Navigation SearchNavigation ContactNavigation Products

Approche différentielle :
sécurité et intégrité

Depuis sa création, DDI a accordé l'importance la plus haute à l’intégrité des données. DDI est déterminée à exploiter son entreprise de manière à favoriser la confiance et l’intégrité, ce qui comprend l’utilisation et la gestion des données personnelles qui nous sont fournies par nos collègues, nos clients et nos fournisseurs. Chaque employé de DDI dans le monde a reçu une formation sur les meilleures pratiques en matière de sécurité des données, en vue d’aider à protéger les données des clients.

Notre mission quant à la sécurité

  • Être entièrement transparent sur notre façon d’utiliser et de gérer les données.
  • Aider nos clients à optimiser les avantages de leurs données tout en réduisant au minimum les risques potentiels.
  • Tirer profit des meilleures pratiques au monde dans nos politiques sur les données et nos mesures de conformité.
  • Assurer aux données de nos clients le niveau le plus élevé de protection et de confidentialité.

Notre approche en matière de sécurité des données

DDI prend une approche sur plusieurs niveaux en matière de sécurité quand il s’agit de la protection des données des utilisateurs (information sur les candidats, les participants, les débutants, les administrateurs et les clients) et de la prévention des accès non autorisés, des modifications et de la destruction. Nos politiques et nos processus sont conçus aux fins suivantes :

  • Définir les mécanismes de protection des données et de prévention de leur utilisation inappropriée
  • Former les employés de DDI de manière à les sensibiliser à l’importance de la gestion sécuritaire des données et à reconnaître les menaces potentielles à la sécurité
  • Offrir une voie de communication pour les demandes extérieures d’information concernant la présente politique et les systèmes connexes

Gouvernance de la sécurité

Pour garantir l’intégrité des données, DDI a des ressources, des politiques et des processus consacrés à la protection des données, notamment un bureau pour la sécurité des données et un responsable de la protection des données, qui surveille systématiquement l’application des normes à l’échelle mondiale.

Le responsable de la protection des données chez DDI établit et applique la vision et la stratégie du programme de sécurité et de conformité de l’entreprise, dans le but d’obtenir la cohérence à l’échelle mondiale, s’assurant que les risques sont gérés de façon appropriée et que les objectifs sont atteints.

Formation sur la sécurité

DDI organise de façon périodique des programmes de formation au cours desquels ses employés se familiarisent avec les meilleures pratiques concernant le caractère privé et la confidentialité des données, ainsi que la sécurité des données. Les utilisateurs finaux sont formés à reconnaître et à se prémunir contre la pêche aux données personnelles, les pièges de la manipulation sociale, les liens malveillants et les téléchargements.

Traitement des données

DDI assume le rôle de contrôleur ou de préposé au traitement des données en fonction du contexte opérationnel. Lorsque les données sont saisies et traitées dans le contexte du marketing, des ventes ou d’une recherche gérée par DDI, cette dernière agit comme contrôleur des données et se conforme à toutes les responsabilités et exigences en matière de sécurité des données prescrites pour cette fonction. Lorsque les données sont saisies et traitées dans le contexte d’un engagement pris pour un client, ce dernier assume le rôle de contrôleur des données. DDI agit comme « préposé au traitement des données » et se conforme à toutes les responsabilités et exigences en matière de sécurité des données prescrites pour cette fonction.

Sécurité en partenariat

La responsabilité de la sécurité et de la confidentialité des données de nos clients est assumée conjointement par DDI et ses clients. DDI fournit une plateforme sécuritaire à laquelle les clients peuvent accéder pour tirer profit de leurs données. En outre, DDI fournit les outils, les services, le soutien et les ressources qui aident ses clients à assurer la sécurité de leurs données pendant la durée de l’engagement. Veuillez consulter la Déclaration de DDI sur la confidentialité.

