Chez GumGum, nous prenons très au sérieux la sécurité de vos données. La transparence étant l’un des principes fondateurs de notre entreprise, nous nous efforçons d’être aussi clairs et ouverts que possible quant à notre approche en matière de sécurité. Nous sommes conscients que vous comptez sur les services de GumGum pour atteindre des performances optimales. Nous nous engageons à faire de GumGum un service hautement disponible sur lequel vous pouvez compter. Notre infrastructure repose sur des systèmes tolérants aux pannes, tant en cas de défaillance de serveurs individuels que de centres de données entiers.
Résumé
GumGum, Inc., ainsi que chacune de ses filiales, a mis en œuvre et/ou sera chargée de veiller à ce que chacun de ses sous-traitants secondaires mette en œuvre les mesures destinées à :
- Empêcher toute personne non autorisée d'accéder aux équipements informatiques utilisés pour le traitement des données à caractère personnel (contrôle d'accès aux équipements).
- Empêcher la lecture, la copie, la modification ou le retrait non autorisés de supports de données contenant des données à caractère personnel (contrôle des supports).
- Empêcher toute consultation, modification ou suppression non autorisée des données à caractère personnel stockées (contrôle du stockage).
- Empêcher l'utilisation de systèmes informatisés de traitement des données par des personnes non autorisées utilisant des équipements de communication de données destinés au traitement des données à caractère personnel (contrôle des utilisateurs).
- Limiter l'accès aux données à caractère personnel par les personnes autorisées à utiliser un système de traitement automatisé des données à la portée et à la durée de leur autorisation d'accès (contrôle de l'accès aux données).
- Permettre la vérification de l'identité des personnes auxquelles des données à caractère personnel ont été transmises ou mises à disposition à l'aide d'équipements de communication de données (contrôle des communications).
- Permettre de vérifier quelles personnes saisissent des données à caractère personnel dans des systèmes de traitement automatisé des données et à quel moment (contrôle des saisies).
- Empêcher toute lecture, copie, modification ou suppression non autorisée des données à caractère personnel lors de leur transfert ou lors du transport des supports de données (contrôle des transports).
- Permettre la restauration des systèmes installés utilisés pour le traitement des données à caractère personnel en cas d'interruption (récupération).
- Veiller à ce que les fonctions du système utilisé pour traiter les données à caractère personnel fonctionnent correctement, à ce que l'apparition de défaillances dans ces fonctions soit signalée (fiabilité) et à ce que les données à caractère personnel stockées ne soient pas altérées en raison d'un dysfonctionnement du système (intégrité).
Principes directeurs
GumGum s'appuie sur les principes directeurs suivants pour élaborer et mettre en œuvre ses mesures de sécurité :
- GumGum s'efforce de protéger la confidentialité, l'intégrité et la disponibilité de ses ressources informationnelles ainsi que celles de ses clients.
- Nous respecterons les lois américaines et internationales applicables en matière de confidentialité et de protection des données.
- Nous veillerons à trouver un juste équilibre entre la nécessité d'assurer l'efficacité de l'entreprise et celle de protéger les informations sensibles, exclusives ou confidentielles contre tout risque injustifié.
- En recourant à des mesures d'authentification appropriées (cryptées), nous n'accorderons l'accès aux informations sensibles, exclusives ou confidentielles qu'aux personnes ayant un besoin d'en connaître et disposant du niveau de privilèges le plus bas nécessaire à l'exercice des fonctions qui leur sont confiées.
- Conscients qu'un personnel avisé constitue la meilleure ligne de défense, nous proposerons des formations et des ressources en matière de sécurité afin d'aider chacun à comprendre et à respecter ses obligations en matière de sécurité de l'information.
Confidentialité
Nous appliquons des contrôles stricts concernant l’accès de nos employés aux données que vous et vos utilisateurs mettez à disposition via les services GumGum, telles que définies plus précisément dans votre contrat avec GumGum régissant l’utilisation des services GumGum (« Données client »). Le fonctionnement des services GumGum nécessite que certains collaborateurs aient accès aux systèmes qui stockent et traitent les Données client. Par exemple, afin de diagnostiquer un problème que vous rencontrez avec les services GumGum, nous pouvons être amenés à accéder à vos Données client. Il est interdit à ces collaborateurs d’utiliser ces autorisations pour consulter les Données client, sauf si cela s’avère nécessaire. Nous avons mis en place des contrôles techniques et des politiques d’audit afin de garantir que tout accès aux Données client soit consigné.
Pratiques en matière de ressources humaines
GumGum procède à une vérification des antécédents de tous ses collaborateurs avant leur embauche, et ceux-ci suivent une formation sur la protection de la vie privée et la sécurité lors de leur intégration, puis de manière continue (chaque année). De plus, au moment de leur embauche, tous les collaborateurs sont tenus de signer et de respecter nos accords de confidentialité. Nous incluons également des clauses de confidentialité dans tous nos contrats conclus avec nos prestataires et consultants.
