X

Vous avez besoin du Cloud Computing ? Commencez dès maintenant

Akamai logo
+1-8774252624
+1-8774252624
Connexion
Control Center
Accéder à la plateforme Akamai
Cloud Manager
Gérez vos ressources cloud
Essayez Akamai
Victime d'une attaque ?
Connexion
Control Center
Accéder à la plateforme Akamai
Cloud Manager
Gérez vos ressources cloud

Mesures techniques et organisationnelles pour les services Noname API Security

Dernière mise à jour : Novembre 2024

Mesures techniques applicables aux Services API Security (ci-après dénommés « Services »).

Données personnelles traitées dans le cadre des services : toutes les données à caractère personnel intégrées dans le trafic API du client, par exemple l'adresse IP, le nom, l'adresse électronique, le numéro de carte de crédit et le numéro de sécurité sociale (ci-après dénommées « données personnelles d'API »).         

Ces mesures techniques et organisationnelles sont applicables aux versions Saas et hybrides des Services API Security.

Toutes les données personnelles traitées dans le cadre des services d'assistance pour les versions Saas, Hybride ou Sur site des services API Security sont protégées sur la base des mesures techniques et organisationnelles appliquées par les sous-traitants fournissant des systèmes de tickets d'assistance, comme indiqué dans la liste des sous-traitants du responsable du traitement des données.

Mesures de pseudonymisation et de chiffrement des données personnelles

Les services appliquent la dissimulation automatique pour la plupart des catégories de données sensibles des données personnelles de l'API, telles que, par exemple, le numéro de compte bancaire, la date de naissance, la carte de crédit, le cryptogramme visuel, les données relatives à la santé, la religion, le salaire, le numéro de sécurité sociale et les données de passeport. Le client peut choisir d'inclure des catégories de données supplémentaires à des fins de dissimulation.

Les données personnelles de l'API sont chiffrées au repos et en transit, à l'aide de méthodes agréées conformes aux normes de l'industrie, par exemple AES-256, TLS 1.2 ou une version ultérieure.

Mesures visant à garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement

Le responsable du traitement des données a mis en œuvre et gère le programme de sécurité de l'information et de conformité de l'entreprise conçu pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes d'information et de traitement, par exemple :

  • Accords de confidentialité
  • Formation à la confidentialité des données et à la sécurité de l'information 
  • Politiques et procédures de sécurité de l'information
  • Procédures de sauvegarde
  • Stockage à distance dans des centres de données tiers
  • Utilisation de différentes zones de disponibilité par l'intermédiaire de fournisseurs de services cloud tels qu'AWS ou d'autres (comme indiqué dans la liste des sous-traitants du responsable du traitement des données) au choix de chaque client pour garantir la récupération et la disponibilité en cas de panne physique dans le centre de données principal d'un fournisseur de services cloud 
  • Contrôles de sécurité du réseau 24 h/24, 7 j/7, y compris l'utilisation de pare-feu et de systèmes actualisés de détection et de prévention des intrusions, afin de protéger les systèmes contre les intrusions et de limiter la portée ou le succès d'une attaque ou d'une tentative d'accès non autorisé au système, aux terminaux informatiques ou aux réseaux du responsable du traitement des données
  • Contrôles d'accès à distance pour surveiller et contrôler l'accès aux systèmes ou réseaux du responsable du traitement des données, comprenant l'exigence d'une authentification multifactorielle pour toute personne accédant au réseau du processeur de données à partir d'un système ou d'un réseau externe
  • Procédures et contrôles de gestion des correctifs pour mettre en œuvre en temps utile les correctifs de sécurité et les mises à jour des logiciels et des micrologiciels
  • Procédures et technologies de gestion des failles de sécurité pour identifier, évaluer, atténuer et protéger contre les vulnérabilités et menaces de sécurité nouvelles et existantes, y compris les virus, les bots et autres codes malveillants, ainsi que la protection antivirus
  • Contrôles de disponibilité pour protéger les données personnelles contre la destruction ou la perte accidentelle

Mesures visant à garantir la capacité à restaurer la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou technique

Le responsable du traitement des données gère ce qui suit :

  • Plan de continuité de l'activité
  • Procédure de reprise après sinistre
  • Plan d'intervention en cas d'incident mis à jour et mis en pratique, par exemple par le biais d'exercices complets de reprise de l'environnement

Les systèmes de production du responsable du traitement des données sont sauvegardés régulièrement, conformément aux procédures de sauvegarde internes.