Les clients sont conjointement responsables de la sécurité de leurs données pendant la durée de leur engagement auprès de DDI, et par la suite. Les clients doivent savoir quelles données sont recueillies et conservées dans les systèmes de DDI et définir la politique appropriée de partage des données, de manière à ce que celles-ci soient partagées uniquement entre ceux qui sont autorisés à y accéder. La politique de partage des données doit tenir compte des exigences quant aux risques et à la conformité, qui mettent en corrélation l’importance et la classification de ces données.

Classification des données

  • Les données personnelles comprennent toute information pouvant permettre d’identifier une personne. Nous recueillons vos données, nous y avons accès, nous les utilisons ou les communiquons uniquement à des fins valides et appropriées dans un contexte d’affaires. Nous protégeons comme il se doit cette information et nous la communiquons, à l’intérieur et à l’extérieur de l’entreprise, uniquement aux personnes qui en ont un besoin professionnel actuel et valide.
  • Les données sensibles et confidentielles se définissent comme toute source d’information qui est assujettie à des contraintes en matière de divulgation ou dont la divulgation pourrait sérieusement compromettre la vie privée de la personne visée. L’accès aux données confidentielles est réservé aux utilisateurs internes de DDI qui en ont besoin pour la prestation de services faisant l’objet d’un contrat ou pour la gestion de la sécurité. Les applications du modèle SaaS de DDI ne peuvent acquérir ni stocker les sources d’informations confidentielles.
  • Les données de diagnostic et de rendement sont saisies dans le processus d’accomplissement des obligations contractuelles envers nos clients, dans le contexte que le client a stipulé et dont il est responsable. Les stocks de données d’applications de DDI ont des contrôles rigoureux pour prévenir la divulgation de ces données à des parties non autorisées. L’accès en est restreint aux utilisateurs internes de DDI qui en ont besoin pour la prestation de services contractuels professionnels ou pour la gestion de la sécurité, de même qu’aux utilisateurs identifiés par le client et autorisés en vertu de la politique de partage des données du client.
  • Les données publiques sont des renseignements qui sont accessibles aux fins de diffusion publique ou auxquels on peut accéder par l’entremise d’autres sources publiques. Cependant, la plupart des renseignements concernant les personnes sont traités comme étant confidentiels ou sensibles, même lorsqu’ils sont accessibles publiquement.

Accès selon les moindres droits

Aux données

L’accès à l’ensemble des données (indépendamment de la classification) est offert à l’aide du modèle de sécurité « nécessaire selon les moindres droits » c.-à-d. accordés à ceux qui en ont un besoin professionnel légitime, comme les utilisateurs finaux, les administrateurs du client et diverses équipes de soutien à DDI et aux équipes de soutien aux clients. D’autres mesures peuvent être prises pour que les données soient protégées conformément aux exigences de chaque classification. Parmi les personnes auxquelles peut être octroyé l’accès:

Utilisateurs finaux

Les utilisateurs finaux sont des gens qui ont participé à un processus en ligne (comme un test ou une évaluation) ou qui ont créé un sondage ou qui y ont répondu.

Administrateurs des clients

Les administrateurs des clients sont des utilisateurs finaux du système qui gèrent des comptes et des processus de travail dans le cadre d’un système d’application de DDI, comme les responsables du recrutement, les professionnels du perfectionnement du personnel et d’autres personnes occupant une fonction au sein des Ressources humaines. Les administrateurs peuvent être des employés des clients ou de DDI qui fournissent des renseignements personnels au nom des clients ou des candidats et qui peuvent les guider dans les diverses phases du processus.

Personnel de soutien

Lorsqu’un utilisateur demande un soutien technique de la part de l’équipe de soutien des produits, cet utilisateur peut accorder à un membre de l’équipe de soutien un accès temporaire au compte. L’équipe de soutien peut avoir besoin de consulter le test personnel d’un utilisateur ou son évaluation ou le résultat de son sondage, dans le cadre de la résolution d’un incident survenu pendant la période de soutien.

