Sécurité et Conformité

Centre de Sécurité
et de Conformité

Chez HiJiffy, nous comprenons que la confiance est la pierre angulaire de toute relation commerciale réussie. Nous nous engageons donc à protéger les données avec les normes les plus élevées de sécurité, de confidentialité et de conformité.

Ce Centre de Sécurité et de Conformité offre un aperçu complet de notre chiffrement robuste, de nos protocoles de sécurité et de notre adhésion aux normes internationales, garantissant la protection des données commerciales.

Ici, vous trouverez des informations sur la façon dont nous gérons les risques liés à la sécurité, nos pratiques transparentes de gestion des données, et nos efforts continus pour nous adapter et répondre aux nouveaux défis de la gestion des données.

Conformité vérifiée

État du Système

Contrôles

Voir tous les contrôles

Sous-traitants

Voir tous les sous-traitants

Amazon Web Services EMEA SARL

Utilisé pour l’hébergement de nos services.

Google Cloud EMEA Limited

Utilisé pour l’hébergement de nos services et l’utilisation de leurs services API (par exemple, Translate, LookerStudio, Google BigQuery).

Twilio, Inc.

Utilisé comme fournisseur pour l’envoi de messages SMS et WhatsApp.

MessageBird UK Limited

Utilisé pour le service Pusher afin de faire fonctionner notre widget de chat en temps réel.

FAQ

Voir toutes les FAQ

Où se trouvent vos serveurs ?

Irlande, AWS.

Quelles sont les paramètres de confidentialité/sécurité disponibles ?

Authentification à deux facteurs (2FA), politique de mot de passe fort, SSO (SAML), liste blanche d’adresses IP, chiffrement des données des documents par compte, permissions utilisateur.

Chiffrez-vous les données au repos et en transit ?

Oui, les données au repos sont chiffrées avec des clés de chiffrement AES-256. Pour tout le trafic web envoyé sur Internet public, le protocole TLS v1.2 ou supérieur est utilisé.

Contrôles

Segurança da infraestrutura

Sécurité organisationnelle

Sécurité des produits

Procédures de sécurité internes

Données et Confidentialité

Sécurité de l'infrastructure

CONTROL

STATUS

Authentification unique de la base de données de production appliquée :

L’entreprise exige une authentification aux bases de données de production via des mécanismes d’authentification sécurisés autorisés, tels qu’une clé SSH unique.

Accès aux clés de chiffrement restreint :

L’entreprise limite l’accès privilégié aux clés de chiffrement aux utilisateurs autorisés ayant un besoin professionnel.

Authentification de compte unique appliquée :

L’entreprise exige une authentification aux systèmes et applications via un nom d’utilisateur et un mot de passe uniques ou des clés SSH autorisées.

Accès aux applications de production restreint :

L’accès aux systèmes est limité aux accès autorisés uniquement.

Procédures de contrôle d'accès établies :

La politique de contrôle d’accès de l’entreprise documente les exigences pour les fonctions de contrôle d’accès suivantes : ajout de nouveaux utilisateurs, modification d’utilisateurs et/ou suppression de l’accès d’un utilisateur existant.

Accès à la base de données de production restreint :

L’entreprise limite l’accès privilégié aux bases de données aux utilisateurs autorisés ayant un besoin professionnel.

Accès au firewall restreint :

L’entreprise limite l’accès privilégié au firewall aux utilisateurs autorisés ayant un besoin professionnel.

Accès au système d'exploitation de production restreint :

L’entreprise limite l’accès privilégié au système d’exploitation aux utilisateurs autorisés ayant un besoin professionnel.

Accès au réseau de production restreint :

L’entreprise limite l’accès privilégié au réseau de production aux utilisateurs autorisés ayant un besoin professionnel.

Accès révoqué en cas de départ :

L’entreprise complète des listes de vérification de résiliation pour s’assurer que l’accès est révoqué pour les employés licenciés dans le respect des SLA.

Authentification unique au système réseau appliquée :

L’entreprise exige une authentification au « réseau de production » via des noms d’utilisateur et mots de passe uniques ou des clés SSH autorisées.

