Ce programme de sécurité des informations (le « Programme de sécurité ») concerne la manière dont Smartcat protège les informations reçues via le site Web, les services et la plateforme technologique de Smartcat situés à l' adresse https://www.smartcat.com/ (la « Plateforme Smartcat »). Les informations que vous fournissez à Smartcat sont protégées car notre système de sécurité répond aux normes et à la conformité de l'industrie. Le programme de sécurité s'applique à la fois à la sécurité physique et à la sécurité des systèmes informatiques de l'application et de l'infrastructure Smartcat.
Les employés et sous-traitants dévoués de Smartcat mettent tout en œuvre pour assurer la sécurité des informations, des appareils électroniques et des ressources réseau.
Pour sécuriser les informations, Smartcat adhère aux politiques standard des sociétés informatiques, y compris, mais sans s'y limiter, la « Politique de sécurité des informations », le « Plan de réponse aux incidents », la « Politique de cryptographie » et la « Politique de développement sécurisé ». Smartcat révise ces politiques au moins une fois par an.
Smartcat utilise des centres de données de niveau IV aux États-Unis, dans l'UE et en Chine, gérés par AWS et Microsoft Azure, qui sont conformes aux normes SOC-1, SOC-2 et SOC-3.
Smartcat a réussi un audit tiers indépendant et a reçu un certificat de sécurité SOC 2 Type II.
Smartcat utilise un fournisseur de paiement tiers conforme à la norme PCI DSS niveau 1, qui est le niveau de certification le plus élevé au sein de la norme de sécurité des données de l'industrie des cartes de paiement.
En hébergeant vos données dans le cloud, vous pouvez être sûr de leur sécurité. Les intrus ne pourraient pas y accéder en cas de vol ou d'exposition de votre ordinateur à un virus. Même si votre ordinateur est en panne, toutes vos données seront en sécurité et disponibles pour vous.
Tous les employés de Smartcat et les tiers disposant d'un accès administratif ou technique privilégié aux systèmes et réseaux de production Smartcat doivent suivre une formation de sensibilisation à la sécurité au moment de l'embauche et chaque année par la suite. Les employés et les sous-traitants connaissent les politiques et procédures de sécurité de l'information pertinentes.
Le plan de réponse aux incidents de Smartcat décrit les procédures internes à mettre en œuvre en cas d'accès non autorisé possible ou réel à Smartcat ou aux données client. Conformément aux exigences SOC 2, le plan de réponse aux incidents est revu et testé sur une base annuelle.
En cas de menace pour la continuité des activités, Smartcat peut récupérer les données avec des pertes minimales conformément aux indicateurs suivants :
Objectif de point de restauration de pas plus de 24 heures
Objectif de temps de restauration de pas plus de 24 heures
Smartcat stocke les journaux du système et des applications ainsi que l'activité des utilisateurs, qui sont conservés pendant une période pouvant aller jusqu'à 1 an.
Smartcat effectue régulièrement des tests d'intrusion qui sont accessibles aux clients ou autres parties intéressées sur demande et sous réserve d'un accord de non-divulgation supplémentaire avec Smartcat.
Pour améliorer les services et fonctions de la plateforme Smartcat, Smartcat fait appel à des sous-traitants tiers (partenaires et fournisseurs), qui ont signé un contrat de service comportant des clauses de confidentialité ou un accord de non-divulgation distinct avec Smartcat.
Les activités de confidentialité de Smartcat sont basées sur les lois applicables dans lesquelles la plateforme Smartcat opère dans le monde, qui régissent la protection des données personnelles, y compris, mais sans s'y limiter, le RGPD. La confidentialité de vos données est garantie par les conditions d'utilisation de Smartcat ( https://www.smartcat.com/terms/ ) et la politique de confidentialité de Smartcat ( https://www.smartcat.com/privacy-policy/ ).
Un nombre limité d'employés et de sous-traitants de Smartcat qui ont accès aux données et informations personnelles sont minutieusement vérifiés par notre équipe de sécurité et ne peuvent utiliser vos données personnelles que dans le cadre de leur travail. De plus, l'accès est limité par les procédures d'autorisation et l'infrastructure, ce qui signifie que les employés disposant de droits insuffisants ne peuvent pas accéder aux données personnelles.
Les employés et sous-traitants de Smartcat doivent disposer d'un identifiant, d'un nom d'utilisateur et d'un mot de passe valides pour accéder aux réseaux d'entreprise. De plus, le VPN et l'authentification multifacteur sont nécessaires pour accéder aux systèmes d'entreprise critiques.