Processus de test et d'évaluation réguliers de l'efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement

Le responsable du traitement des données a mis en œuvre les processus suivants :

  • Programme d'audit interne et externe, rapports et documentation d'audit
  • Test des processus de sauvegarde et des procédures de continuité d'activité
  • Évaluation des risques et surveillance régulière du système
  • Tests de vulnérabilité et de pénétration réguliers

Le responsable du traitement des données est régulièrement soumis à des évaluations de sécurité et détient les certifications répertoriées à l'adresse https://www.akamai.com/fr/legal/compliance

Mesures d'identification et d'autorisation des utilisateurs

Le responsable du traitement des données met en place des politiques et des procédures pour gérer l'identification et l'autorisation des utilisateurs, par exemple :

  • Politiques et procédures internes, notamment pour établir, gérer et contrôler les exigences en matière de mot de passe et d'authentification
  • Les contrôles d'authentification des utilisateurs, notamment les méthodes sécurisées d'attribution de sélection et de stockage des informations d'identification d'accès et de blocage de l'accès après un nombre raisonnable d'échecs d'accès à l'authentification
  • Restriction de l'accès à certains utilisateurs
  • Accès accordé en fonction d'un besoin de savoir, pris en charge par des protocoles d'autorisation d'accès, d'établissement, de modification et de résiliation des droits d'accès
  • Systèmes de journalisation et de création de rapports
  • Schémas d'autorisation de contrôle
  • Droits d'accès différenciés (profils, rôles, transactions et objets)
  • Surveillance et journalisation des accès
  • Rapports d'accès
  • Politiques et procédures d'accès
  • Politiques et procédures de gestion des changements

Mesures de protection des données pendant la transmission

Les données personnelles d'API sont protégées pendant la transmission par les procédés suivants :

  • Chiffrement en transit via les normes du secteur telles que TLS 1.2 ou version ultérieure
  • Dissimulation de tout élément sensible en fonction des préférences de chaque client, gérée par chaque client
  • Séparation des données du réseau et du client
  • Journalisation et surveillance des événements relatifs à la sécurité

Mesures de protection des données pendant le stockage

Les données personnelles d'API sont protégées pendant le stockage par les procédés suivants :

  • Chiffrement au repos via les normes du secteur telles qu'AES-256 
  • Contrôles d'accès
  • Séparation des bases de données et segmentation logique des données du client de celles des autres clients
  • Séparation des fonctions et des environnements (production/test/développement)
  • Procédures de stockage, de modification, de suppression et de transmission des données à des fins différentes

Mesures visant à assurer la sécurité physique des lieux où les données personnelles sont traitées

Les mesures suivantes sont prises par les sous-traitants ultérieurs tels qu'AWS ou un autre fournisseur de services cloud (comme indiqué dans la liste des sous-traitants indirects du responsable du traitement des données) de chaque client, car le responsable du traitement des données ne stocke pas les données personnelles d'API sur ses propres serveurs :

  • Établissement de zones de sécurité, restriction des chemins d'accès
  • Établissement d'autorisations d'accès pour les employés et les tiers en fonction des besoins
  • Système de contrôle d'accès (lecteur d'ID, carte magnétique, carte à puce)
  • Gestion des clés, procédures de clés de carte
  • Verrouillage des portes (dispositifs électriques d'ouverture des portes, etc.)
  • Personnel de sécurité
  • Surveillance des installations, vidéosurveillance/vidéoprotection, système d'alarme
  • Sécurisation des équipements de traitement décentralisés et des ordinateurs personnels

Les mesures détaillées appliquées par chaque fournisseur de services cloud choisi par le client peuvent être vérifiées sur leurs sites Web respectifs. 

Mesures permettant de garantir la journalisation des événements

Le responsable du traitement des données met en place des politiques et des procédures pour garantir la journalisation des événements, par exemple :

  • Procédures d'identification et d'authentification des utilisateurs
  • Procédures de sécurité par ID/mot de passe 
  • Blocage et verrouillage automatiques des comptes après un nombre défini d'échecs de connexion
  • Délai d'expiration du délai de session automatique
  • Procédures et technologies de gestion des journaux pour créer et assurer un suivi d'audit complet permettant des enquêtes approfondies efficaces, notamment la surveillance des tentatives d'intrusion et la désactivation automatique de l'ID utilisateur en cas de tentatives de saisie de mots de passe erronées répétées
  • Création d'un enregistrement principal par utilisateur

Mesures permettant de garantir la configuration du système, y compris la configuration par défaut

Le responsable du traitement des données met en place des procédures et des politiques pour s'assurer que ses systèmes sont configurés et gérés conformément aux normes du secteur, par exemple :

