Présentation
Chez Sage HR, nous prenons la protection des données des clients très au sérieux. La présente politique de sécurité de Sage HR décrit les mesures organisationnelles et techniques que Sage HR met en œuvre à l’échelle de la plate-forme pour empêcher l’accès, l’utilisation, la modification ou la divulgation non autorisés des données des clients.
Les services de Sage RH fonctionnent sur Amazon Web Services (AWS); sauf indication contraire, la présente politique décrit les activités de Sage HR au sein de son instance sur AWS. Pour en savoir plus sur Sage HR, nous vous recommandons également de consulter nos modalités et conditions, ainsi que notre politique de confidentialité.
Meilleures pratiques
Plan d’intervention en cas d’incidents
Nous avons mis en place une procédure formelle pour les événements de sécurité et avons informé l’ensemble de notre personnel sur nos politiques.
Lorsque des événements de sécurité sont détectés, ils sont transmis à notre pseudonyme d’urgence, les employés sont informés et rassemblés pour faire rapidement face à l’événement.
Une fois qu’un événement de sécurité est réglé, nous rédigeons une analyse post-mortem.
L’analyse est examinée en personne, distribuée dans toute l’entreprise et comprend des mesures à prendre qui faciliteront la détection et la prévention d’un événement similaire à l’avenir.
Sage HR vous avertira rapidement par écrit dès qu’il aura vérifié qu’une faille de sécurité des services Sage HR affecte vos données. La notification décrira la faille et l’état d’avancement de l’enquête de Sage HR.
Automatisation du processus de génération
Nous disposons d’une automatisation fonctionnelle et fréquemment utilisée qui nous permet de déployer en toute sécurité et fiabilité les modifications apportées à notre application en quelques minutes.
Généralement, nous déployons dans l’environnement de production une fois par semaine et nous sommes très confiants de pouvoir rapidement fournir un correctif de sécurité si cela est nécessaire.
Infrastructure
Tous nos services fonctionnent dans le nuage. Sage HR n’utilise pas ses propres routeurs, équilibreurs de charge, serveurs DNS ou serveurs physiques.
Tous nos services et données sont hébergés dans des installations AWS en Irlande et protégés par la sécurité AWS, comme décrit à l’adresse https://aws.amazon.com/fr/security/.
Les services RH sage sont opérationnels
Amazon ne divulgue pas l’emplacement exact de ses centres de données. À ce titre, Sage HR s’appuie sur la sécurité physique et les contrôles environnementaux fournis par AWS. Voir https://aws.amazon.com/fr/security/ pour plus de détails sur l’infrastructure de sécurité AWS.
Sage HR utilise une solution de sauvegarde pour les magasins de données qui contiennent des données clients. Les copies instantanées créées sont cryptées par le chiffrement multifacteur côté serveur avec les clés gérées par Amazon S3 (SSE-S3) au repos.
Données
Toutes les données client sont stockées dans l’Union européenne (UE).
Les données client sont stockées dans des magasins de données multi-locataires; nous ne disposons pas de magasins de données individuels pour chaque client. Cependant, des contrôles stricts de confidentialité existent dans le code de notre application qui sont conçus pour assurer la confidentialité des données et pour empêcher un client d’accéder aux données d’un autre client (c’est-à-dire une séparation logique). Nous avons mis en place de nombreux tests de comportement et d’intégration pour nous assurer que ces contrôles de confidentialité fonctionnent comme prévu. Ces tests sont effectués chaque fois que notre base de code est mise à jour et même l’échec d’un seul test empêchera l’envoi d’un nouveau code en production.
Chaque système Sage HR utilisé pour traiter les données client est correctement configuré et corrigé à l’aide de méthodes commercialement raisonnables, conformément aux normes de renforcement des systèmes reconnues par l’industrie.
Sage HR fait appel à certains sous-traitants pour traiter les données clients. Ces sous-traitants sont répertoriés dans la politique des « Tiers », qui peut être mise à jour ponctuellement par Sage HR.
Nous sauvegardons les données clients toutes les 24 heures. De plus, nous conservons 4 sauvegardes hebdomadaires et 12 sauvegardes mensuelles. Tous les fichiers de sauvegarde de plus de 12 mois sont automatiquement supprimés.
Nos données de production et nos sauvegardes sont chiffrées « au repos » à l’aide du chiffrement de stockage en mode bloc AES-256.
Lorsque le compte d’un Client est supprimé, nous gardons les données dans nos fichiers de sauvegarde pendant 12 mois. S'il s’avère nécessaire de supprimer toutes les données, veuillez contacter notre service de soutien technique.