Tous les comptes du système sont isolés, de sorte que les utilisateurs d'un compte ne peuvent pas accéder aux informations d'un autre. Cela signifie que toutes les ressources linguistiques ne sont disponibles que pour vous et les utilisateurs que vous autorisez.
Pour les clients d'entreprise, nous pouvons configurer la possibilité de gérer les utilisateurs via le fournisseur d'authentification unique (SSO) de l'entreprise. Smartcat prend actuellement en charge trois principaux systèmes d'authentification : ADFS, Azure AD et Okta. Pour plus de détails, veuillez consulter cet article .
Des mesures de sécurité physique pour les bureaux, les installations, les dossiers papier et les systèmes informatiques de l'entreprise Smartcat sont appliquées pour protéger contre le vol, l'utilisation abusive, les menaces environnementales, l'accès non autorisé et d'autres menaces à la confidentialité, à l'intégrité et à la disponibilité des données et des systèmes classifiés. Les mesures de contrôle physique sont les suivantes :
2 postes de contrôle ;
Accès par badge ;
CCTV ;
Sécurité 24h/24 et 7j/7.
En cas de perturbation majeure affectant la disponibilité et/ou la sécurité du bureau Smartcat, le personnel et la direction détermineront et appliqueront des mesures d'atténuation.
Des mesures de sécurité pour protéger les sauvegardes sont appliquées en fonction de la confidentialité ou de la sensibilité des données. Des copies de sauvegarde des informations, des logiciels et des images système sont prises régulièrement pour se protéger contre la perte de données.
Les sauvegardes sur nos serveurs et centres de données sont configurées pour s'exécuter quotidiennement sur les systèmes concernés. Les calendriers de sauvegarde sont conservés dans le logiciel d'application de sauvegarde.
Un test de reprise après sinistre, comprenant un test des processus de restauration des sauvegardes, est effectué chaque année.
La continuité de la sécurité de l’information est assurée ainsi que la continuité opérationnelle.
Pour garantir une utilisation appropriée et efficace de la cryptographie afin de protéger la confidentialité, l'authenticité et/ou l'intégrité des informations, Smartcat utilise des clés cryptographiques, c'est-à-dire une signature numérique, un cryptage et un hachage.
Les informations sont cryptées comme suit :
La Plateforme utilise un protocole HTTPS/TLS pour protéger les données en transit entre l'ordinateur de l'Utilisateur et les serveurs Smartcat ;
Pour le certificat Web, Smartcat utilise un type de clé de signature numérique, un algorithme DSA ou RSA PCKS#1, une longueur de clé de 2048 bits ;
Pour le chiffrement Web, Smartcat utilise le type de clé de cryptage, l'algorithme AES, une longueur de clé de 256 bits ;
Pour la confidentialité, Smartcat utilise le type de clé de cryptage, l'algorithme AES, une longueur de clé de 256 bits ;
Tous les mots de passe sont stockés sous forme hachée et salée (Bcrypt, PBKDF2 ou scrypt, type de clé ECDH ; longueur de clé d'au moins 256 bits), et plusieurs services externes autorisés sont pris en charge via OAuth 2.0. Tous les mots de passe des fichiers de configuration de production sont chiffrés et les certificats nécessaires pour déchiffrer les configurations sont installés sur les machines de production par les administrateurs, auxquels les ingénieurs de niveau inférieur ne peuvent pas accéder.
Smartcat contrôle les modifications apportées à l'organisation, aux processus métier, aux installations de traitement de l'information et aux systèmes qui affectent la sécurité des informations dans l'environnement de production et les systèmes financiers. Toutes les modifications importantes apportées aux systèmes concernés sont documentées.
Les processus de gestion du changement comprennent :
Processus de planification et de test des modifications, y compris les mesures correctives.
Approbation et autorisation documentées de la direction avant de procéder à des modifications susceptibles d'avoir un impact significatif sur la sécurité de l'information, les opérations ou la plate-forme de production.
Préavis des changements, y compris les horaires et une description des effets raisonnablement anticipés.
Documentation de tous les changements d'urgence et des examens ultérieurs.
Processus de correction des modifications infructueuses.
Pour garantir que la sécurité des informations est conçue et mise en œuvre au cours du cycle de vie de développement des applications et des systèmes d'information, Smartcat met en œuvre en permanence des procédures de contrôle des modifications du système, des contrôles de version des logiciels, des examens techniques des applications après avoir apporté des modifications à la plate-forme, des restrictions sur les modifications des progiciels, une ingénierie système sécurisée. principes, environnements de développement sécurisés, développement externalisé, tests de sécurité du système, tests d'acceptation du système et protection des données de test.