Culture de sécurité
La sécurité informatique et la protection des données font partie intégrante de la culture de PeopleWeek. C’est la responsabilité de tous les employés de PeopleWeek et l’appropriation commence par l’équipe de direction.
Organisation et Personnes
PeopleWeek a un certain nombre de pratiques organisationnelles et humaines conçues pour protéger les données de nos clients et maintenir les normes les plus élevées de confidentialité des données :
- Tous les employés de PeopleWeek reçoivent une formation en sécurité informatique au début de leur emploi, ainsi qu’une formation de remise à niveau annuelle. La formation comprend un test pour s’assurer que tous les membres de notre équipe ont bien compris la matière
- L’accès aux données des clients est limité aux membres de l’équipe qui doivent y avoir accès
- Les employés de PeopleWeek qui ont accès aux données des clients ne peuvent le faire qu’en utilisant des protocoles de double authentification et via notre réseau informatique d’entreprise
- Les ordinateurs des employés de PeopleWeek limitent leur capacité à utiliser les ports USB et à imprimer
En outre, l’équipe de support client de PeopleWeek entretient une relation personnelle avec nos clients, qui sont généralement des membres de l’équipe RH. Notre modèle de soutien est intime, pas une approche de « centre d’appel ». Lorsqu’une requête d’un client ne peut être résolue rapidement par email, nous nous lançons dans un appel vidéo. Cette intimité minimise tout risque de connaissance du client ou d’identification du client, par exemple une tentative frauduleuse d’accès aux données du client.
Pratiques de gestion
Le comité de sécurité informatique de PeopleWeek se réunit tous les mois et veille à ce que l’organisation gère les risques de manière proactive et dispose de politiques, de procédures, et de pratiques quotidiennes solides. Les administrateurs de PeopleWeek font partie du comité de sécurité informatique, ce qui reflète notre engagement envers la sécurité et notre implication directe. PeopleWeek a documenté des plans de continuité des activités (PCA) et des processus de gestion des incidents.
Évaluations et certifications externes
PeopleWeek effectue régulièrement des audits de cybersécurité et des tests d’intrusion de notre plateforme. Nous respectons la législation sur la protection des données, notamment le RGPD et la loi fédérale suisse sur la protection des données. Les clients de PeopleWeek peuvent demander un résumé de nos derniers résultats de tests d’intrusion externes. Les clients de PeopleWeek peuvent également demander à effectuer leurs propres tests d’intrusion indépendants de notre plateforme.
En 2022, suite à un audit indépendant, PeopleWeek a été l’une des premières entreprises au monde à recevoir le certificat suisse le Digital Trust Label. Le certificat représente la fiabilité d’un service numérique et suit quatre catégories et 35 critères techniques.
Sécurité de l’application
L’architecture de l’application PeopleWeek a été développée selon les normes OWASP®. Open Web Application Security Project® est une fondation à but non lucratif qui travaille à améliorer la sécurité des logiciels. L’OWASP décrit plus de 80 risques critiques pour la sécurité des applications web. PeopleWeek a intégré ces normes dans la conception de son logiciel et nous vérifions nous-mêmes notre robustesse.
Sécurité et confidentialité des données basées sur des rôles
L’accès à PeopleWeek est basé sur les rôles des utilisateurs. Un ou plusieurs rôles attribués à un utilisateur déterminent les droits d’accès de l’individu, en d’autres termes, les données que l’utilisateur peut voir.
Des exemples de rôles sont : Employé, Responsable, Responsable RH global, Responsable RH d’entité, Responsable de département, Gestionnaire de formation, Gestionnaire de rémunération, Gestionnaire de talent, Gestionnaire de recrutement, Gestionnaire de note de frais, et Gestionnaire de conformité. Il existe de nombreux types de rôles différents dans PeopleWeek et ils varient également en fonction des modules achetés par le client.
Ces rôles d’utilisateur sont codés en dur dans le système, au lieu d’être personnalisés pour différents clients. Cette « confidentialité intégrée » dans la conception de PeopleWeek minimise la possibilité d’une erreur de configuration qui ferait qu’un utilisateur aurait le mauvais niveau d’accès aux données. Nous pensons que cela fournit un niveau supplémentaire de réassurance à nos clients.
Cryptage des données
PeopleWeek dispose d’un chiffrement à plusieurs niveaux : au niveau de l’infrastructure (c’est-à-dire le chiffrement complet du disque), au niveau de la base de données et au niveau des fichiers.
Accès au système (connexion)
PeopleWeek offre une connexion native qui suit les protocoles reconnus de mots de passe sécurisés. PeopleWeek propose également une authentification à double facteur, y compris une application propriétaire pour générer des mots de passe uniques basés sur le temps (TOTP).
De nombreux clients de PeopleWeek ont choisi d’intégrer PeopleWeek à Azure Single Sign-On, ce qui offre à leurs employés une méthode pratique d’accès au système et peut être combiné à une authentification multifacteur (MFA).
Toutes les méthodes de connexion fonctionnent sur la version Web et la version application mobile de PeopleWeek.
Sécurité physique (Centre de données)
Tous les serveurs PeopleWeek sont hébergés dans des centres de données de premier plan en Suisse. Nos centres de données principaux et de secours se trouvent en Suisse.
