Skip to main content
Skip table of contents

Enterprise SaaS Security

Indexima utilise un fournisseur de cloud public pour son infrastructure comme décrit plus en détail dans l'accord et fournit le Service au Souscripteur à l'aide d'un VPC et d'un stockage hébergé chez le fournisseur de cloud public.


Indexima maintient un programme de sécurité complet reconnu par l'industrie. Dans ce cadre Indexima implémente et maintient des mesures de protection conçues pour protéger la confidentialité, l'intégrité, la disponibilité et la sécurité du service et des données du Souscripteur, y compris, mais sans s'y limiter, comme indiqué ci-dessous. Indexima teste régulièrement et évalue son programme de sécurité et peut revoir et mettre à jour son programme de sécurité ainsi que cet addendum de sécurité, à condition, cependant, que ces mises à jour soient conçues pour améliorer et non pour diminuer sensiblement la sécurité du programme de sécurité.


1 Audits et certifications d’Indexima

1.1. Le système de gestion de la sécurité des données utilisé pour fournir le Service peut être évalué par des auditeurs tiers indépendants.

1.2. Les audits tiers sont mis à la disposition du Souscripteur comme décrit dans la section 9.2.1.

1.3. Dans la mesure où Indexima met fin à un audit tiers, Indexima adoptera ou maintiendra un équivalent dans un cadre reconnu par l’industrie.


2 Emplacement d'hébergement des données du Souscripteur

2.1. Lieu d'hébergement. Le lieu d'hébergement des données du Souscripteur est l'environnement de cloud public de production dans la région proposé par Indexima et sélectionné par le Souscripteur sur un bon de commande.


3 Chiffrement

3.1. Cryptage des données client. Indexima crypte les données client au repos en utilisant un chiffrement AES 256 bits (ou supérieur). Indexima utilise Transport Layer Security (TLS) 1.2 (ou supérieur) pour les données client en transit sur les réseaux externes.



4 Sécurité du système et du réseau


4.1. Contrôles d'accès. L'accès de tout le personnel d’Indexima à l'environnement cloud se fait via un identifiant d'utilisateur unique et compatible avec le principe du moindre privilège. Tous ces accès nécessitent des mots de passe respectant ou dépassant les exigences de longueur et de complexité PCI-DSS.


4.2. Contrôles des points de terminaison. Pour accéder à l'environnement cloud, le personnel d’Indexima utilise des ordinateurs portables qui utilisent des contrôles de sécurité qui peuvent inclurent, mais sans s'y limiter, (i) le chiffrement du disque, (ii) des outils de détection et de réponse (EDR) pour surveiller et alerter les activités suspectes et les codes malveillants, et (iii) la gestion des vulnérabilités conformément à la section 4.7.3.


4.3. Séparation des environnements. Indexima sépare logiquement les environnements de production des environnements de développement et de test. L'environnement cloud est à la fois logiquement et physiquement séparé des bureaux de l’entreprise et du réseau d’Indexima.


4.4. Pare-feu / groupes de sécurité. Indexima doit protéger l'environnement cloud à l'aide d'un pare-feu conforme au standard de l'industrie ou à l’aide de groupes de sécurité avec des politiques par défaut de refus de tout pour empêcher tout trafic réseau de sortie et d'entrée non requis par le Service.


4.5. Durcissement. L'environnement cloud doit être renforcé en utilisant les pratiques standard de l'industrie pour le protéger des vulnérabilités, notamment en modifiant les mots de passe par défaut, en supprimant les logiciels inutiles, en désactivant ou en supprimant les services inutiles et mise à jour régulière des correctifs, comme décrit dans cet addendum de sécurité.


4.6. Surveillance et journalisation.

4.6.1. Journaux d'infrastructure. Des outils ou services de surveillance, tels que des outils de détection d'intrusion basés sur l'hôte, sont utilisés pour enregistrer certaines activités et modifications dans l'environnement cloud. Ces journaux sont en outre

surveillés, analysés à la recherche d'anomalies et stockés en toute sécurité pour empêcher la falsification pendant au moins un an.

4.6.2. Journaux des utilisateurs. Comme décrit plus en détail dans la documentation, Indexima capture également les journaux de certaines activités et met ces journaux à la disposition du client pour conservation et analyse.


