Sécurité

Mesures techniques et organisationnelles.

Extu a mis en œuvre et maintiendra des mesures techniques et organisationnelles appropriées, des contrôles internes et des pratiques de sécurité de l’information conçus pour protéger les données traitées par Extu en vertu de l’Accord, contre toute perte, destruction ou altération accidentelle ; divulgation ou accès non autorisés ; ou destruction illégale, comme suit :

Contrôle, Formation et Sécurité des Employés

1. Personnel. Extu prend des mesures raisonnables pour garantir que son personnel possède des compétences, de l’expérience et une formation adéquates dans la prise en charge et la manipulation des Informations Personnelles lors de la prestation des Services.
2. Vérifications d’antécédents. Extu effectue des investigations d’antécédents raisonnables et appropriées sur tout son personnel conformément aux lois et réglementations applicables.
3. Formation. Le programme de formation en conformité d’Extu comprend une exigence pour que les employés et les contractuels complètent une formation en protection des données dès leur intégration dans l’organisation, ainsi qu’une formation annuelle obligatoire en protection des données et sensibilisation à la confidentialité. Cela inclut la réussite d’une évaluation annuelle. La formation en protection des données couvre des sujets tels que la sensibilisation à la sécurité, la gestion des incidents de données et peut également inclure des documents spécifiques à certaines fonctions.
4. Confidentialité. Extu veille à ce que ses employés soient tenus de maintenir et protéger la confidentialité de toute Information Personnelles qu’ils manipulent en vertu de cet Accord.

Sécurité Physique et Environnementale

1. Centres de données. Extu utilise des centres de données pour gérer la sécurité physique avec un accès surveillé 24h/24 et 7j/7 ainsi que des scanners biométriques. Nos fournisseurs de centres de données répondent aux exigences de conformité SOC
2. Contrôles physiques. Extu a adopté une politique de bureau clair qui stipule qu’aucune Information Personnelle ne doit être laissée sans surveillance et exige que le personnel verrouille l’écran de son ordinateur lorsqu’il s’éloigne de son poste. Tout support imprimé contenant des Informations Personnelles est détruit de manière sécurisée (par incinération ou déchiquetage) conformément à notre politique de conservation. Toute Information Personnelle détenue sur du matériel informatique ou des supports échangeables doit être détruite de manière sécurisée avant de se débarrasser d’un ancien appareil. Extu veille, par le biais d’une formation régulière, à ce que le personnel ne copie ni ne transfère aucune Information Personnelle sur un disque dur d’ordinateur, un ordinateur portable, un appareil mobile, un support échangeable ou toute autre technologie.
3. Sous-traitants. Extu a mis en place un programme de conformité tiers qui intègre la sécurité dans l’évaluation d’un fournisseur ou sous-traitant tout en garantissant la confidentialité, l’intégrité et la disponibilité des données. Extu maintient des relations contractuelles avec les fournisseurs afin de fournir les Services conformément à un accord de protection des données convenu.

Sécurité Technique

1. Contrôle d’accès. Extu maintient une politique formelle de contrôle d’accès et utilise un système centralisé de gestion des accès pour contrôler l’accès des employés et des sous-traitants aux systèmes. L’accès est accordé en fonction de la séparation des tâches et du principe du moindre privilège. Le contrôle d’accès inclut l’utilisation d’un nom d’utilisateur et d’un mot de passe complexes ainsi que l’authentification multifactorielle. Extu ajuste les droits d’accès du personnel chaque fois qu’ils assument différentes responsabilités et révoque tout accès à la cessation de l’emploi ou du contrat.
2. Transmission et cryptage des données. Extu prend toutes les mesures raisonnables pour garantir que toutes les informations personnelles (stockées sous toute forme et support, qu’il soit tangible ou intangible) susceptibles de causer un dommage ou une détresse à une personne concernée en cas de perte, de vol ou d’accès par une personne non autorisée, sont cryptées, notamment lorsqu’elles sont en transit entre les systèmes. Cela inclut la mise en œuvre de pratiques de cryptage conformes aux normes industrielles dans la transmission des données personnelles (comme la sécurité des couches de transport) et le cryptage des données personnelles au repos et en transit.
3. Protection de la sécurité des données. Des mesures appropriées de sécurité des données sont en place, notamment (sans s’y limiter) : des logiciels antivirus et anti-programmes malveillants sont installés sur les systèmes d’information, les derniers correctifs et mises à jour de sécurité des logiciels utilisés sont appliqués, la protection du réseau est assurée par un pare-feu avec des systèmes de détection d’intrusion en place et des journaux pour les systèmes critiques.
4. Examen du code. Extu maintient un cycle de vie formel de développement logiciel qui inclut des pratiques de codage sécurisé, notamment des revues de code et des pratiques de gestion des changements en ingénierie et développement de produits.
5. Conservation des données. Extu applique une politique de conservation et d’élimination des données.

Conformité SOC II et certification PCI DSS.

Le prestataire de traitement des cartes de crédit d’Extu utilise des mesures de sécurité pour protéger vos informations à la fois pendant la transaction et après son achèvement. Notre fournisseur est certifié conforme aux initiatives de sécurité des associations de cartes. L’intégration de nos systèmes de gestion des incitations avec le fournisseur est conforme à la norme PCI DSS (en vertu du SAQ A).

Nous réalisons également des audits annuels SOC II de Type 2 sur nos systèmes de gestion des incitations. Nous fournissons notre rapport SOC II sur demande.

Réponse aux incidents et notification des violations

1. Reprise après sinistre. Extu a pris des mesures pour garantir que les services puissent continuer à être fournis dans le cas de sinistre où une catastrophe perturberait le mode de fonctionnement normal. Les systèmes et services critiques ont été identifiés et un plan de récuperation après sinistre a été mis en place. Extu effectue régulièrement des sauvegardes, garantissant que les systèmes critiques peuvent être restaurés avec une perte de données minimale.
2. Gestion des incidents. Extu a établi des procédures de gestion des incidents, qui permettent de traiter les incidents de manière rapide et controlée et conformément aux lois et obligations applicables.