Sécurité, confiance et confidentialité @ Planbox
Construit sur une base de confiance.
Chez Planbox, la confiance fait partie intégrante de tout ce que nous faisons. Pour assurer la sécurité et la confidentialité de vos données, nous déployons des mesures de protection de pointe et surveillons en permanence nos systèmes. Vous pouvez donc être tranquille en sachant que vos données les plus sensibles sont protégées 24 heures sur 24 et 7 jours sur 7 dans le nuage.
Caractéristiques
Cryptage des données en transit et au repos
Sauvegarde complète cryptée toutes les 24 heures
Confidentialité totale des données et protection GDPR
Approche de la sécurité à plusieurs niveaux
Analyses de vulnérabilité quotidiennes et tests de pénétration réguliers
Gestion des identités d'entreprise, sociales et natives
Conformité aux normes et réglementations du secteur
SAML 2.0 SSO pour les entreprises
Nous nous efforçons de maintenir la Planbox disponible 100 % du temps.
Sécurité
Plus d’un million d’utilisateurs actifs et des centaines d’entreprises dans plus de 120 pays utilisent Planbox pour générer, gérer et développer de nouvelles idées et des solutions créatives. Ces entreprises font confiance à Planbox pour stocker de manière fiable leur contenu et leurs fichiers et fournir un accès sécurisé à leurs données d’entreprise.
Les données sont transmises vers et depuis nos serveurs via HTTPS et sont cryptées en transit (TLS) à l’aide d’algorithmes de cryptage AES 256 bits (ou plus). Toutes les communications utilisent le cryptage SSL (Secure Sockets Layer) et toutes les données sont stockées dans des centres de données certifiés SOC 1 Type II, SOC 2 Type I et ISO 27001. Vos données sont stockées et cryptées au repos à l’aide d’un cryptage AES 256 bits.
Sécurité du système
Dans le contexte de la confidentialité des données et du GDPR, nos clients servent de contrôleur de données tandis que Planbox est le processeur de données. Cela signifie que vous avez le contrôle total de toutes vos données qui résident sur nos serveurs.
Planbox peut établir un schéma d’accès par signature unique (SSO utilisant SAML 2.0) qui vous permettra d’utiliser les informations de connexion dans votre propre répertoire. Planbox peut également authentifier les utilisateurs par d’autres moyens, notamment le portail d’authentification Planbox, le login social et les codes d’invitation. La gestion des mots de passe (également configurable) est basée sur vos exigences en matière de bonnes pratiques et peut être définie en fonction de vos politiques.
Comme vous contrôlez les données, vous pouvez effectuer les tâches suivantes liées à la sécurité sans compter sur nous :
- Ajout et suppression d’utilisateurs
- Créer, modifier et attribuer des rôles de sécurité
- Configuration des flux de travail et des règles de gestion
- Examen des journaux d’audit de l’activité des applications et des données historiques.
Sécurité organisationnelle
Traitement des données
La sécurité commence dès le premier jour. Tous les employés et les prestataires de services de Planbox reçoivent une formation sur la sécurité, la confidentialité et la conformité dès leur entrée en fonction. La sécurité et la protection des données sont la responsabilité de tous chez Planbox.
Cet engagement en faveur de la sécurité s’étend à notre comité exécutif. Le Conseil de sécurité de Planbox, un groupe interfonctionnel composé de membres de l’équipe dirigeante de toute l’entreprise, supervise nos programmes de sécurité, adopte une approche de la gestion de la sécurité à l’échelle de l’entreprise fondée sur des normes et veille à ce que la sensibilisation et les initiatives en matière de sécurité soient présentes dans toute l’organisation.
Responsable de la sécurité de l’information
Planbox emploie un responsable de la sécurité de l’information qui est chargé de conseiller la société sur toutes les questions de sécurité, de gérer le programme de sécurité stratégique global, d’effectuer des examens de sécurité et de veiller à ce que les données non publiques des clients et de la société soient protégées de manière adéquate.
Personnel
Tous les membres du personnel ont la responsabilité de veiller à ce que les données auxquelles ils sont exposés soient protégées au mieux de leurs capacités. Le processus d’intégration permet également de s’assurer que le personnel est formé aux politiques de sécurité applicables qu’il doit respecter au moment de son arrivée (et chaque année) et qu’il est tenu d’accepter par écrit de les comprendre et de les respecter.