4.7. Détection et gestion des vulnérabilités.

4.7.1. Détection antivirus et de vulnérabilité. L'environnement cloud tire parti de la détection avancée des menaces avec des outils et des mises à jour quotidiennes des signatures, qui sont utilisés pour surveiller et alerter les activités suspectes,

les logiciels malveillants potentiels, les virus et / ou les codes informatiques malveillants.

Indexima ne surveille pas les données des clients pour détecter tout code malveillant.

4.7.2. Test de pénétration et détection de vulnérabilité. Indexima effectue régulièrement des tests de pénétration tout au long de l'année. Indexima exécute également des analyses de vulnérabilité hebdomadaires de l’environnement cloud en utilisant des bases de données de vulnérabilité mises à jour.

4.7.3. Gestion des vulnérabilités. Les vulnérabilités répondant à des critères de risque définis déclenchent des alertes et sont priorisé pour la correction en fonction de leur impact potentiel sur le service. En prenant conscience de ces vulnérabilités, Indexima déploiera des efforts commercialement raisonnables pour traiter les vulnérabilités critiques et élevées dans les 30 jours, et les vulnérabilités moyennes dans les 90 jours. Pour évaluer si une vulnérabilité est «critique», «élevée» ou «moyenne», Indexima exploite

le système de notation commune des vulnérabilités (CVSS) de la base de données nationale sur les vulnérabilités (NVD), ou si applicable, la classification U.S.-Cert.


5 Contrôles administratifs

5.1. Sécurité du personnel. Indexima exige une vérification du casier judiciaire de son personnel dans le cadre de son processus d’embauche, dans la mesure permise par la loi applicable.

5.2. Formation du personnel. Indexima maintient un programme de formation et de sensibilisation à la sécurité pour son personnel, y compris, mais sans s'y limiter, l'intégration et la formation continue.

5.3. Engagements du personnel. Le personnel d’Indexima est tenu de signer des engagements de confidentialité. Le personnel d’Indexima est également tenu de signer la politique de sécurité des informations d’Indexima, qui comprend la reconnaissance de la responsabilité de signaler les incidents de sécurité impliquant les données client.

5.4. Examens d'accès du personnel et départ. Indexima examine les privilèges d'accès de son personnel à l’environnement Cloud au moins une fois par trimestre et supprime l'accès en temps opportun pour tout le personnel ayant quitté la société.

5.5. Gestion des risques d’Indexima et évaluation des menaces. Le comité de sécurité de d’Indexima se réunit régulièrement pour examiner les rapports et le matériel, les changements dans l'environnement de la menace, et pour identifier les lacunes potentielles du contrôle afin de de recommander de nouveaux contrôles ou améliorer les stratégies d'atténuation des menaces.

5.6. Surveillance externe des renseignements sur les menaces. Indexima examine les renseignements sur les menaces externes, y compris US-Cert, les annonces de vulnérabilité et autres sources fiables de rapports de vulnérabilité. Les vulnérabilités classées comme critiques ou élevées par U.S.-Cert sont classées par ordre de priorité pour la correction conformément à la section 4.7.3 (Gestion des vulnérabilités).

5.7. La gestion du changement. Indexima maintient un programme de gestion des changements documenté pour le Service.

5.8. Gestion des risques des fournisseurs. Indexima maintient un programme de gestion des risques des fournisseurs pour les fournisseurs qui traitent les données client pour garantir que chaque fournisseur maintienne des mesures de sécurité cohérentes avec les

obligations d’Indexima dans cet addendum de sécurité.


