Dynata reconnaît l'importance de la confidentialité et de la sécurité des données et a mis en place un programme de sécurité de l'information afin de gérer ses exigences en matière de sécurité des données et de surveiller en permanence l'évolution des tendances et des menaces. Ce programme est dirigé par des professionnels qualifiés en sécurité de l'information qui collaborent étroitement avec le directeur juridique de Dynata afin de garantir que toutes les exigences contractuelles ou réglementaires en matière de protection des données soient intégrées au programme de sécurité de l'information. L'équipe chargée de la sécurité de l'information s'appuie sur l'ensemble des services et du personnel nécessaires au sein de Dynata pour traiter les problèmes de sécurité dès qu'ils surviennent. Dynata maintient la conformité AICPA SOC2 aux critères de sécurité et de confidentialité dans le cadre de son programme de sécurité de l'information et est certifiée ISO 27001:2022. Vous trouverez ci-dessous un aperçu général des mesures de protection techniques, physiques et administratives que Dynata a mises en œuvre pour protéger les données de ses clients.
Politiques et normes en matière de sécurité de l'information
Les politiques et normes mondiales de Dynata en matière de sécurité de l'information couvrent les domaines de la sécurité de l'information qui revêtent une importance cruciale pour Dynata. Ces politiques et normes sont approuvées par la direction et communiquées à l'ensemble des employés et/ou des prestataires.
Formation à la sensibilisation à la sécurité de l'information
Une formation à la sensibilisation à la sécurité de l'information est obligatoire pour tous les employés de Dynata dès leur embauche, puis chaque année. L'obligation de respecter les politiques de l'entreprise est précisée et communiquée dans le guide de l'employé de Dynata. Les sous-traitants et les utilisateurs tiers doivent s'engager à respecter les politiques de sécurité de l'information de Dynata avant de pouvoir accéder aux systèmes d'information de Dynata.
Les employés de Dynata reçoivent une formation sur le traitement sécurisé des données des clients, notamment :
Méthodes sécurisées de transmission et de stockage des données
Pratiques sécurisées pour la gestion des documents papier et des ressources électroniques
Pratiques sécurisées pour la transmission d'informations orales
-
01
Vérification des antécédents
Aux États-Unis, les candidats à l'embauche font l'objet d'une vérification de leurs antécédents couvrant une période de sept (7) ans, conformément à la législation en vigueur, afin de garantir le respect des accords conclus avec les clients et d'assurer la sécurité de ses employés sur le lieu de travail. Dynata n'embauche pas de personnes ayant fait l'objet de condamnations pour crime ou pour des infractions pénales liées à la fraude ou à la malhonnêteté.
-
02
Sécurité des centres de données
Les systèmes Dynata sont hébergés dans des centres de colocation tiers offrant une gamme complète de services et dotés de dispositifs de sécurité de pointe, conformes à diverses normes de conformité et/ou de certification tierces, notamment ISO 27001:2013, NIST 800-53, SOC2 et/ou SSAE 16. Ces installations assurent une redondance grâce à plusieurs générateurs de secours, des alimentations sans coupure et des systèmes de climatisation. Les contrôles de sécurité physique comprennent des clôtures périmétriques, une surveillance, des agents de sécurité sur site, un accès par carte-clé, des systèmes biométriques et des sas de sécurité pour contrôler et restreindre l'accès aux centres de données. Des caméras de sécurité sont installées dans l'ensemble des installations du centre de données pour enregistrer l'activité physique et sont surveillées activement 24 heures sur 24, 7 jours sur 7, 365 jours par an.
-
03
Sécurité au bureau
Les exigences en matière de sécurité physique des bureaux de Dynata sont communiquées à l'ensemble de l'organisation par le biais de formations destinées aux employés et de la politique d'entreprise. Bien que les niveaux de sécurité varient d'un bureau à l'autre, l'objectif commun à tous est d'empêcher tout accès non autorisé aux systèmes d'information de Dynata et à toutes les données hébergées dans les locaux. Les mesures de sécurité physique comprennent : l'accès par badge, les clés, les clôtures, les portails, le personnel d'accueil et de sécurité, les patrouilles de sécurité, les registres des visiteurs, la biométrie, ainsi que les serrures à code ou à clé. Certains bureaux sont équipés de caméras.