Transfert de données
Toutes les données envoyées vers ou depuis Sage HR sont chiffrées en transit à l’aide d’un chiffrement 256 bits.
Nos terminaux d’API et d’application sont uniquement TLS/SSL et obtiennent la note « A » aux tests des laboratoires SSL. Cela signifie que nous utilisons uniquement des suites de chiffrement fortes.
Authentification
Sage HR est servi à 100 % sur HTTPS.
Il n'y a pas de ressources d’entreprise ni de privilèges supplémentaires sur le réseau de Sage HR.
Nous disposons de stratégies de mot de passe solides et d’une authentification multifacteur sur GitHub, Google, AWS et Sage HR pour garantir la protection de l’accès aux services dans le nuage.
Autorisations et contrôles d’administration
Sage HR permet de définir des niveaux d’autorisation pour tous les employés ayant accès à Sage HR.
Les autorisations et l’accès peuvent être définis pour inclure les paramètres de l’application, la facturation et les données d’utilisateur
Nous appliquons l’authentification à deux facteurs dans le système d'administration de Sage HR pour chaque employé de Sage HR.
Surveillance des applications
Au niveau de l’application, nous produisons des journaux d’audit pour toutes les activités.
Tous les accès aux applications Sage HR sont consignés et vérifiés.
Toutes les actions effectuées dans l’application Sage HR sont consignées.
Audits et certifications de sécurité
Sage HR est conforme à la norme ISO 27001 selon le BSI, l’organisme de normalisation du Royaume-Uni (certificat IS 692128).
Chaque année, nous collaborons avec des auditeurs tiers reconnus pour vérifier notre base de code et œuvrons avec eux pour résoudre tout problème potentiel.
Pour obtenir des renseignements sur les certifications de sécurité AWS et des copies des rapports de sécurité AWS, visitez le site https://aws.amazon.com/fr/compliance/programs/
Nos données sont stockées dans un centre de données qui est à jour et conforme aux normes et exigences telles que ISO27001, SOC 1 et SOC 2/SSAE et autres. En savoir plus : https://aws.amazon.com/fr/security/
La vérification SOC2 de Sage HR est prévue pour la période 2021/2022.
Traitement des paiements
Le traitement de tous les instruments de paiement pour l’achat des services Sage HR est effectué par Stripe. Pour en savoir plus sur les pratiques de sécurité de Stripe, visitez le site https://stripe.com/docs/security/stripe.
Responsabilités du client
Gérer vos propres comptes et rôles d’utilisateur à partir des services Sage HR.
Protéger votre propre compte et les informations d’identification des utilisateurs en utilisant des mots de passe longs ou en activant l’authentification unique pour tous vos employés qui accèdent aux services Sage HR.
Respecter les conditions de votre contrat de services avec Sage HR, y compris en ce qui concerne le respect des lois.
Informer rapidement Sage HR si l’information d’identification d’un utilisateur a été compromise ou si vous soupçonnez des activités suspectes qui pourraient avoir un impact négatif sur la sécurité des services Sage HR ou de votre compte.
Vous ne pouvez pas effectuer de tests d’intrusion ou des activités d’évaluation de la sécurité sans le consentement préalable écrit et exprès de Sage HR.
Entente sur les niveaux de service
La présente Entente sur les niveaux de service de Sage HR accompagne les Modalités d’utilisation de l’abonnement de Sage HR (le « Contrat ») conclues entre vous (« Client ») et Sage HR. Les termes en majuscules utilisés dans la présente Entente sur les niveaux de service qui ne sont pas définis dans la présente s’entendent au sens qui leur est donné dans le Contrat.
Disponibilité cible. Sage HR mettra en œuvre les efforts conformes aux usages du commerce pour rendre chaque Service disponible avec un temps de disponibilité de 99,8 % de chaque mois civil (« Disponibilité cible »).
Exclusions. Le calcul du temps de disponibilité n’inclut pas une quelconque indisponibilité causée par : (A) toute utilisation du Service par le Client d’une manière non autorisée dans le présent Contrat ou la Documentation applicable; (b) tout problème Internet d’ordre général, tout cas de force majeure ou autres facteurs hors du contrôle raisonnable de Sage HR; (c) tout équipement, logiciel, connexion réseau ou autre infrastructure du client; (d) tout système, acte ou omission d’un tiers; ou (e) toute Maintenance planifiée ou maintenance d’urgence raisonnable.
