Sécurité de PDQ

Nous sommes en cours de mise en conformité ou déjà conformes aux cadres de sécurité suivants :

• SOC 2 : PDQ est conforme à la norme SOC 2 et continuera à être soumis à des audits de routine pour des rapports mis à jour. Demandez le dernier rapport SOC 2.

Nous sommes conformes aux cadres de protection et de confidentialité des données suivants :

• Règlement général sur la protection des données (GDPR)

• California Consumer Privacy Act (CCPA)

• Politique de confidentialité

• Contrat de licence utilisateur final (EULA)

PDQ applique une politique de contrôle d'accès basée sur les rôles (RBAC) sur des sujets et objets définis. PDQ contrôle l'accès en fonction des rôles définis et des utilisateurs autorisés à assumer de tels rôles. Ce faisant, PDQ veille à ce que l'accès des utilisateurs aux composants système concernés soit basé sur le rôle professionnel et la fonction.

PDQ veille à ce que, au minimum, la politique RBAC établisse et applique le RBAC sur les éléments suivants :

• Suite métier principale

• Système de développement de logiciels

• Fournisseurs de services cloud (CSP)

• Autres systèmes critiques pour l'entreprise

PDQ a mis en place un programme de surveillance et de balayage des vulnérabilités conçu pour surveiller et balayer les vulnérabilités internes et externes dans les systèmes et les applications hébergées au moins une fois par semaine (ou de manière plus aléatoire) afin d'identifier, quantifier et prioriser les vulnérabilités. PDQ identifie également et met en œuvre des outils d'analyse de code dans le pipeline de développement de l'organisation pour balayer régulièrement les bases de code statiques et dynamiques afin de rechercher des vulnérabilités. Des processus garantissent que la portée de toute vulnérabilité est définie et documentée avant le début d'une évaluation de vulnérabilité.

PDQ veille également à ce que toutes les découvertes issues des balayages de vulnérabilité soient analysées et documentées sur une base hebdomadaire et remédiées conformément à la tolérance au risque de l'organisation. PDQ partage les informations obtenues du processus de surveillance des vulnérabilités et des évaluations de contrôle avec les parties prenantes clés pour aider à éliminer des vulnérabilités similaires dans d'autres systèmes.

Tous les employés de PDQ sont tenus de suivre régulièrement une formation obligatoire en matière de sécurité. Cela comprend (mais sans s'y limiter) une formation sur les sujets suivants :

• Ingénierie sociale

• Phishing

• Sécurité physique

• Sécurité des appareils mobiles

• Utilisation des médias sociaux

Ci-dessous, une liste des sous-traitants que nous utilisons et leur objectif pour chaque engagement :

1. Auth0 : Authentification

2. Cloudflare : Infrastructure cloud

3. Google Analytics / Adwords : Analyse, métriques et marketing

4. Google Cloud : Infrastructure cloud

5. HubSpot : Support client

6. Microsoft Azure : Infrastructure cloud

7. Microsoft Office 365 : Email

8. MixPanel : Analytique

9. NewRelic : Surveillance des performances du service

10. ProfitWell : Analytique financière

11. PowerBI : Intelligence d'affaires

12. Sentry : Infrastructure cloud

13. Sendgrid : Automatisation des emails

14. Salesforce : Support client

15. Stripe : Traitement des paiements

16. Twilio : Infrastructure cloud

17. UserVoice : Support client

18. Zapier : Automatisation des affaires

19. ZenDesk : Support client