Sécurité de niveau entreprise

SOC 2 Type II

Le produit d'application Web de Karbon est certifié SOC 2 Type 2. Cette certification est délivrée à l'issue d'un audit annuel qui évalue en profondeur les pratiques de sécurité de Karbon. L'obtention de la certification SOC 2 Type 2 confirme que Karbon a mis en place les politiques, systèmes, et processus nécessaires qui respectent les meilleures pratiques en matière de sécurité, de disponibilité, de confidentialité, et de respect de la vie privée, selon les normes établies par l'American Institute of Certified Public Accountants (AICPA). Téléchargez le rapport SOC 3, ou contactez l'équipe pour demander le rapport SOC 2 Type 2.

ISO 27001

Un système de gestion de la sécurité de l'information (SGSI) a été mis en place conformément aux exigences de la norme ISO 27001. Cependant, Karbon n'a pas encore été certifié de manière indépendante comme étant conforme à la norme ISO 27001.

Politique de confidentialité

Afin de s'assurer que les clients et les utilisateurs du système sont informés des pratiques de Karbon en matière de confidentialité, un avis public de confidentialité (politique) a été publié pour communiquer les pratiques de confidentialité de Karbon ainsi que l'utilisation et la protection des données personnelles identifiables (PII). Lire la politique de confidentialité de Karbon.

Le RGPD et les lois mondiales sur la protection de la vie privée

Karbon s'engage à respecter la vie privée et à protéger les droits individuels à la vie privée de l'ensemble de son réseau mondial de clients, d'utilisateurs de produits et d'intervenants. Pour s'assurer que les exigences des lois mondiales sur la protection de la vie privée applicables à l'entreprise sont respectées, des politiques et des pratiques ont été mises en œuvre pour adhérer aux normes mondiales de protection de la vie privée applicables à l'entreprise. Des évaluations internes ont été menées pour s'assurer que ces exigences sont respectées, y compris l'auto-évaluation de la conformité au RGPD.

Cryptage en transit

L'application Web Karbon, y compris le portail client et les fonctionnalités de Practice Intelligence, utilise le protocole sécurisé Transport Layer Security pour crypter toutes les activités de transmission de données entre l'application Web et les utilisateurs de l'application Web. La mise en œuvre du protocole TLS (Sécurité de la couche de transport) pour crypter les transmissions de données protège la confidentialité de toutes les données transmises à l'application Web et aide à prévenir le vol ou la manipulation de données par des cyberattaques.

Chiffrement au repos

Toutes les données stockées dans l'application Web Karbon, ainsi que les sauvegardes de données, sont cryptées au repos avec un cryptage AES-256 bits pour protéger la confidentialité des données pendant leur stockage. La mise en œuvre du cryptage AES-256 bits protège la confidentialité des données stockées et aide à prévenir l'accès non autorisé et/ou le vol ou la manipulation des données par une cyberattaque.

Contrôle des performances du système

Des solutions technologiques ont été mises en œuvre pour contrôler les performances des applications Web et de l'environnement informatique en nuage utilisé pour les exploiter. Cela inclut la configuration de seuils de performance définis qui alertent l'équipe informatique de tout problème de performance afin d'assurer l'investigation et la résolution pour la poursuite des opérations.

Récupération des systèmes et des services

Karbon dispose d'une équipe de support opérationnel disponible 24 heures sur 24, 7 jours sur 7. En cas de panne imprévue, des procédures de réponse aux incidents et de récupération du système sont mises en place afin de maintenir la continuité des opérations et la performance du système. En outre, des tests périodiques sont effectués pour s'assurer que les systèmes et les données peuvent être restaurés en cas de panne ou de problème nécessitant des activités de restauration.

Gestion des incidents

Le processus de gestion des incidents de Karbon garantit une réponse rapide aux événements de sécurité susceptibles d'affecter la sécurité, la confidentialité, l'intégrité du traitement, ou la disponibilité de l'application Web de Karbon, ou toute violation de la loi sur la confidentialité des données. Les procédures de gestion des incidents comprennent l'identification, l'endiguement, l'investigation, la correction et l'évaluation a posteriori des incidents afin de maintenir les engagements de service en matière de sécurité, de confidentialité, de disponibilité, d'intégrité du traitement, et de respect de la vie privée pour les clients et les parties prenantes.

Continuité des activités et reprise après sinistre

Outre les procédures de gestion des incidents et de reprise des services, les politiques, procédures, et plans établis garantissent la poursuite des opérations en cas de panne importante, d'incident de sécurité ou de scénario catastrophe ayant un impact sur l'entreprise ou le réseau d'applications Web.