Maintenance planifiée. « Maintenance planifiée » désigne la maintenance courante et planifiée des Services dont Sage HR informe le client au moins vingt-quatre (24) heures à l’avance. La Maintenance planifiée ne sera pas supérieure à huit (8) heures par mois. Le Client ne sera pas averti si la Maintenance planifiée ne durera pas plus de dix (10) minutes.
Recours en cas de non-respect de la Disponibilité cible. En cas de non-respect avéré de la Disponibilité cible d’un Service au cours de deux (2) mois consécutifs, le Client peut mettre fin à la Durée d’abonnement applicable en adressant un avis de résiliation par écrit dans les trente (30) jours suivant la fin du deuxième mois et Sage HR remboursera au Client tout frais que le client a payé d’avance pour l’utilisation dudit Service et correspondant à la partie résiliée de la Durée d’abonnement applicable. Ce droit de résiliation et de remboursement constitue le seul et unique recours du client, ainsi que la responsabilité exclusive de Sage HR, en cas de non-respect de la Disponibilité cible par Sage HR.
Tiers
Sage HR fait appel à certains sous-traitants ultérieurs qui peuvent être amenés à traiter des données personnelles soumises aux services de Sage HR. Ces sous-traitants sont répertoriés ci-dessous et cette liste peut être mise à jour ponctuellement par Sage HR :
Amazon Web Services
Amazon.com Inc.
https://aws.amazon.com/fr/compliance/gdpr-center/
PO Box 81226, Seattle, WA 98108-1226, États-Unis
Serveur et stockage de données
CloudFlare
CloudFlare, Inc.
https://www.cloudflare.com/fr-fr/gdpr/introduction/
665 3rd Street, Suite 200, San Francisco, CA 94107, États-Unis
Réseau de diffusion de contenu et service de réduction des attaques par déni de service distribué
Convert API
UAB Baltsoft
Lauksargio 111,
Vilnius, LT-10105,
Lituanie
Google
Google, Inc.
https://www.google.com/intl/ru_ALL/cloud/security/gdpr/
1600 Amphitheatre Parkway, Mountain View, CA 94043, États-Unis
Calendrier, affichage des documents et intégration de l’authentification unique (utilisée uniquement lorsque l’intégration de G Suite est activée)
Intercom
Intercom, Inc.
https://www.intercom.com/help/pricing-privacy-and-terms/data-protection/how-intercom-complies-with-gdpr
55 2nd Street, 4th Floor, San Francisco, CA 94105, États-Unis
Service d’assistance clientèle et clavardage
PaperTrail
SolarWinds Inc.
https://help.papertrailapp.com/kb/how-it-works/security-compliance/#general-data-protection-regulation-gdpr
7171 Southwest Parkway, Bldg 400, Austin, Texas 78735, États-Unis
Système de journalisation des événements
Pusher
Pusher Ltd
https://pusher.com/legal/data-protection
28 Scrutton Street, London, EC2A 4RP, Royaume-Uni
Notification poussée pour application mobile
Scout
Scout
https://docs.scoutapm.com/#gdpr
320 East Vine Drive, Suite 221, Fort Collins, Colorado 80524, États-Unis
Surveillance de la performance des applications
Stripe
Stripe, Inc.
https://stripe.com/fr-ca/guides/general-data-protection-regulation
185 Berry Street, Suite 550, San Francisco, CA 94107, États-Unis
Traitement des paiements par carte
SendGrid
SendGrid, Inc.
https://sendgrid.com/resource/general-data-protection-regulation/
1801 California Street, Suite 500, Boulder, CO 80202, États-Unis
Distribution de courriers électroniques
Sentry
Functional Software, Inc.
https://sentry.io/security/#gdpr
1 Baker Street, Suite 5B, San Francisco, CA 94117, États-Unis
Consignation des erreurs
Slack
Slack Technologies, Inc.
https://slack.com/gdpr
155 5th Street, 6th Floor, San Francisco, CA 94103, États-Unis
Clavardage interne (utilisé lorsque l’intégration Slack est activée)
Sqreen
Sqreen, Inc.
https://docs.sqreen.com/guides/gdpr/
188 King St., San Francisco, CA 94107, États-Unis
Surveillance et protection de la sécurité
Zapier
Zapier Inc.
https://zapier.com/help/account/data-management/gdpr-compliance-at-zapier
548 Market St. #62411. San Francisco, CA 94104, États-Unis
Intégration des données
Dernière mise à jour : 15/7/2021