement à Poka?
Poka rendra vos données accessibles pour la récupération pendant une période de 60 jours suivants la fin de votre abonnement pour vous donner le temps de récupérer vos données. Après cette période de 60 jours, Poka désactivera le compte et toutes les copies de vos données seront supprimées en toute sécurité.
Comment récupérer nos données?
Vous pourrez récupérer vos données en format JSON en utilisant l'API Poka RESTful pour vos photos et vos vidéos.
Comment vous assurez-vous que toutes nos données ont été supprimées?
Nous avons une procédure pour la suppression sécurisée des données client en cas de désabonnement. La tâche sera assignée à un administrateur de système de Poka qui supprimera toutes les données client: base de données, stockage des fichiers, sauvegardes de données, clés de chiffrement, ainsi que votre instance de Poka. Nous vous fournirons également un rapport de destruction des données signé par le vice-président de la sécurité de l'information qui s'assurera que la procédure a été complétée, et que les données ont bel et bien été supprimées en toute conformité.
Où mes données seront-elles hébergées?
Nous hébergeons Poka aux États-Unis, au Canada ou en Allemagne selon votre choix dans les centres de données d'Amazon Web Services (AWS) qui est le principal fournisseur de services d'infrastructure en tant que service (IaaS). AWS maintient de multiples certifications et attestations pour ses opérations d'hébergement. Pour plus d'informations sur leurs certifications et leur conformité, veuillez visiter le site Web de la sécurité d'AWS et le site Web de conformité d'AWS.
Poka s'engage à protéger vos données, y compris les informations personnelles de vos employés. Conséquemment, nous aidons votre organisation à démontrer sa conformité aux lois et réglementations relatives à la protection de la vie privée, telles que le RGPD. Poka suit les sept principes de traitement de données du RGPD:
Learn More about Poka's stance on GDPR by consulting the Compliance section
Poka possède un rapport Service and Organisation Controls (SOC) 2 Type 2 de l'AICPA. Cette attestation de sécurité est l'une des plus recherchées par les fournisseurs de SaaS.
Le rapport SOC 2 Type 2 fournit l'assurance que le programme de sécurité de l'information de Poka ainsi que son environnement de contrôle sont conformes aux Trust Services Criteria développés et maintenus par l'AICPA. Le rapport couvre les contrôles que Poka a mis en place autant d'un point de vue technique que organisationnel, et comprend la gestion des accès, le chiffrement, le changement et le déploiement du code, la surveillance, la gestion des vulnérabilités, la gestion des incidents, la gestion de risques, la gestion des ressources humaines, la gestion des fournisseurs, etc.
Ce rapport aide les entreprises cherchant à utiliser un SaaS comme Poka à évaluer et à gérer les risques qui y sont associés.
Le rapport SOC 2 Type 2 de Poka est disponible sous NDA à tous nos clients existants ainsi qu'à nos clients potentiels.
Contactez l'équipe de sécurité pour en demander une copie à l'addresse suivante infosec@poka.io.
La Cloud Security Alliance (CSA) est une organisation à but non lucratif dirigée par une vaste coalition de praticiens, sociétés et d'autres intervenants importants dans l’industrie du nuage informatique (cloud). Elle est dédiée à la définition des meilleures pratiques afin d'assurer un environnement de cloud computing plus sécurisé, et d’aider les clients potentiels de ce type d’infrastructure à prendre des décisions éclairées lors de la sélection d'un fournisseur utilisant le nuage.
Le Questionnaire sur l'évaluation des consensus de la CSA (CAIQ) v3.0.1 fournit un ensemble complet de questions que les clients peuvent utiliser afin d'évaluer la portée et l'ampleur des processus de sécurité, de confidentialité et de conformité des fournisseurs de services informatiques en nuage.
L'équipe de sécurité Poka a répondu à toutes les 294 questions du questionnaire. Ce document est une ressource précieuse pour comprendre comment Poka rencontre, et dépasse les exigences établies par la CSA (Document seulement disponible en anglais).
The Controlled Goods Program (CGP) was initiated in April 2001 to further strengthen and coordinate defence trade controls with the U.S. The Controlled Goods Program is a registration and compliance program that regulates access to controlled goods and technologies, including ITAR-controlled articles, in Canada.
Since 2017, Poka is registered (CGP #20710) and complies with the requirements of the Canadian Controlled Goods Regulation and the Defence Production Act which requires conducting security assessments of personnel, preparing for inspections, developing security plans and reporting security breaches.
Please contact Poka's Security team to learn more about our compliance with CGP at infosec@poka.io. If the content of your communication is sensitive, please encrypt your email using our PGP key.
Le règlement général sur la protection des données (RGPD) est un règlement de l'UE qui a remplacé la directive 95/46/CE et qui cherche à revoir les règles et les directives existantes sur la manière dont les organisations peuvent traiter les données à caractère personnel des citoyens de l'UE. Son objectif est également de normaliser les lois sur la protection des données dans l'ensemble de l’Europe. L'une des principales caractéristiques du RPGD est l'ajout de droits sur les personnes concernées afin de donner plus de pouvoir et de contrôle aux citoyens européens sur leur vie privée.
Quelle est la position de Poka sur le RGPD?
Chez Poka, nous sommes très enthousiastes à propos du RGPD, car ce règlement contribuera également à protéger la sécurité et la vie privée des individus. C'est la raison pour laquelle Poka s'est pleinement engagé à mettre en place des contrôles et des processus supplémentaires pour assurer la conformité au RGPD.
Quelles informations personnelles collectons-nous et traitons-nous?
En utilisant nos services, Poka peut collecter et traiter deux catégories de données: données client et autres informations.
Qui est le responsable du traitement et le sous-traitant?
Comme mentionné précédemment, Poka collecte et traite deux catégories de données: les données client et les autres informations.
Le client est le responsable du traitement des données clients, et Poka en est le sous-traitant. Pour les autres informations, Poka est le responsable du traitement.
Combien de temps conservons-nous les informations personnelles?
Offrez-vous de l'aide avec RGPD?
Poka se fera un plaisir de collaborer et d'aider chaque client cherchant à se conformer aux obligations énoncées aux articles 32 à 36 du RGPD.
Comment traitez-vous les demandes des personnes concernées?
Avec les nouvelles dispositions du RGPD, les droits des citoyens européens à l’égard de leurs informations personnelles ont été considérablement renforcés et les citoyens européens peuvent désormais demander ce qui suit:
Poka gère les demandes des personnes concernées différemment selon le type d'informations:
Est-il possible de signer un DPA avec Poka pour assurer la conformité au RGPD?
Oui, Poka met à la disposition de ses clients un Data Processing Addendum (DPA).