Authentification MFA à distance appliquée :

Les systèmes de production de l’entreprise ne peuvent être accessibles à distance que par des employés autorisés possédant une méthode d’authentification multi-facteurs (MFA) valide.

Accès à distance chiffré appliqué :

Les systèmes de production de l’entreprise ne peuvent être accessibles à distance que par des employés autorisés via une connexion chiffrée approuvée.

Segmentation du réseau implémentée :

Le réseau de l’entreprise est segmenté pour empêcher l’accès non autorisé aux données des clients.

Firewall réseau utilisés :

L’entreprise utilise des firewall et les configure pour empêcher l’accès non autorisé.

Normes de durcissement du réseau et des systèmes maintenues :

Les normes de durcissement du réseau et des systèmes de l’entreprise sont documentées, basées sur les meilleures pratiques de l’industrie, et révisées au moins une fois par an.

Sécurité organisationnelle

CONTROL

STATUS

Technologie anti-malware utilisée :

L’entreprise déploie des technologies anti-malware dans les environnements couramment susceptibles d’être attaqués et configure celles-ci pour être mises à jour régulièrement, enregistrées et installées sur tous les systèmes pertinents.

Code de conduite reconnu par les employés et appliqué :

L’entreprise exige que les employés reconnaissent un code de conduite lors de leur embauche. Les employés qui violent le code de conduite sont soumis à des mesures disciplinaires conformément à une politique disciplinaire.

Accord de confidentialité reconnu par les prestataires :

L’entreprise exige que les prestataires signent un accord de confidentialité au moment de leur engagement.

Accord de confidentialité reconnu par les employés :

L’entreprise exige que les employés signent un accord de confidentialité lors de leur intégration.

Évaluations de performance effectuées :

Les responsables de l’entreprise sont tenus de réaliser des évaluations de performance pour leurs subordonnés directs au moins une fois par an.

Politique de mot de passe appliquée :

L’entreprise exige que les mots de passe des composants du système concernés soient configurés conformément à la politique de l’entreprise.

Formation à la sensibilisation à la sécurité mise en œuvre :

L’entreprise exige que les employés complètent une formation à la sensibilisation à la sécurité dans les trente jours suivant leur embauche et au moins une fois par an par la suite.

Sécurité des produits

CONTROL

STATUS

Auto-évaluations des contrôles effectuées :

L’entreprise effectue des auto-évaluations des contrôles au moins une fois par an pour s’assurer que les contrôles sont en place et fonctionnent efficacement. Des actions correctives sont entreprises en fonction des constatations pertinentes. Si l’entreprise s’est engagée à respecter un SLA pour une constatation, l’action corrective est menée à bien dans le délai imparti par ce SLA.

Tests d'intrusion réalisés :

Les tests d’intrusion de l’entreprise sont effectués au moins une fois par an. Un plan de remédiation est élaboré et des modifications sont mises en œuvre pour corriger les vulnérabilités conformément aux SLA.

Transmission de données chiffrée :

L’entreprise utilise des protocoles de transmission de données sécurisés pour chiffrer les données confidentielles et sensibles lors de leur transmission sur des réseaux publics.

Procédures de surveillance des vulnérabilités et des systèmes établies :

Les politiques formelles de l’entreprise définissent les exigences pour les fonctions suivantes liées à l’informatique et à l’ingénierie : gestion des vulnérabilités et surveillance des systèmes.

Procédures de sécurité internes

CONTROL

STATUS

Plans de continuité et de reprise après sinistre établis :

L’entreprise dispose de plans de continuité des activités et de reprise après sinistre qui définissent les plans de communication afin de maintenir la continuité de la sécurité de l’information en cas d’indisponibilité du personnel clé.

Système de gestion de la configuration établi :

L’entreprise a mis en place une procédure de gestion de la configuration pour garantir que les configurations des systèmes sont déployées de manière cohérente dans l’ensemble de l’environnement.