  • Documentation et paramètres de configuration de base à jour
  • Procédures et contrôles opérationnels pour s'assurer que les logiciels, les terminaux informatiques et les réseaux sont développés, configurés et gérés conformément aux normes internes prescrites et conformes aux normes du secteur
  • Les modifications apportées à la configuration du système nécessitent des privilèges spécifiques

Mesures relatives à la gouvernance et à la gestion internes des technologies et de la sécurité de l'information

Le responsable du traitement des données gère la gouvernance informatique conformément aux normes du secteur telles que SOC 2 Type 2, CSA STAR 2, PCI DSS, HIPAA et applique les mesures suivantes, par exemple : 

  • Politiques et procédures de sécurité de l'information 
  • Plan de réponse aux incidents
  • Audits internes et externes réguliers
  • Examen et supervision du programme de sécurité de l'information
  • Formations régulières sur la sécurité et la confidentialité de l'information pour les employés
  • Accès aux données basé sur le principe du moindre privilège                    

Mesures de certification/assurance des processus et des produits

Le responsable du traitement des données détient les certifications suivantes :

  • SOC 2 Type 2
  • Cloud Security Alliance (CSA) STAR 2
  • HIPAA
  • PCI DSS

Pour plus d'informations, rendez-vous sur https://www.akamai.com/fr/legal/compliance

Mesures visant à garantir la minimisation des données

Le responsable du traitement des données s'assure, grâce à ses principes de protection de la confidentialité dès la conception, que ses services et systèmes sont développés et conçus conformément aux exigences de confidentialité et que seule la portée requise des données est traitée, par exemple :

  • S'assurer que la quantité minimale de données est traitée pour remplir l'objectif du traitement
  • Les données ne sont capturées que lorsque des incidents de sécurité d'API sont détectés et que seuls quelques paquets sont collectés par API pour établir des lignes de base d'API
  • Certaines catégories sensibles de données personnelles capturées par les Services sont automatiquement dissimulées et un client peut choisir de dissimuler des catégories supplémentaires de données personnelles en fonction des préférences de chaque client, qui sont gérées directement par ce dernier

Mesures visant à garantir la qualité des données

Le responsable du traitement des données reçoit les paquets de trafic d'API tels quels et n'a pas la possibilité de mettre à jour ou de corriger les données personnelles d'API dans les paquets une fois qu'ils ont été reçus. 

Mesures visant à garantir une rétention limitée des données

Les données personnelles d'API sont stockées pendant toute la durée de l'accord et peuvent être supprimées plus tôt à la demande du client. 

Mesures visant à garantir la responsabilité

Le responsable du traitement des données assume sa responsabilité en mettant en œuvre diverses mesures, par exemple :

  • Politiques et procédures internes de protection des données
  • Confidentialité dès la conception et par défaut
  • Registres des activités de traitement des données
  • Évaluations de l'impact sur la confidentialité, le cas échéant
  • Processus d'intégration des fournisseurs et évaluations de diligence raisonnable 
  • Contrôles des sous-traitants indirects, y compris les critères appropriés pour sélectionner les sous-traitants ultérieurs et les accords adéquats 
  • Programme de formation sur la confidentialité des données et la sécurité de l'information

Mesures visant à assurer la portabilité et l'effacement des données

Le responsable du traitement des données garantit la portabilité et l'effacement des données via les mesures suivantes :

  • Les clients peuvent utiliser des flux de travail pour intégrer les services à leurs propres systèmes et recevoir automatiquement les données personnelles d'API au sein de leurs systèmes
  • Les données personnelles d'API peuvent être exportées à la demande du client
  • Les données personnelles d'API peuvent être supprimées à la demande du client
  • Suppression des données personnelles d'API conformément aux meilleures pratiques du NIST et gérées par AWS ou un autre fournisseur de services cloud (comme indiqué dans la liste des sous-traitants du responsable du traitement des données) de chaque client

Pour les transferts vers les responsables du traitement (ou des sous-traitants), décrivez également les mesures techniques et organisationnelles spécifiques à prendre par le responsable du traitement (ou le sous-traitant) afin de pouvoir fournir une assistance au gestionnaire

Lorsque le responsable du traitement des données fait appel à un sous-traitant ultérieur, le responsable du traitement et le sous-traitant ultérieur concluent un accord prévoyant des obligations en matière de protection des données substantiellement similaires à celles contenues dans l'accord conclu entre le responsable du traitement des données et le gestionnaire des données. 

Description des mesures techniques et organisationnelles spécifiques que le responsable du traitement doit prendre pour être en mesure de fournir une assistance au gestionnaire.

Pour plus de détails concernant l'assistance du responsable du traitement des données au gestionnaire, voir l'accord de traitement des données et l'accord de service connexe.