Aux applications

Les applications utilisent un modèle sécuritaire en fonction du rôle pour déterminer les droits d’accès. Les données des clients sont réparties logiquement en fonction du site, du document, de l’utilisateur et autres critères. Les modifications du système sont contrôlées par l’entremise d’un processus de gestion des changements conforme aux meilleures pratiques.

Aux comptes

Les utilisateurs finaux se font octroyer des permissions « d’accès le moins privilégié » afin d’effectuer leurs tâches de la façon la plus efficace et la plus efficiente. Toute la gestion des comptes et toute l’administration sont rigoureusement contrôlées par DDI. Les utilisateurs de comptes doivent avoir de solides mots de passe et un programme de protection d’écran protégé par un mot de passe. L’accès aux comptes est automatiquement désactivé à la suite de nombreuses tentatives infructueuses d’ouverture de session ou la cessation d’emploi.

Aux bases de données

Des membres privilégiés de notre équipe d’ingénierie ont accès à un niveau de base de données. Cet accès sert à créer des sauvegardes hors site et à effectuer des remises en état de données. Tout cela est fait sans voir les données.

Aux centres ou aux sauvegardes de données

L’accès physique aux Centres de données est réservé à une liste précise d’employés de DDI. L’accès physique ne signifie pas l’accès aux données. Le média physique est logé dans des serveurs dans un meuble verrouillé. Les sauvegardes hors site sont logées sous barres de sécurité dans une salle sécurisée. L’accès à cette salle est restreint et consigné.

Transmissions sécurisées

Lorsque les applications de DDI sont utilisées, les données circulent habituellement entre trois importantes parties : le client et ses employés/candidats, et DDI. Lorsqu’un utilisateur final accède à une application de DDI, l’information fournie est soumise par des méthodes sécuritaires cryptées (HTTPS). Les données traitées par nos serveurs d’application sont soumises pour stockage à nos serveurs de bases de données. L’application Web et les serveurs de bases de données sont situés sur des réseaux logiques et physiques distincts, protégés par des pare-feu.

DDI utilise les protocoles SSL/TLS 1.2 pour l’accès sécuritaire aux données des applications HTTPS. La technologie SSL est la norme pour toutes les applications de DDI et toutes les bandes de sauvegarde sont chiffrées au moyen d’un chiffrement ESA de 256 bits. Le chiffrement est utilisé pour les mots de passe stockés dans les bases de données. Tous les fichiers (sans égard à la confidentialité) demeurent chiffrés lorsqu’ils sont copiés d’un ordinateur portable de DDI vers un appareil de stockage externe.

Processus de développement de produits et gestion des codes

Cycle des versions en développement

DDI utilise un modèle de développement souple. La souplesse est une approche itérative pour l’élaboration de logiciels; cette approche offre une capacité très alerte qui permet à DDI de répondre rapidement aux besoins de ses clients. Nous avons un cycle planifié de diffusion de nouveaux codes – habituellement un cycle hebdomadaire – ce qui veut dire que DDI, presque chaque semaine, lance de nouvelles fonctionnalités et de nouvelles mises à niveau. Le modèle de développement souple donne de fréquentes occasions d’améliorer des fonctionnalités existantes ou d’en proposer de nouvelles. Hors de ce cycle, nous pouvons faire des lancements immédiats (« correctif rapide ») pour répondre aux urgences.

Environnements de développement (numérique)

DDI utilise des versions distinctes des applications pour tester des codes mis à jour, de même que des versions distinctes pour le code de candidats précoces et pour les versions de logiciels postulants. Cette approche protège les données en les empêchant d’être contrôlées et en empêchant qu’on y ait accès au moyen d’un code encore en développement. Tous les codes en développement sont utilisés sur des « bases de données factices ».

Examen des codes

Les programmeurs travaillent seuls ou en équipes au développement de nouveaux codes. Lorsque la fin de chaque cycle de développement d’un code approche, le code est soumis à l’examen des pairs et testé dans un environnement d’assurance qualité (AQ), hors de l’environnement de production. Cette période de test permet de résoudre la plupart des problèmes avant d’entrer en production. Le code subit également une inspection sous l’angle de la programmation avec l’outil NTOSpider à la recherche de vulnérabilités connues.