Un élément clé de la sécurité de l’information est l’éducation du personnel en ce qui concerne la formation à la sécurité de l’information afin de s’assurer que tout le personnel est pleinement conscient de ses responsabilités. Une formation de sensibilisation à la sécurité de l’information est dispensée à l’ensemble du personnel au moment de l’embauche et chaque année. Une confirmation de l’achèvement et de la compréhension est également enregistrée. Un processus solide et documenté de départ et d’arrivée garantit que l’accès au système est supprimé en temps voulu et que tous les actifs sont restitués.
Sécurité opérationnelle
Sécurité physique
Les applications Planbox sont hébergées sur Microsoft Azure et Amazon Web Services, dans des centres de données régionaux de pointe conçus pour protéger les systèmes critiques avec des sous-systèmes entièrement redondants et des zones de sécurité compartimentées. Nos centres de données en nuage aux États-Unis, au Royaume-Uni, dans l’Union européenne et au Canada respectent les mesures de sécurité physique les plus strictes, notamment, mais pas exclusivement, les suivantes :
- Plusieurs niveaux d’authentification pour l’accès à la zone du serveur
- Authentification biométrique à deux facteurs pour les zones critiques
- Systèmes de surveillance par caméra aux principaux points d’entrée internes et externes
- Surveillance 24/7 par le personnel de sécurité
- Tous les accès physiques aux centres de données sont hautement limités et strictement réglementés.
Sécurité des réseaux
Nos réseaux sont protégés par de puissants pare-feu configurés de manière à suivre les meilleures pratiques du secteur en matière de sécurité d’entrée/sortie de réseau. Planbox a établi des procédures opérationnelles détaillées, des politiques de sécurité et des processus conçus pour :
- Assurer la sécurité de l’ensemble du personnel de Planbox, des fournisseurs, des partenaires et des clients.
- contrôler la qualité et maintenir l’intégrité de tous les systèmes et services d’information de Planbox
- Assurer une disponibilité continue et des performances optimisées
Nous mettons également en œuvre des systèmes de détection/prévention des intrusions pour protéger notre service et un système de surveillance qui analyse toutes les activités sur les serveurs et déclenche des notifications à nos ingénieurs pour évaluer et répondre rapidement à tout problème d’interruption de service ou autre événement.
Évaluation de la vulnérabilité
Planbox investit également dans des tests de pénétration effectués par un tiers indépendant afin de garantir l’intégrité de ses défenses en ligne. Validation intégrée des vulnérabilités web : Tous les contrôles web Planbox ont une validation intégrée pour les principales vulnérabilités web telles que le cross site scripting (XSS), les attaques par redirection et l’injection SQL.
Sécurité des applications
Planbox a mis en place plusieurs niveaux de sécurité pour contrôler la façon dont les données sont visualisées et accessibles dans toutes les applications Planbox.
Nous avons créé des processus clairs et reproductibles afin de garantir que nos équipes de développement intègrent la sécurité dans nos produits et services. Dans le cadre de notre cycle de développement, chaque mise à jour de fonctionnalité et de système comprend une évaluation approfondie des risques de sécurité. En outre, des examens et des analyses statiques et dynamiques du code source sont effectués pour garantir que la sécurité de l’entreprise est prise en compte dans toutes les mises à jour du produit. Tous les problèmes identifiés lors de nos analyses de vulnérabilité du code sont signalés à l’équipe de développement pour un examen plus approfondi et des mesures d’atténuation. Le processus de développement est encore renforcé en veillant à ce que les développeurs de logiciels soient formés au développement d’applications sécurisées.
Sécurité des données et des rôles
Planbox fournit un modèle de sécurité des données et d’accès des utilisateurs basé sur les données et les rôles. Chaque utilisateur a des droits au niveau de l’objet (interrogation/insertion/suppression/modification). Le gestionnaire d’accès de sécurité valide chaque demande d’accès envoyée avec les droits de l’utilisateur, rendant impossible l’accès à des objets non autorisés et/ou l’exécution d’actions non autorisées. Les profils de sécurité peuvent être attribués à des groupes ou à des utilisateurs spécifiques et copiés selon les besoins. Planbox prend également en charge la sécurité basée sur les relations, ce qui permet d’accorder des autorisations personnalisées sur les objets que les utilisateurs possèdent ou auxquels ils sont affectés.
Piste d’audit
La piste d’audit Planbox offre aux administrateurs une transparence totale sur toutes les activités des utilisateurs, quel que soit le participant. Le système enregistre les connexions, l’accès au système, l’historique d’une entrée de flux de travail, les commentaires, l’évaluation et les changements de statut, y compris des informations détaillées sur l’auteur de la modification, la date et l’horodatage, ainsi que l’endroit à partir duquel les modifications ont été apportées.