Accès
Les droits d’accès au système seront limités aux seuls droits nécessaires à l’exécution des tâches (principe de minimisation). Une fois les tâches accomplies, le droit d’accès sera supprimé ou bloqué. Les demandes de droits d’accès sont soumises au principe de séparation des fonctions. L’attribution et la gestion des droits feront l’objet d’une documentation. Si l’accès aux données à caractère personnel n’est pas explicitement nécessaire, cet accès ne sera pas autorisé. Les droits des utilisateurs seront attribués de manière à n'autoriser que l'accès nécessaire à l'exécution d'une tâche ou à l'exercice d'un rôle, c'est-à-dire : lecture, écriture, modification, etc. L'accès via des réseaux externes sera protégé de manière adéquate (chiffrement, authentification, etc.). Des protocoles de sécurité des mots de passe, basés sur l'état actuel de la technique, seront mis en œuvre.
Serveur cloud
Conformément à l'accord sur les clauses types de GumGum, GumGum ne traite ni ne stocke les données des consommateurs sur site ; nous avons mis en place des clauses régissant le transfert et le stockage des données sur divers serveurs dans le cloud :
- États-Unis (Virginie et Oregon) pour AWS
- Irlande
- Tokyo
En ce qui concerne les bureaux de GumGum, l'accès physique aux locaux sera contrôlé tant au périmètre qu'aux points d'entrée des bâtiments par du personnel de sécurité professionnel, un système de vidéosurveillance, des cartes-clés et un système d'alarme permettant d'accéder à l'étage des bureaux en dehors des heures d'ouverture. Le personnel autorisé doit disposer d'une carte-clé pour accéder à certains étages pendant les heures d'ouverture, et tous les visiteurs et prestataires sont tenus de s'enregistrer auprès du personnel autorisé.
Sécurité des données
Les services sont fournis à l’aide de méthodes et de produits de chiffrement conformes aux normes du secteur et reconnus, afin de protéger les données et les communications du prestataire de services pendant leur transmission, notamment par le chiffrement des données en transit et le chiffrement des données au repos. De plus, les données du prestataire de services sont chiffrées lors de leur transmission entre les centres de données à des fins de réplication. La quasi-totalité des données est hébergée sur un serveur cloud, et notre politique de sécurité de l’information rigoureuse comprend des procédures visant à garantir la mise en place de contrôles de sécurité réseau appropriés, notamment la segmentation du réseau et d’autres mesures destinées à minimiser les risques liés aux incidents de sécurité, y compris les fuites de données dues à des logiciels malveillants, des virus, des logiciels espions, etc. Des contrôles périmétriques protègent notre réseau contre les attaques externes. Des pare-feu, configurés conformément aux normes et procédures techniques en vigueur, séparent notre réseau de confiance d’Internet ou des environnements exposés à Internet.
Suivi
Les saisies, modifications et suppressions de données à caractère personnel sont consignées et régulièrement examinées afin de détecter tout traitement illicite. Les journaux d'accès contiennent un enregistrement de chaque tentative de connexion, réussie ou non, initiée par l'utilisateur ou par le système. Toutes les activités liées à la sécurité du système et effectuées à l'aide de droits d'administrateur sont consignées. Les données des journaux sont stockées de manière à empêcher toute altération, à garantir leur disponibilité rapide et à respecter les exigences légales. Seuls les utilisateurs autorisés sont habilités à accéder aux données des journaux.
Disponibilité
Afin de réduire le risque de perte de données, des sauvegardes régulières seront effectuées. De plus, les systèmes de traitement des données feront l'objet d'une maintenance et de mises à jour appropriées. Les mesures de sécurité suivantes sont mises en œuvre dans le cadre des contrôles de disponibilité (liste non exhaustive) : (a) procédures de sauvegarde ; (b) architecture multisite ; et (c) redondance des systèmes critiques.
Gestion des incidents
GumGum dispose de politiques et de procédures formelles de gestion des incidents de sécurité et s’engage à informer les parties concernées (notamment les particuliers, les clients, les fournisseurs, les partenaires et, le cas échéant, les autorités de régulation) sans retard injustifié dès qu’elle a connaissance de la destruction, de la perte, de l’altération, de la divulgation non autorisée ou de l’accès non autorisé, accidentels ou illicites, aux Données des prestataires de services, y compris les Données à caractère personnel, transmises, stockées ou traitées de toute autre manière par GumGum ou ses sous-traitants, dont GumGum a connaissance (un « incident de violation des données du prestataire de services »). GumGum déploiera des efforts raisonnables pour identifier la cause d’un tel incident de violation des données du prestataire de services et prendra les mesures qu’elle jugera nécessaires et raisonnables afin de remédier à la cause dudit incident, dans la mesure où cette remédiation relève du contrôle raisonnable de GumGum. Les obligations prévues aux présentes ne s’appliquent pas aux incidents causés par le prestataire de services ou les utilisateurs de ce dernier.
Sécurité des infrastructures
L'environnement sera protégé contre les menaces courantes à l'aide de méthodes conformes aux normes du secteur, notamment : (a) des pare-feu d'applications web ; (b) des systèmes de détection et de prévention des intrusions ; (c) l'analyse des vulnérabilités de l'infrastructure ; et (d) l'analyse des vulnérabilités des applications web.
Si vous avez d'autres questions concernant la sécurité, nous nous ferons un plaisir d'y répondre. Veuillez écrire à notre responsable mondial de la conformité à l'adresse suivante : compliance@gumgum.com, et nous vous répondrons dans les plus brefs délais.