Trust Center

Toutes les informations sur la sécurité, la confidentialité et la conformité de nos solutions.
trust-center-hero

Chez InVision AG (InVision), la sécurité est l’une de nos priorités. Nous sommes conscients que notre plateforme stocke et traite des informations sensibles pour le compte de nos clients, notamment le nom des employés, les informations de connexion, les heures de travail et d’autres. En 2011, nous avons lancé injixo, la première application de WFM (workforce management) sur le cloud au monde. Dès le début de l’aventure, nous avons compris notre devoir de diligence vis-à-vis des données de nos clients.

Notre siège est situé en Allemagne, un pays à l’avant-garde dans les domaines de la sécurité des données et de la législation en matière de confidentialité. Les entreprises allemandes ont dû proposer des politiques de sécurité informatique de premier rang bien avant l’entrée en vigueur du RGPD et leur position de leader en la matière continue de se maintenir.

InVision associe des politiques de sécurité de classe entreprise à des processus opérationnels qui garantissent que nos applications, systèmes et réseaux protègent vos données à chaque instant. Nous n’avons subi aucune violation de sécurité à ce jour et maintenir cette performance fait partie de nos principales missions. C’est pourquoi de grandes organisations pour qui les questions de sécurité revêtent une importance particulière nous confient les données de leurs employés, notamment dans le secteur de la finance, des assurances et des institutions publiques.

Cette page détaille nos politiques de sécurité.

Conformité

InVision est conforme à la législation en matière de sécurité des données dans tous les pays où nous sommes présents et déployons nos produits. Nous sommes fiers d’adopter les meilleures pratiques du secteur et de respecter les normes internationales les plus élevées, telles que la norme ISO 27001.

ISO/IEC 27001

InVision est certifiée ISO/IEC 27001:2013 et des audits de conformité indépendants sont réalisés chaque année.

Le Système de management de la sécurité de l’information (SMSI) d’InVision couvre la fourniture, l’exploitation et la gestion de la plateforme injixo. Il prévoit les obligations auxquelles sont soumis les employés d’InVision et les fournisseurs tiers qui créent, stockent, accèdent, traitent ou transmettent les informations dans le cadre de nos environnements de test et de développement, ainsi que de l’environnement de production fourni aux clients.

Notre certificat ISO 27001 est accessible ici.

GDPR

InVision est conforme à tous les aspects du Règlement général sur la protection des données de l’UE et du Royaume-Uni (RGPD). Les détails de notre conformité au RGPD sont expliqués dans notre Accord de traitement des données (DPA) :

Anglais | Allemand | Français

Délégué à la protection des données

InVision dispose d’un Délégué à la protection des données, qui peut être contacté à privacy@invision.de.

Droits des personnes concernées

InVision soutient ses clients dans le respect des droits des personnes concernées, c’est-à-dire le droit de demande de suppression des informations personnelles, le droit d’accès et le droit à la portabilité des données. Nous permettons aux clients d’InVision de supprimer les données des employés sur demande.

Amazon Web Services

InVision héberge toutes les données clients dans des centres de données Amazon Web Services (AWS), certifiés ISO 27001, PCI DSS Service Provider Level 1 et/ou SOC 2. Pour plus d’information sur les normes de sécurité auxquelles est soumis AWS, cliquez ici.

Sous-traitants

Lorsque vous utilisez la plateforme injixo d’InVision, vos données peuvent également être traitées par des sous-traitants d’InVision. La politique de confidentialité d’InVision inclut la liste des sous-traitants tiers utilisés par InVision :

Anglais | Allemand | Français | Italien | Espagnol

Engagements contractuels

Conditions générales

Les devoirs, droits et obligations d’InVision et de ses clients concernant la plateforme injixo sont régies par les Conditions générales (CG) d’InVision. Vous pouvez consulter les CG ici :

Anglais (ÉU) | Anglais (RU) | German | French | Italien | Espagnol

Accord de traitement des données

Les termes selon lesquels InVision traite les données des clients sont affichés dans notre Accord de traitement des données (DPA), qui définit les catégories de données traitées, leur conservation, leur suppression et autres. Vous pouvez consulter le DPA ici :

Anglais | Allemand | Français

Mesures techniques et organisationnelles (TOMs)

InVision publie un ensemble de mesures techniques et organisationnelles (TOMs), qui décrit les mesures que nous prenons pour protéger la sécurité des données de nos clients. Les TOMs peuvent être consultées dans l’Annexe 2 de l’Accord de traitement des données d’InVision.