-
04
Sécurité des réseaux
Une politique de sécurité réseau a été publiée et diffusée, qui définit les exigences de Dynata en matière de sécurité réseau. Les mesures de sécurité réseau suivantes ont été mises en place :
Les réseaux externes (Internet, extranets, partenaires externes) sont isolés des réseaux internes par des pare-feu
Les serveurs et services exposés à Internet sont situés dans la zone DMZ, avec des pare-feu intermédiaires
Les pare-feu sont configurés pour bloquer par défaut toutes les connexions entrantes et n'autoriser que celles qui répondent aux besoins des applications ou du système
Les règles des pare-feu sont régulièrement révisées
Des systèmes de détection et de prévention des intrusions basés sur le réseau sont déployés au périmètre du réseau
Le trafic réseau interne est surveillé à la recherche d'activités malveillantes à l'aide de scanners de vulnérabilité passifs
. Les journaux du pare-feu sont transmis à un outil d'agrégation et de corrélation des journaux afin de détecter les indicateurs de compromission ou toute autre activité réseau malveillante
. Le trafic est chiffré via HTTPS
. L'accès à distance au réseau Dynata est limité par des pare-feu matériels et réservé à certains employés via un accès VPN. Les mesures de sécurité comprennent l'authentification multifactorielle et le chiffrement via HTTPS.
Gestion des menaces
Dynata dispose d'un programme d'évaluation des risques informatiques qui comprend :
● Des analyses hebdomadaires des vulnérabilités externes et internes
● Des évaluations annuelles indépendantes de la sécurité du réseau et des tests d'intrusion
● Des procédures standardisées pour évaluer les vulnérabilités des serveurs et y remédier avant leur mise en production
Surveillance de la sécurité
Dynata dispose d'une stratégie de surveillance de la sécurité comprenant des cas d'utilisation spécifiques pour surveiller les incidents cybernétiques en temps réel, par exemple :
● Détection des intrusions
● Détection des ransomwares
● Détection des virus
● Modifications critiques des groupes ou des infrastructures
● Détection des points d'accès non autorisés
● Détection des indicateurs de compromission
● Détection des activités anormales
Cryptage
Conformément à la politique de sécurité de l'information de Dynata, le chiffrement est utilisé pour protéger les informations en transit et au repos. Les employés de Dynata sont tenus de collaborer avec les équipes chargées des opérations informatiques et de la sécurité de l'information afin de s'assurer que le mode de transmission de certains types de données utilise un algorithme de chiffrement conforme. Lors de la transmission de données avec des clients, Dynata recommande l'utilisation de son système de transport sécurisé hébergé en interne, qui utilise les protocoles SFTP et HTTPS pour le transfert de fichiers.
Destruction des données
Lorsque des données doivent quitter le contrôle de l'organisation (par exemple, lors de la mise au rebut d'actifs), Dynata fait appel à des tiers pour la mise au rebut du matériel et travaille avec des prestataires qui respectent les exigences de la publication spéciale 800-88 du NIST et fournissent des certificats de destruction. Les exigences spécifiques relatives à la destruction sécurisée des données sont déterminées au cas par cas, conformément aux directives de chaque client.
Parmi les autres contrôles, on peut citer :
● Sauvegardes chiffrées régulières
● Reprise après sinistre pour les systèmes centraux
● Gestion des journaux d'audit
● Gestion des changements
● Mesures de protection contre les logiciels malveillants (par exemple, antivirus, filtrage Web)
● Contrôle d'accès
● Procédures d'enregistrement, de modification et de désenregistrement des utilisateurs
● Politiques en matière de mots de passe
● Gestion des droits d'accès privilégiés
● Révision des droits d'accès des utilisateurs
● Cycle de vie du développement logiciel
Audit indépendant de la sécurité de l'information
Des informations complémentaires concernant le programme de sécurité de l'information de Dynata peuvent être fournies après la signature d'un accord de confidentialité (NDA) par les deux parties. Un questionnaire plus détaillé d'évaluation des risques fournisseurs peut être rempli en transmettant le document et les instructions à votre partenaire commercial Dynata.
Déclaration relative au programme de prime aux bogues
1. Objectif
Notre organisation s'engage à garantir la sécurité de nos systèmes, de nos applications et de nos données. Nous encourageons la recherche responsable en matière de sécurité et favorisons la divulgation responsable des vulnérabilités par le biais de notre programme de prime aux bogues.