La sécurité chez Bloomreach

Garantissez la stabilité en permettant à votre équipe de créer, d'envoyer, de tester et d'analyser des campagnes, le tout au sein d'une même plateforme conviviale.

Sortir des sentiers battus

SOC2 Type II

Bloomreach a officiellement obtenu sa certification SOC 2 Type II le 14 mars 2023, et a satisfait aux normes rigoureuses établies par l'American Institute of Certified Public Accountants (AICPA) pour l'entreprise.

Le rapport SOC 2 de type II vérifie l'efficacité de nos contrôles de sécurité de l'information qui garantissent la sécurité, la disponibilité et la confidentialité des données dont nous avons la charge, et comprend une lettre d'opinion de l'auditeur, l'affirmation de conformité de la direction, la description des systèmes examinés, la description du test des contrôles et les résultats de ce test.

Notre certificat SOC2 de type II peut être fourni sur demande avec une garantie de confidentialité adéquate.

En fonction du type d'activité et des services associés, Bloomreach détient plusieurs certifications tierces indépendantes relatives au programme de sécurité et à l'environnement d'exploitation, notamment :

ISO 9001
ISO 27001
ISO 27017
ISO 27018
ISO 22301
Certification RGPD

Chez Bloomreach, nous créons une forte culture de la sécurité, car chaque employé est un élément essentiel de notre défense contre les violations potentielles.

Cette culture est présente à tous les stades, y compris lors du processus d'embauche, de l'intégration des employés, de la formation continue et des événements de l'entreprise. Tous les nouveaux employés sont tenus d'accepter notre NDA et de suivre la formation OWASP. Cela démontre notre engagement à sécuriser les données de nos clients.

Les développeurs du service informatique reçoivent des instructions sur des sujets tels que les meilleures pratiques de codage et de développement, le principe du moindre privilège lors de l'octroi des droits d'accès, etc. Le département informatique assiste également à des présentations techniques sur des sujets liés à la sécurité et reçoit régulièrement des mises à jour sur les questions les plus récentes dans le domaine de la cybersécurité sur notre canal de sécurité.

Gestion de la sécurité

Sécurité des terminaux Gestion des vulnérabilités Assurance qualité Contrôle Gestion des incidents Rassurance

Sécurité des terminaux

Nous veillons à ce que tous nos dispositifs d'extrémité soient protégés conformément à notre politique de sécurité des points d'extrémité. Cela inclut le cryptage des disques, la protection contre les logiciels malveillants, la désactivation de l'accès des invités, un pare-feu et des systèmes d'exploitation régulièrement mis à jour. En outre, nous effectuons des contrôles réguliers pour nous assurer que nous maintenons ce niveau élevé de sécurité.

Gestion des vulnérabilités

Bloomreach dispose d'une politique de gestion des vulnérabilités qui comprend des processus tels que des analyses régulières du Web et des analyses des menaces potentielles. Lorsqu'une vulnérabilité nécessitant notre attention a été identifiée, elle est suivie et assignée pour résolution.

Assurance qualité

Il est essentiel pour nous de tester correctement toutes les nouvelles fonctionnalités avant de les mettre en œuvre afin de nous assurer qu'aucune vulnérabilité inattendue n'est introduite dans l'application. L'équipe chargée de l'assurance qualité veille à ce que tous les nouveaux ajouts à notre application soient exempts de bogues avant leur publication. Elle teste également les instances privées de nos nouveaux clients avant qu'elles ne soient confiées à l'équipe du service clientèle.

Contrôle

Notre surveillance de la sécurité est effectuée sur la base des informations collectées à partir du trafic réseau interne et de la connaissance de nos vulnérabilités. Le trafic interne est contrôlé pour détecter tout comportement suspect. L'analyse du réseau et l'examen des journaux du système afin d'identifier les comportements inhabituels sont des éléments essentiels de la surveillance. Nous plaçons des alertes de recherche sur des référentiels de données publiques afin de rechercher des incidents de sécurité et d'analyser les journaux des systèmes.

Gestion des incidents

Bloomreach dispose de processus de gestion des incidents bien définis pour les événements de sécurité susceptibles d'affecter la confidentialité, l'intégrité ou la disponibilité des ressources ou des données de nos clients. Si un incident se produit, l'équipe de sécurité l'identifie, le signale, l'assigne et lui donne une priorité de résolution en fonction de son urgence. Les événements qui ont un impact direct sur nos clients se voient toujours attribuer la plus haute priorité et le délai de résolution le plus court. Ce processus implique des plans d'action, des procédures d'identification, d'escalade, d'atténuation et d'établissement de rapports.

Rassurance

Afin de garantir la transparence de notre gestion de la sécurité et de partager les détails avec ceux qui en ont le plus besoin, nous détenons également un rapport SOC 2. Ce rapport peut être fourni sur demande dans le cadre d'un accord de confidentialité et donne un aperçu des mesures de sécurité techniques et organisationnelles de Bloomreach.

Chaque fois que nous stockons des données dans le nuage, il y a plusieurs couches de cryptage. Par défaut, les données sont cryptées au repos et en transit. Des contrôles de sécurité supplémentaires sont mis en œuvre en fonction des exigences de nos clients.

Sans autre mise en œuvre, nos fournisseurs de services en nuage chiffrent et authentifient toutes les données en transit à une ou plusieurs couches du réseau lorsque les données se déplacent en dehors des limites physiques non contrôlées par le fournisseur de services en nuage ou en son nom. Google et Amazon utilisent l'algorithme AES (Advanced Encryption Standard) pour crypter les données au repos. Transport Layer Security (TLS) est utilisé pour crypter les données en transit afin d'assurer la sécurité du transport.

Bloomreach aide ses clients à trouver les meilleurs moyens de se conformer au RGPD. Le pilier engagement fonctionne de manière à ce que les clients aient un contrôle total sur la gestion du consentement (ils définissent un objectif pour le traitement), la gestion des droits des personnes concernées (ils peuvent télécharger toutes les données des clients, anonymiser un client ou supprimer un client).

Bloomreach dispose d'une gestion de l'accès qui permet aux utilisateurs de sélectionner des types de données spécifiques en tant qu'IIP, puis de définir/révoquer l'autorisation de consulter les IIP pour chaque utilisateur. Pour chaque événement, il est possible de gérer sa conservation et de définir une expiration distincte. En outre, l'API de données permet aux clients d'intégrer leurs systèmes pour permettre une exécution rapide des demandes des personnes concernées.