Anglais | Allemand | Français

Cyber assurance

Notre assurance responsabilité civile professionnelle inclut la couverture des cyber risques. Le certificat d’assurance est disponible sur demande.

Sécurité du produit

Chez InVision, la sécurité n’est pas mise au second plan. Elle fait partie intégrante du développement du produit, de sa conception jusqu’à sa mise en œuvre et son déploiement. Nous avons développé un Cycle de vie de développement sécurisé des produits (Secure Product Development Lifecycle, SPDL), qui découvre et corrige les vulnérabilités en matière de sécurité de manière rétroactive.

Cycle de vie de développement sécurisé des produits

Le SPDL d’InVision est basé sur les meilleures pratiques éprouvées en matière de sécurité et met en œuvre une série de contrôles stricts sur l’ensemble des composants, du code, des librairies et des services utilisés au sein d’InVision.

Les contrôles du SPDL incluent :

  • un processus de validation en plusieurs étapes pour les modifications de l’environnement de production,
  • le test de sécurité des applications statiques (SAST),
  • l’analyse de la composition des logiciels (SCA),
  • le test dynamique de sécurité des applications (DAST) automatisé et manuel,
  • l’analyse des dépendances tierces.

Tests d’intrusion

En plus de nos contrôles internes, nous engageons chaque année une tierce partie reconnue qui réalise des tests d’intrusion. Ces tests rigoureux examinent nos systèmes et nos applications à la recherche d’erreurs et de vulnérabilités, en simulant le comportement d’une force malveillante. Les résultats des tests d’intrusion sont disponibles sur demande en remplissant ce formulaire.

Secure by design

La plateforme injixo d’InVision inclut de multiples fonctionnalités qui renforcent la sécurité et la confidentialité.

Sécurité d’authentification

Nous proposons l’authentification par nom d’utilisateur et mot de passe, ainsi que par authentification unique (SSO).

Filtrage des adresses IP

Tout compte injixo a la possibilité de restreindre l’accès aux utilisateurs en fonction de plages d’adresses IP spécifiques. Cette fonctionnalité permet uniquement aux utilisateurs provenant des adresses IP désignées de se connecter à votre compte injixo, renforçant ainsi la sécurité. Veuillez noter qu’il s’agit d’un service payant disponible en option pour tous nos clients.

Politique relative aux mots de passe

Les mots de passe sont soumis à une longueur minimale et doivent utiliser au moins trois des quatre types de caractères disponibles : lettres minuscules, lettres majuscules, chiffres et caractères spéciaux.

Authentification à 2 facteurs (2FA)

InVision propose l’authentification à deux facteurs pour tous les utilisateurs.

Stockage des mots de passe

Les mots de passe sont protégés contre les attaques grâce à des algorithmes de chiffrement forts et des techniques telles que le salage.

Contrôle d’accès basé sur les rôles et autorisations

Les administrateurs peuvent appliquer des autorisations et des droits d’accès aux données spécifiques à chaque utilisateur.

Isolation du tenant

InVision garantit le stockage et le traitement des données de chaque client séparément des données des autres clients. Pour ce faire, une séparation logique des clients dans un environnement multi-tenants est mise en place. Chaque client se voit attribuer un identifiant unique.

Sécurité de l’infrastructure

La plateforme injixo d’InVision est un logiciel en tant que service (SaaS) et fonctionne dans le cloud. Étant donné qu’injixo héberge des données clients sensibles, nous avons adopté des normes de sécurité cloud très élevées. Nous veillons à ce que ces normes soient appliquées à tout moment afin de garantir la sécurité de vos données.

Périmètre de sécurité

Les mesures de sécurité physique en place dans les locaux d’InVision sont décrites à l’annexe 2, paragraphe I.2 de notre Accord de traitement des données.

Anglais | Allemand | Français

InVision utilise les centres de données d’Amazon Web Services. Les services d’infrastructure d’AWS comprennent une alimentation de secours et des équipements de lutte contre les incendies. Pour en savoir plus sur les installations d’AWS, cliquez ici. La sécurité d’AWS sur place comprend des gardes de sécurité, des clôtures, des caméras de surveillance, une technologie de détection des intrusions et d’autres mesures de sécurité. Pour en savoir plus sur la sécurité physique d’AWS, cliquez ici.