Procédures de gestion des changements appliquées :

L’entreprise exige que les modifications des composants logiciels et d’infrastructure du service soient autorisées, documentées formellement, testées, examinées et approuvées avant d’être mises en œuvre dans l’environnement de production.

Accès au déploiement en production restreint :

L’entreprise restreint l’accès à la migration des modifications vers la production au personnel autorisé.

Processus de sauvegarde établis :

La politique de sauvegarde des données de l’entreprise documente les exigences pour la sauvegarde et la récupération des données des clients.

Changements système communiqués à l'extérieur :

L’entreprise notifie les clients des changements critiques du système qui peuvent affecter leur traitement.

Rôles et responsabilités de gestion définis :

La direction de l’entreprise a établi des rôles et responsabilités définis pour superviser la conception et la mise en œuvre des contrôles de sécurité de l’information.

Structure organisationnelle documentée :

L’entreprise maintient un organigramme qui décrit la structure organisationnelle et les lignes de rapport.

Politiques de sécurité établies et révisées :

Les politiques et procédures de sécurité de l’information de l’entreprise sont documentées et révisées au moins une fois par an.

Système de support disponible :

L’entreprise dispose d’un système de support externe qui permet aux utilisateurs de signaler des informations sur les défaillances, les incidents, les préoccupations et autres plaintes au personnel approprié.

Changements système communiqués :

L’entreprise communique les changements de système aux utilisateurs internes autorisés.

Examens des accès effectués :

L’entreprise effectue des examens d’accès au moins trimestriellement pour les composants du système concernés afin de s’assurer que l’accès est restreint de manière appropriée. Les modifications requises sont suivies jusqu’à leur achèvement.

Demandes d'accès requises :

L’entreprise s’assure que l’accès des utilisateurs aux composants du système concernés est basé sur le rôle et la fonction de l’emploi ou nécessite un formulaire de demande d’accès documenté et l’approbation du gestionnaire avant que l’accès ne soit accordé.

Politiques de réponse aux incidents établies :

L’entreprise dispose de politiques et procédures de réponse aux incidents de sécurité et de confidentialité qui sont documentées et communiquées aux utilisateurs autorisés.

Procédures de gestion des incidents suivies :

Les incidents de sécurité et de confidentialité de l’entreprise sont enregistrés, suivis, résolus et communiqués aux parties affectées ou concernées par la direction selon la politique et les procédures de réponse aux incidents de sécurité de l’entreprise.

Ressources de support externe disponibles :

L’entreprise fournit des directives et des ressources de support technique relatives aux opérations système aux clients.

Description des services communiquée :

L’entreprise fournit une description de ses produits et services aux utilisateurs internes et externes.

Accords avec des tiers établis :

L’entreprise a mis en place des accords écrits avec des fournisseurs et des tiers concernés. Ces accords incluent des engagements de confidentialité et de respect de la vie privée applicables à cette entité.

Données et Confidentialité

CONTROL

STATUS

Procédures de rétention des données établies :

L’entreprise a mis en place des procédures formelles de rétention et d’élimination pour guider la conservation et l’élimination sécurisées des données de l’entreprise et des clients.

Politique de classification des données établie :

L’entreprise dispose d’une politique de classification des données pour s’assurer que les données confidentielles sont correctement sécurisées et restreintes au personnel autorisé.

Sous-traitants

Amazon Web Services EMEA SARL

Utilisé pour l’hébergement de nos services.

Google Cloud EMEA Limited

Utilisé pour l’hébergement de nos services et l’utilisation de leurs services API (par exemple, Translate, LookerStudio, Google BigQuery).

Twilio, Inc.

Utilisé comme fournisseur pour l’envoi de messages SMS et WhatsApp.

MessageBird UK Limited

Utilisé pour le service Pusher afin de faire fonctionner notre widget de chat en temps réel.

Triptease Ltd

Utilisé pour assurer la fonctionnalité de comparaison en temps réel entre le prix du moteur de réservation et les prix des plateformes OTA les plus populaires.

DeepL

Traductions automatiques.

Open AI - Utilisé uniquement pour les add-ons d'IA

Capacités d’IA utilisées pour les add-ons d’IA.