Hébergement des données

Des produits et services d'informatique en nuage sont utilisés pour exploiter et fournir l'application Web et évaluer les fournisseurs de ces produits et services afin de s'assurer que des garanties appropriées (mesures de sécurité) sont en place pour protéger l'environnement d'exploitation informatique et les données traitées dans cet environnement. Les fournisseurs de services mettent également en œuvre les meilleures pratiques de sécurité pour assurer la protection des systèmes d'information et des données, prévenir les cyberattaques, et adhérer aux normes réglementaires en matière de sécurité et de respect de la vie privée.

Sauvegarde des données

Les données de Karbon sont stockées dans des bases de données et des fichiers sécurisés et des sauvegardes de données sont effectuées régulièrement pour s'assurer que les copies de données nécessaires à la gestion des incidents, à la récupération des systèmes ou des sinistres et à la continuité des activités sont maintenues. Les sauvegardes de données sont également cryptées au repos avec un cryptage AES-256 bits pour garantir leur protection et leur confidentialité pendant le stockage.

En outre, des tests périodiques sont effectués pour s'assurer que les données sauvegardées peuvent être restaurées en cas de panne ou de problème nécessitant des activités de restauration.

Toutes les informations relatives aux clients sont stockées à l'aide d'ordinateurs en nuage de qualité professionnelle, d'un stockage de données sécurisé, et de bases de données hautement évolutives.

Authentification par courriel

L'authentification à la plateforme s'effectue via une connexion cryptée au compte de messagerie Microsoft ou Google choisi par le client.

Authentification multi-facteurs

L'accès à Karbon est connecté au compte courriel de l'utilisateur. L'authentification à plusieurs ou à deux facteurs peut être définie pour la connexion au compte de courriel de l'utilisateur.

Authentification de l'utilisateur

Tous les clients doivent être invités à rejoindre un compte locataire Karbon et accepter cette invitation avant de pouvoir accéder aux données du compte. Un fournisseur d'authentification sélectionné est enregistré pour l'utilisateur et toutes les tentatives de connexion ultérieures requièrent une authentification utilisant le même fournisseur.

Permissions d'accès

L'application Web de Karbon est conçue pour permettre aux clients de gérer l'accès des utilisateurs à leur compte. L'attribution de permissions d'accès peut fournir un accès restreint ou illimité au locataire d'un client et à ses données. Les clients sont responsables de la gestion de l'accès à leur application Web.

Accès aux données administratives

L'accès aux bases de données de production est strictement contrôlé et seuls les utilisateurs ayant besoin d'accéder aux données de production pour le support client ou la résolution de problèmes y ont accès. Sur demande, Karbon supprimera en toute sécurité les données Karbon d'un client.

Sauvegardes de données

Les sauvegardes de données sont cryptées et les données sensibles sont cryptées/masquées dans la base de données en direct.

Permissions des utilisateurs

Les permissions des utilisateurs dans l'application vous permettent de contrôler les données auxquelles un utilisateur peut accéder et les actions et paramètres de l'entreprise qui peuvent être contrôlés.

Identité et authentification

Tous les utilisateurs ayant accès aux systèmes de Karbon sont tenus d'utiliser des identités identifiables et des identifiants d'authentification sécurisés (par exemple, des mots de passe forts, des jetons d'accès, etc.) afin de vérifier leur identité pour l'accès autorisé au système et d'assurer la responsabilité des activités au sein des systèmes. En outre, une authentification multifactorielle est requise pour accéder à tous les systèmes traitant des informations confidentielles ou sensibles. Ces pratiques d'authentification des utilisateurs réduisent la probabilité de compromission d'un compte en raison de cybermenaces.

Gestion de l'accès des utilisateurs

Des activités de contrôle d'accès ont été mises en œuvre pour assurer une gestion appropriée de l'accès à l'application Web et aux systèmes permettant de faire fonctionner l'entreprise et de fournir la plateforme Karbon aux clients. Ces procédures de contrôle d'accès comprennent l'évaluation des autorisations d'accès lorsqu'elles sont accordées et périodiquement par la suite. Elles comprennent également la suppression de l'accès en temps voulu lorsqu'il n'est plus nécessaire et l'adhésion aux principes du « besoin d'accès » et de « l'accès au moindre privilège » pour l'accès des utilisateurs, en n'accordant que le niveau d'accès minimum nécessaire à un utilisateur dans l'environnement.