Gestion des codes

L’outil Git est utilisé pour la gestion du processus de développement de logiciels; il sert aussi de dépôt des codes sources. L’outil Git et les processus connexes empêchent que les modifications au texte soient révisées par les nombreux développeurs travaillant sur le même module. Il existe des processus de contrôle des modifications à différents niveaux dans le développement, l’assurance qualité et la mise en œuvre, notamment :

  • Documentation et responsabilité des demandes de changement comprenant examen, approbation et documentation de toutes les modifications faites par le responsable de l’application.
  • Processus d’approbation progressif pour la promotion des codes : du développement jusqu’à l’AQ; de l’AQ à l’organisation; de l’organisation jusqu’à la production.
  • Tests de logiciels polyphasés et processus d’AQ (test des unités suivi d’un test du système, suivi d’un test d’acceptation des utilisateurs). Le développement et le test des unités sont faits par des réalisateurs de logiciel dans des systèmes de développement distincts avant d’être libérés pour des tests d’acceptation par le système et par l’utilisateur, et ce, sur des systèmes d’AQ distincts.

Sécurité de l’infrastructure

Installations d’hébergement sécuritaires

DDI héberge pour ses clients des applications dans des centres agréés de données redondantes SSAE18, SOC 2 Type II, ISO / IEC 27001 : 2013, HIPAA/HITECH, PCI DSS 3.1.

L’infrastructure des serveurs de DDI est hébergée dans un espace cloisonnée de 8 pi x 16 pi. L’accès à cet espace est réservé au personnel de DDI responsable de la gestion des serveurs d’applications et des éléments de réseaux. L’installation du centre de données comprend de vastes systèmes de sécurité et de protection physique des lieux.

Les serveurs pouvant être la cible d’attaques, DDI s’assure que ses serveurs sont adéquatement sécurisés. Le processus utilisé par DDI pour renforcer la sécurité de ses serveurs comprend les mesures suivantes. [Pour des raisons de sécurité, nous ne pouvons fournir tous les détails de nos contrôles de sécurité de nos serveurs.]

  • Désactivation ou élimination des services, des applications et des protocoles de réseau non nécessaires.
  • Désactivation des comptes d’utilisateur inutiles et changement d’appellation des comptes par défaut.
  • Les exigences quant aux mots de passe configurés pour satisfaire à la politique des mots de passe de DDI.
  • Activation de la connexion au serveur et des pistes d’audit.
  • Installation d’antivirus et d’anti logiciels malveillants, accompagnés de fichiers de définitions à jour.
  • Configuré avec des rustines de sécurité à jour, qui sont d’abord testées sur une plateforme d’essai.

Continuité

Les systèmes redondants ou parallèles en synchronisation à chaud fournissent une alimentation en électricité par l’entremise de systèmes d’alimentation sans interruption et de génératrices de secours. Il y a des connexions à plusieurs réseaux de compagnies de télécommunication pour l’accès redondant à Internet et la connectivité est correctement équilibrée et fournie par plus d’un fournisseur d’accès Internet.

Reprise après sinistre

DDI dispose d’un plan détaillé de reprise après sinistre pour rétablir les services de l’entreprise en cas de bris majeur du système. Ce plan est mis à jour dès que des changements sont faits à l’infrastructure du système ou à la configuration Web des exploitations agricoles.

Sécurité du réseau

L’infrastructure de notre réseau est formée d’une paire d’appareils doubles à taux élevé de disponibilité, capables d’équilibrer et d’accélérer les charges et qui répondent aux demandes venant des ports TCP 80 ou 443 (selon le niveau SSL) à l’adresse IP externe d’un site Web. DDI utilise des systèmes de détection en mode hôte et en mode réseau qui sont sous surveillance et qui répondent 24 heures par jour, 7 jours par semaine toute l’année.