Vie privée
Les réglementations relatives à la confidentialité des données sont complexes, varient d’une région à l’autre, voire d’un pays à l’autre, et imposent des restrictions et des obligations strictes à votre organisation. Lorsqu’elles choisissent une plateforme de gestion de l’innovation, les entreprises doivent en sélectionner une qui peut se conformer à leurs exigences en matière de protection des données et protéger la confidentialité de leurs données. Avec Planbox, vous avez un contrôle total sur les fonctionnalités et les pratiques de confidentialité du système de gestion de l’innovationqui vous permettent de respecter vos obligations en matière de confidentialité.
En outre, nous fournissons aux équipes juridiques et de conformité de nos clients les ressources et les informations nécessaires pour les aider à comprendre et à valider les exigences de confidentialité et de conformité de leur organisation, ainsi qu’à montrer comment Planbox peut les aider à atteindre leurs objectifs de conformité.
Programme de protection de la vie privée
Planbox investit massivement dans la technologie, les systèmes et les pratiques afin de protéger activement vos données. Le programme de protection de la vie privée de Planbox est fondé sur des politiques et des procédures strictes concernant l’accès, l’utilisation, la divulgation et le transfert des données des clients. Le cœur de notre programme de protection de la vie privée est que les employés de Planbox n’accèdent pas aux données des clients, ne les utilisent pas, ne les divulguent pas et ne les transfèrent pas, sauf si cela est conforme à un ensemble de processus et d’accords stricts ou à la demande officielle du client.
Seuls les employés de Planbox qui ont une raison professionnelle valable se voient accorder un accès temporaire aux systèmes de production. Planbox pratique une politique de droits minimums en matière d’accès aux applications. Une procédure formelle d’enregistrement et de désenregistrement des utilisateurs est en place pour accorder et révoquer l’accès à tous les systèmes et services d’information. L’accès aux données des clients est contrôlé par une authentification à deux facteurs et un cryptage de bout en bout. Cela permet à l’utilisateur d’accéder à une console de gestion sécurisée (SMC) où les données du client sont accessibles mais ne peuvent être téléchargées sur l’ordinateur de l’utilisateur ou sur tout autre type de support amovible.
Notre processus d’administration interne garantit qu’une fois que l’équipe de sécurité est informée qu’un utilisateur a changé de département, de responsabilités professionnelles, qu’il a démissionné, qu’il a pris un congé ou qu’il a été licencié, une action rapide est entreprise pour que l’accès à l’application de l’utilisateur soit supprimé ou modifié en conséquence. En raison de la nature très portable des ordinateurs portables et des smartphones, les contrôles de sécurité des données qu’ils contiennent doivent nécessairement être plus stricts que ceux des ordinateurs de bureau. Planbox a mis en place une politique stricte en matière d’informatique mobile afin d’atténuer les risques de perte de données. Cette politique définit les exigences pour les utilisateurs, notamment la sécurité physique des appareils à l’intérieur et à l’extérieur du bureau, le transport et la consultation sécurisée des données.
Protection de la propriété intellectuelle
Le développement d’un programme de gestion de l’innovation réussi dépend de la capacité à relever avec succès les défis de la conception, du développement et de la protection de la propriété intellectuelle. Planbox offre une fonction de protection de la propriété intellectuelle simplifiée et configurable à l’échelle du système ou de la communauté, qui protège à la fois votre organisation et les personnes qui soumettent des idées. Avec Planbox, vous créez un espace de travail collaboratif sécurisé pour les ressources internes et les innovateurs externes, basé sur la confiance mutuelle, qui encourage chacun à participer, à partager ses idées et à développer des concepts innovants.
Conformité
L’infrastructure en nuage de Planbox, où toutes les données des clients sont gérées et stockées, est hébergée sur Microsoft Azure et Amazon Web Services. Ces plateformes de services en nuage répondent à un large éventail de normes de conformité internationales et sectorielles, telles que le règlement général sur la protection des données (RGPD), ISO 27001, HIPAA, FedRAMP, SOC 1 et SOC 2. Des audits rigoureux réalisés par des tiers vérifient l’adhésion d’Azure et d’Amazon Web Services aux contrôles de sécurité stricts que ces normes imposent.
Planbox a également mis en place les contrôles internes suivants pour soutenir et servir ses clients :
Principes des services fiduciaires
Soutien aux données et à la vie privée
Sécurité, confiance, assurance et risque
Cyber Essentials Plus
Sécurité et protection des données
Certification en matière de sécurité de l’information