Aucune information de paiement sensible n'est stockée ou vue par Karbon. Les Paiements Karbon est alimenté par Stripe Connect, un service conforme au niveau 1 de la norme PCI-DSS qui vous offre la sécurité de niveau entreprise la plus élevée. En tant que fournisseur de services PCI de niveau 1, Stripe gère toute la conformité pour le traitement des paiements.

Pour en savoir plus, visitez :https://docs.stripe.com/security.

Cycle de développement sécurisé

La sécurité au sein du processus de cycle de développement du logiciel a été mise en œuvre pour garantir que la sécurité et les menaces à la sécurité au sein de l'application Web sont prises en compte. Les procédures CDS comprennent la planification, les tests statiques, les tests dynamiques, les tests d'assurance qualité, et les procédures de retour en arrière, afin de garantir le respect d'un processus structuré et sécurisé permettant d'apporter des modifications sûres et efficaces à l'application Web.

Environnements séparés

Les environnements de test et de préparation sont logiquement séparés de l'environnement de production de l'application Web, et les données de production ne sont jamais utilisées pour effectuer des activités de test.

Gestion des vulnérabilités

Des évaluations de la vulnérabilité des systèmes, des tests de pénétration, et des contrôles de sécurité internes ont été mis en œuvre pour identifier les failles de sécurité et réduire le risque d'exposition aux cyberattaques les plus courantes. Ces évaluations et pratiques de sécurité contribuent à l'évaluation continue et à la correction des vulnérabilités identifiées. De plus, le Programme de divulgation des vulnérabilités permet d'identifier et de traiter de manière proactive les vulnérabilités de sécurité fournies par les clients et l'ensemble de la communauté technique.

Correctifs du système

Il existe des pratiques de sécurité qui exigent l'évaluation des correctifs et des mises à jour de logiciels disponibles et leur mise en œuvre afin de garantir que les systèmes maintiennent une sécurité à jour. L'application de correctifs et de mises à jour réduit la probabilité que les systèmes comportent des vulnérabilités susceptibles d'être exploitées par des acteurs malveillants et des cybermenaces.

Conduite et éthique

L'équipe de Karbon est tenue de respecter des normes éthiques et de conduite élevées afin de garantir un environnement de travail qui favorise l'intégrité, le comportement éthique et le maintien d'un niveau élevé de responsabilité en matière de sécurité et de confidentialité. Ces normes sont communiquées aux membres de l'équipe par le biais de politiques, de procédures, et d'activités de formation et de communication périodiques.

Accords de confidentialité

Tous les employés, sous-traitants et fournisseurs de Karbon sont tenus de signer un accord de confidentialité ou de non-divulgation afin de garantir l'attribution des responsabilités en matière de confidentialité des données et de respect de la vie privée.

Politiques de sécurité de l'information

Un ensemble complet de politiques de sécurité est établi et communiqué à tous les employés et entrepreneurs de Karbon ayant accès aux systèmes d'information et aux ressources de Karbon. Ces politiques reflètent les objectifs de la stratégie de sécurité de l'information et de gestion des risques de Karbon et servent de point de référence à l'équipe pour la mise en œuvre des pratiques exemplaires en matière de sécurité et de protection des données.

Formation de sensibilisation à la sécurité

Tous les employés de Karbon sont tenus de suivre une formation de sensibilisation à la sécurité lors de leur embauche et chaque année par la suite. Cette formation permet d'enseigner les meilleures pratiques en matière de sécurité et de sensibiliser les employés aux cybermenaces et aux tactiques courantes qu'ils doivent connaître pour éviter d'être victimes d'une cyberattaque.

Évaluation des risques de l'entreprise

L'équipe de direction de Karbon et l'équipe de gestion des risques mènent ensemble des activités régulières d'évaluation des risques et une évaluation formelle des risques de l'entreprise afin d'évaluer les risques présentés par l'organisation, les produits, et les opérations. Ces évaluations facilitent la réflexion et le soutien de la direction à la stratégie visant à assurer une sécurité et une confidentialité optimales pour les applications et les opérations Web de Karbon.

Évaluation des risques par des tiers

En plus de l'évaluation des risques de l'entreprise, des évaluations périodiques des risques des fournisseurs tiers sont effectuées pour évaluer les pratiques de sécurité des fournisseurs. Ces activités d'évaluation des risques sont également menées pour s'assurer que les fournisseurs répondent aux exigences en matière de sécurité et de confidentialité des données et pour évaluer l'impact de leurs pratiques de sécurité sur l'environnement d'exploitation de la plateforme Karbon.