Chiffrement des données

Chiffrement au repos

Toutes les données clients sont chiffrées au repos. Ceci concerne les données en temps réel et aux sauvegardes. Les clés de chiffrement sont stockées en toute sécurité dans AWS KMS.

Chiffrement en transit

Toutes les données transférées via des réseaux non sécurisés sont cryptées en transit avec la sécurité de la couche de transport (Transport Layer Security, TLS), en utilisant une série de chiffrements forts. InVision utilise également des méthodes telles que la HTTP Strict Transport Security (HSTS) pour maintenir encore davantage l’intégrité des canaux chiffrés. Les clients sont invités à utiliser des outils tels que Qualys SSL Labs et Security Headers pour vérifier les chiffres et algorithmes TLS utilisés par InVision.

Continuité des opérations

InVision dispose d’une politique de Gestion de la continuité des opérations (BCM) documentée qui régit notre plan de reprise d’activité après sinistre. L’objectif est de s’assurer que vos données sont toujours disponibles, même après une panne grave. Notre objectif de disponibilité est décrit dans nos Conditions générales. Nous avons largement dépassé cet objectif depuis le lancement de notre plateforme injixo en 2011. Vous pouvez consulter les Conditions générales ici :

Anglais (ÉU) | Anglais (RU) | Allemand | Français | Italien | Espagnol

InVision maintient une page d’état du système accessible au public. Elle comprend des détails sur la disponibilité du système, la maintenance planifiée, l’historique des incidents de service et les événements de sécurité pertinents. Cette page est accessible ici.

Politiques de sécurité

InVision a développé et maintient un ensemble complet de politiques de sécurité qui soutiennent l’ensemble de notre opération.

Voici quelques exemples de nos politiques en action.

Sensibilisation à la sécurité, formation et assurance

Les politiques de sécurité et de confidentialité sont d’une importance capitale pour tous les employés d’InVision. Chacun d’entre nous doit suivre et compléter une formation annuelle sur la protection des données et la politique de sécurité. Cette formation est obligatoire et doit être complétée à 100 %. Les résultats sont enregistrés. Bien entendu, l’inscription est effectuée en conformité avec les réglementations de protection des données.

Plan de réponse aux incidents de sécurité

Le Plan de réponse aux incidents de sécurité (SIRP) d’InVision est un élément essentiel de nos politiques de sécurité. Le SIRP est un protocole solide qui nous permet de prendre des mesures correctives efficaces, cohérentes et rapides en réponse aux incidents liés à la sécurité. Toute menace potentielle pour les données des clients est traitée avec la plus grande urgence et importance. Le SIRP est déclenché lorsque les données des clients ont été compromises, ou lorsqu’elles pourraient potentiellement l’être. Nos spécialistes de la sécurité sont hautement qualifiés pour enquêter sur les incidents de sécurité et ils appliquent les meilleures pratiques du secteur, garantissant le respect de toutes les obligations légales. Par exemple, en cas de violation de données, InVision notifie immédiatement le client (ayant le rôle de responsable du traitement des données) conformément à nos obligations en matière de GDPR.

Les politiques

La série de politiques comprend la sécurité de l’information, l’utilisation d’équipement personnel, les appareils mobiles, le télétravail, les ressources humaines, la formation et la sensibilisation à la sécurité, la gestion des actifs, le contrôle d’accès, la sécurité physique, la gestion du changement, le développement sécurisé, les relations avec les fournisseurs, la gestion des incidents, la continuité des activités, la conformité, et bien d’autres encore. La majorité d’entre elles font référence aux clauses pertinentes de la documentation des normes du secteur, par exemple ISO/IEC 27001.