Protection contre les logiciels malveillants et les virus

Notre environnement de surveillance a été configuré en vue d’envoyer automatiquement des alertes aux membres appropriés du personnel qui sont sur appel 24 heures par jour, 7 jours par semaine toute l’année. Tous les systèmes appropriés – PC, serveurs, systèmes de communication interréseau, etc. – sont protégés par le système Microsoft de protection antivirus au point terminal et par le logiciel « de protection instantanée » dont la gestion et la mise à jour sont centralisées.

Conservation et élimination des données

DDI a une politique de conservation globale pour la gestion et la protection des données personnelles. Comme norme des meilleures pratiques, DDI ne conserve pas les données personnelles plus longtemps que nécessaire pour respecter ses obligations contractuelles ou juridiques. Notre politique (1) exige que les données personnelles soient supprimées, détruites ou anonymisées après l’expiration de la période de conservation, qui ne doit pas dépasser cinq ans; (2) permet de conserver indéfiniment les données dépersonnalisées à des fins professionnelles et de recherche.

Jusqu’au 25 mai 2018, les données seront sauvegardées de manière incrémentielle chaque nuit, de manière à ce que toutes les applications et données des clients soient préservées et prêtes à être restaurées en cas de perte de données ou d’événement catastrophique. Après cette date, les sauvegardes nocturnes seront conservées pour une période de trente (30) jours.

Calendriers des sauvegardes et conservation des données

  • Serveurs de fichiers physiques et sauvegardes sur serveur de bases de données : (conservées sur disque pendant 35 jours)
  • Machines virtuelles de production : (conservées sur disque pendant 35 jours)
  • Sites SharePoint des clients : (conservés sur disque pendant 35 jours)
  • Copie mensuelle sur bande : (conservée sur bande pendant un an)
  • Copie annuelle sur bande : (conservée sur bande pendant cinq ans)

Réaction aux incidents de sécurité

DDI applique strictement un plan de détection et de réaction aux incidents de sécurité, notamment détection des intrusions, numérisations et autres méthodes jugées efficaces et appropriées. Alors que les incidents concernant les ordinateurs sont les plus courants, les incidents sans lien avec les ordinateurs peuvent être signalés sur la ligne prioritaire réservée aux incidents ou en communiquant avec le responsable de la protection des données chez DDI ou avec le conseiller juridique de l’entreprise. DDI signale toutes les infractions réelles ou présumées à la sécurité aux clients touchés ou potentiellement touchés, de même qu’aux autorités appropriées dans les 72 heures suivant la découverte de l’infraction. Dès que l’incident a fait l’objet de mesures correctives et que les notifications appropriées ont été faites, DDI continue de prendre des mesures pour améliorer la confidentialité en vue de prévenir la répétition de l’incident.

Conformité

Certifications

SSAE-18 : DDI stocke les données uniquement dans les centres de données qui ont obtenu des audits annuels impartiaux, conformes à la norme SAS 70 de type II. Noter que la norme SAS 70 a été remplacée par la Déclaration sur les normes de missions d’attestation (Statement on Standards for Attestation Engagements – SSAE) no 18; nos centres de données sont agréés relativement à cette norme.

ISO 27001: DDI respecte cette norme de sécurité généralement acceptée à l’échelle mondiale; elle a été développée par l’Organisation internationale de normalisation; DDI utilise uniquement des centres de données ayant démontré leur respect par des évaluations périodiques et une certification annuelle.

SOC 1/ SOC 2 – DDI n’a ni la certification SOC 1 ni la certification SOC 2. Cependant, le fournisseur d’hébergement de données de DDI possède les certifications SOC 2 actuelles.

Renseignements confidentiels

Dès l’embauche, tous les employés de DDI doivent signer une convention de confidentialité qui vise expressément les préoccupations et les risques qui entourent le traitement des renseignements confidentiels. Tout employé ayant violé cette politique est assujetti à un congédiement immédiat ou à toute poursuite pertinente devant la justice.