6 Contrôles physiques et environnementaux

6.1. Centres de données de l'environnement cloud. Pour garantir que le fournisseur de cloud dispose de contrôles environnementaux pour ses centres de données hébergeant l'environnement Cloud, Indexima examine régulièrement ces contrôles tels qu'audités dans le cadre des audits et certifications tiers du fournisseur de cloud. Chaque fournisseur de cloud doit avoir un audit annuel SOC 2 Type II et une certification ISO 27001, ou reconnu par l'industrie comme équivalents. Ces contrôles doivent inclure, mais sans s'y limiter, les éléments suivants:

6.1.1. L'accès physique aux installations est contrôlé aux points d'entrée du bâtiment;

6.1.2. Les visiteurs doivent présenter une pièce d'identité et sont connectés;

6.1.3. L'accès physique aux serveurs est géré par des dispositifs de contrôle d'accès;

6.1.4. Les privilèges d'accès physique sont revus régulièrement;

6.1.5. Les installations utilisent des procédures de surveillance et de réponse aux alarmes;

6.1.6. Utilisation de la vidéosurveillance;

6.1.7. Systèmes de détection et de protection incendie;

6.1.8. Systèmes d'alimentation de secours et de redondance;

6.1.9. Systèmes de contrôle climatique.


6.2. Locaux d’Indexima. Bien que les données client ne soient pas hébergées dans les bureaux d’Indexima, des contrôles techniques, administratifs et physiques sont régulièrement faits dans les bureaux d’Indexima.


7 Détection et réponse aux incidents

7.1. Rapports d'incident de sécurité. Si Indexima prend connaissance d'une violation de la sécurité entraînant un accident ou la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès aux données du Souscripteur (un «Incident de sécurité»), Indexima informera le Souscripteur dans les meilleurs délais et, dans tous les cas, lorsque c’est réalisable, informera le client dans les 72 heures après en avoir pris connaissance.

7.2. Enquête. En cas d'incident de sécurité tel que décrit ci-dessus, Indexima prendra rapidement des mesures raisonnables pour contenir, enquêter et atténuer tout incident de sécurité. Tous les journaux jugés pertinents à un incident de sécurité, doivent être conservées pendant au moins un an.

7.3. Communication et coopération. Indexima fournira au Souscripteur des informations en temps opportun sur la Sécurité de l’Incident dans la mesure de ses connaissances, y compris, mais sans s'y limiter, la nature et les conséquences de l'incident de sécurité, les mesures prises et / ou proposées par Indexima pour atténuer ou contenir l'incident de sécurité, le statut de l'enquête d’Indexima, un point de contact à partir duquel des informations peuvent être obtenues, ainsi que les catégories et le nombre approximatif d'enregistrements de données concernés.

Nonobstant ce qui précède, le Souscripteur reconnaît que, parce que le personnel de d’Indexima n'a pas de visibilité sur le contenu des données client, il est peu probable qu’Indexima puisse fournir des informations sur la nature particulière des données client, ou le cas échéant, les identités, le nombre ou les catégories des personnes concernées. Les communications par ou au nom d’Indexima avec le Souscripteur dans le cadre d'un

incident de sécurité ne doit pas être interprété comme une reconnaissance par Indexima de toute faute ou responsabilité en ce qui concerne l’incident de sécurité.


8 Suppression des données client.

8.1. Par le Souscripteur. Le Service fournit au Souscripteur des fonctionnalités pour la suppression des données client, comme décrit dans la documentation.

8.2. Par Indexima. Sous réserve des dispositions applicables du contrat, à la dernière des dates suivantes: (i) expiration ou résiliation du Contrat et (ii) expiration de toute «période de récupération» post-résiliation énoncée dans le contrat, Indexima supprimera rapidement toutes les données restantes du Souscripteur.


9 Responsabilités partagées en matière de sécurité.

Sans diminuer les engagements d’Indexima de cet addendum de sécurité, le Souscripteur accepte :

9.1. qu’il est responsable de l’utilisation appropriée du Service pour garantir un niveau de sécurité adapté au type de données du Souscripteur

9.2. être responsable de la gestion et de la protection de ses rôles utilisateur et de ses informations d'identification, y compris, mais sans s'y limiter à (i) exiger que tous les utilisateurs gardent les informations d'identification confidentielles et ne partagent pas ces informations avec des parties non autorisées, (ii) signaler à Indexima toute activité suspecte ou si les informations d'identification d’un utilisateur ont été compromises, (iii) la configuration appropriée des contrôles d'accès basés sur les utilisateurs et les rôles,

y compris l'étendue et la durée de l'accès des utilisateurs, en tenant compte de la nature de ses données client, et (iv) maintenir l'unicité, la longueur, la complexité et l'expiration des mots de passe appropriés.


JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.