Voici quelques exemples :

  • Politique relative aux appareils mobiles et au télétravail Cette clause vise à empêcher l’accès non autorisé aux appareils mobiles à l’intérieur et à l’extérieur des locaux d’InVision. Elle prévoit six règles que les employés doivent suivre lorsqu’ils emportent des appareils informatiques mobiles hors site, par exemple ne pas laisser l’équipement sans surveillance et idéalement physiquement verrouillés, maintenir le système d’exploitation à jour, utiliser le chiffrement et des mots de passe, et plus encore. Elle prévoit cinq règles relatives au télétravail, notamment la prévention de l’accès non autorisé, la configuration du réseau local (LAN), la protection de la propriété intellectuelle de l’entreprise, et une liste des types d’activités autorisées et interdites pouvant être effectuées par les employés en télétravail.
  • Politique d’utilisation acceptable des actifs informationnels L’objectif de cette politique est de définir des règles claires concernant l’utilisation des systèmes d’information et d’autres actifs informationnels, par exemple les ordinateurs et les smartphones appartenant à InVision. Elle prévoit les conditions d’utilisation acceptables, par exemple : l’accès aux actifs doit être strictement réservé à l’employé, les matériaux illégaux et les logiciels non autorisés ne doivent pas être installés et les données de l’entreprise ne doivent pas être transférées. Les détenteurs d’actifs informationnels sont enregistrés dans un inventaire et les actifs doivent être restitués à la fin du contrat de travail. La protection contre les logiciels malveillants est obligatoire et il existe des obligations strictes pour les comptes utilisateurs, les mots de passe, l’utilisation d’Internet, les e-mails et autres services de messagerie. Toutes les données créées, stockées, envoyées ou reçues via les actifs informationnels sont la propriété d’InVision et la société se réserve le droit de surveiller les systèmes à des fins de conformité.
  • Politique de contrôle de l’accès Cela est conçu pour définir les règles d’accès aux systèmes, équipements, installations et informations en fonction des exigences opérationnelles et de sécurité. Le principe de base consiste à d’interdire l’accès aux systèmes, sauf autorisation explicite accordée aux utilisateurs individuels ou aux groupes d’utilisateurs. Cette politique inclut la procédure d’inscription pour chaque système et fournit des profils d’accès pour diverses fonctions au sein de l’organisation, par exemple l’ingénierie, l’ingénierie de plateforme, la finance, les opérations des personnes, le marketing, le support et le recrutement. Les droits d’accès sont examinés deux fois par an et il existe un processus défini pour mettre en œuvre la politique de contrôle d’accès.
  • Politique de sauvegarde Cette politique est un élément critique de la politique de continuité des activités (PCA) et vise à garantir que des copies de sauvegarde sont créées à des intervalles définis et régulièrement testées. Les copies de sauvegarde doivent être créées comme défini dans la PCA. L’équipe chargée de l’ingénierie de plateforme est responsable de la sauvegarde de toutes les informations, solutions logicielles et images du système. Les sauvegardes doivent être stockées dans plusieurs emplacements, comme le prévoit la politique et les journaux doivent être conservés. Les tests de restauration sont effectués à intervalles réguliers.
  • Politique de gestion des incidents L’objectif de cette politique est de garantir la détection précoce des événements et des faiblesses de sécurité, puis d’apporter des corrections rapidement. La politique définit un événement relatif à la sécurité de l’information, un incident de sécurité de l’information et une faiblesse de sécurité. Elle définit les responsabilités en matière de signalement des événements, incidents et faiblesses ainsi que les critères de classement. La politique décrit la façon dont les événements majeurs et mineurs doivent être gérés, rapportés et les enseignements à en tirer.

Pour en savoir plus

Clients existants

Si vous êtes déjà client injixo, nous sommes à votre disposition pour répondre à toutes vos questions en matière de sécurité. L’équipe de sécurité d’InVision est prête à répondre à toutes les questions que vos équipes informatiques, InfoSec, confidentialité et conformité pourraient avoir sur nos produits. Votre Customer Success Manager sera ravi d’organiser cela.

Incidents de sécurité

Pour signaler un incident de sécurité suspecté avec la plateforme injixo, veuillez ouvrir un ticket de support avec priorité élevée de la manière habituelle. Veuillez inclure le plus de détails possible, afin que notre équipe puisse trouver et corriger le problème dans les meilleurs délais.

Nouveaux clients

Si vous êtes en train de devenir un client injixo et que vous êtes déjà en contact avec un membre de notre équipe commerciale, veuillez le contacter directement pour toute question concernant la sécurité. Ils sera heureux de vous aider et, si nécessaire, de vous mettre en relation avec les experts de notre équipe. Si vous n’êtes pas déjà en relation avec notre équipe commerciale, vous pouvez la contacter en remplissant ce formulaire.