Vérification des antécédents

De façon générale, DDI a recours à une tierce partie pour effectuer, à titre d’agence, une vérification des antécédents d’un candidat à un emploi, à l’étape de l’offre du processus de sélection. Les renseignements que peut recueillir cette agence comprennent notamment ceux qui ont trait aux emplois qu’a occupés une personne, à son éducation, son caractère, ses finances, sa réputation, etc. Toutes les vérifications des antécédents sont faites en conformité avec les lois en vigueur à l’échelle fédérale, provinciale, territoriale, ainsi que dans tous les autres États.

Vérification des numéros de sécurité sociale

Tous les employés vivant aux États-Unis sont des travailleurs légaux et vérifiés dans leur pays; les numéros de sécurité sociale sont vérifiés, ainsi que les autorisations de travailler.

Réglementation de l’Union européenne (UE) concernant la protection des données

DDI a son siège social aux États-Unis et dessert des clients à l’échelle mondiale; l’entreprise a eu recours à des mécanismes pour que les transferts de données de l’UE vers les États-Unis procurent les protections légales requises pas les Réglementations de l’UE en matière de protections de données, notamment le bouclier de protection des données (en remplacement de la règle refuge), les dispositions du contrat modèle de l’UE et le consentement de l’utilisateur final. La certification de DDI en vertu du programme du bouclier de protection des données peut être consultée sur le site de ce dernier : https://www.privacyshield.gov/

Les dispositions modèles de l’UE

La disposition modèle de l’UE est un avenant du contrat standard entre les fournisseurs de services comme DDI et ses clients, conçue pour que les données personnelles quittant l’espace économique européen soient transférées conformément à la loi de l’UE sur la protection des données et respectent les exigences de la directive 95/46/EC de l’UE sur la protection des données.

Réglementation générale sur la protection des données

Le 25 mai 2018 entre en vigueur un nouveau mandat en matière de confidentialité, appelé Règlement général sur la protection des données (RGPD). Le RGPD élargit les droits à la confidentialité des résidents de l’UE et impose de nouvelles obligations aux fournisseurs de services comme DDI qui stocke et traite des données personnelles en UE. DDI considère le RGPD comme une opportunité d’approfondir son engagement relativement aux meilleures pratiques en ce qui concerne la confidentialité et la protection des données, à l’interne et avec ses clients.

Comme dans le cas des autres exigences de nature juridique, la conformité avec le RGPD exige un partenariat entre DDI, ses sous-traitants et ses clients. DDI se conformera au RGPD dans la prestation de services à ses clients; l’entreprise aidera aussi ses clients à s’y conformer. Nous avons analysé attentivement les exigences du RGPD et nous travaillons à améliorer nos produits, nos contrats et notre documentation afin d’aider DDI et ses clients à respecter le RGPD.

Tiers fournisseurs

DDI a recours à de tiers fournisseurs pour s’approvisionner en vue de vous fournir les services qui sont décrits dans nos ententes. Nous avons recours à un processus rigoureux en matière d’applications, d’examens approfondis et de vérification, de manière à respecter sans cesse nos paramètres et nos exigences dans le traitement des données. Tous les tiers fournisseurs doivent se conformer aux normes de DDI en ce qui concerne le traitement, la protection et la sécurité des données.

Pour consulter une liste de nos sous-traitants, rendez-vous sur le site https://www.ddiworld.com/thirdpartyproviders

Parlez-en à un expert: GISP
* Les champs marqués d’une étoile doivent être remplis
 *
 *
 *
 *
 *
 *
 *
 *
Consent to DDI Marketing *

J’accorde à DDI mon consentement pour la collecte et le traitement de mes données à caractère personnel pour la prestation de services destinés à moi, ainsi qu’à des fins de marketing et de recherche. Je suis conscient de mes droits et de l’usage qui sera fait de mes données, comme mentionné dans la Politique de confidentialité des données de DDI. Je comprends que j’ai le temps de révoquer mon consentement en tout temps.

Enter security code:
 Security code