Sauvegarde et récupération des données
PeopleWeek peut récupérer jusqu’à 30 jours de données et d’archives clients. Il est également possible pour les clients d’avoir une période de récupération de données plus longue (sous réserve de frais supplémentaires).
L’approche de PeopleWeek en matière de gestion des instances client nous permet d’employer des ressources évolutives horizontalement. Cela signifie que si un problème matériel ou logiciel rend le service indisponible pour un client spécifique, l’infrastructure de PeopleWeek utilise des ressources mises en commun pour prendre en charge la charge, fournissant ainsi un service ininterrompu. La mise en commun des ressources du serveur signifie également que les données client sont continuellement répliquées pour minimiser la fenêtre de perte de données potentielle dans un scénario de reprise après sinistre.
Documents disponibles
PeopleWeek peut mettre à la disposition de ses clients et de ses clients potentiels les documents suivants :
- Le certificat de Swiss Digital Trust
- Politiques de sécurité informatique, protection des données et confidentialité
- Déclaration de conformité au RGPD / FADP
- Diagramme de réseau
- Résultats de conformité OWASP
- Politique de continuité des activités
- Déclaration sur la continuité des activités
Contact
Le responsable de la sécurité de l’information et de la protection des données de PeopleWeek est également disponible pour répondre aux questions relatives à la sécurité (chris.parker@peopleweek.com).
Questions et Réponses
Quel est le niveau de sécurité de PeopleWeek ?
PeopleWeek prend la sécurité des données très au sérieux. Notre objectif n’est pas simplement de nous conformer aux exigences légales et réglementaires, mais de les dépasser pour adapter en permanence nos pratiques en fonction de l’évolution des technologies et des risques.
Quelle est la politique GDPR de PeopleWeek ?
PeopleWeek se conforme au RGPD et à la loi fédérale suisse sur la protection des données (FADP). Nous veillons à ce que nos employés soient bien formés et disposent des outils nécessaires pour être en mesure de respecter les exigences en matière de confidentialité et de protection des données. Notre comité de sécurité informatique se réunit tous les mois pour s’assurer que la direction générale reste très concentrée sur tous les aspects de la sécurité informatique, et que la sécurité et la protection des données sont intégrées dans nos pratiques et notre culture de travail.
Où puis-je trouver la politique de sécurité informatique de PeopleWeek ?
Les politiques de PeopleWeek concernant la sécurité informatique, la protection des données et la confidentialité des données, peuvent être partagées avec les clients et les prospects sur demande.
Où sont stockées les données de PeopleWeek ?
Toutes les données et fichiers clients sont hébergés dans des centres de données de premier plan en Suisse.
PeopleWeek a-t-il des serveurs de sauvegarde ?
PeopleWeek a une pratique de conservation des données de 30 jours. Les clients peuvent demander des périodes de conservation plus longues (sous réserve de frais supplémentaires). Toutes les bases de données et fichiers clients, ainsi que les serveurs de sauvegarde, sont hébergés en Suisse.
PeopleWeek a-t-il un chiffrement au repos ?
PeopleWeek dispose d’un cryptage à plusieurs niveaux : au niveau de l’infrastructure (c’est-à-dire un cryptage complet du disque), au niveau de la base de données et au niveau des fichiers.
PeopleWeek utilise-t-il le cryptage ?
PeopleWeek utilise le cryptage en transit et le cryptage au repos. Le cryptage se fait au niveau du disque, de la base de données et des fichiers.
PeopleWeek stocke-t-il les journaux ?
PeopleWeek stocke et surveille divers journaux au niveau de l’application et du système. De plus, PeopleWeek stocke un journal d’audit détaillé des transactions d’entreprise ayant lieu dans l’application qui peut être mis à la disposition des clients sur demande.
Qui est le responsable de la protection des données de PeopleWeek ?
chris.parker@peopleweek.com (Chief Information Security Officer and Data Protection Officer)
PeopleWeek dispose-t-il d’un plan de continuité des activités (PCA) ?
Le BCP de PeopleWeek peut être partagé avec les clients et prospects à la demande.
PeopleWeek propose-t-il une intégration avec Azure SSO ?
Oui
Les mises à jour des environnements de production de PeopleWeek suivent-elles un processus de changement documenté ?
PeopleWeek suit un processus strict de gestion des changements pour toutes les mises à jour du système. Toutes les modifications sont enregistrées dans des journaux de modifications.
Avez-vous effectué des audits de tiers récemment ?
En mai 2022, PeopleWeek a été certifié par le Digital Trust Label à la suite d’un audit indépendant approfondi. e DTL est une certification de responsabilité numérique. Les critères d’audit et le certificat peuvent être partagés sur demande. La certification nécessite un audit annuel. PeopleWeek subit également un test d’intrusion annuel avec des sociétés tierces de cybersécurité réputées.
Peopleweek effectue-t-il des analyses de vulnérabilité ou des tests de pénétration ?
PeopleWeek effectue des analyses de vulnérabilité internes à intervalles réguliers pour tester notre application et notre infrastructure. En outre, des tests d’intrusion indépendants sont effectués chaque année par une société suisse externe de cybersécurité afin d’identifier toute vulnérabilité.
Peopleweek peut-il partager les résultats de ses tests de pénétration ?
Un rapport de synthèse peut être partagé avec les clients et les prospects sur demande.
Comment puis-je signaler un problème de sécurité à PeopleWeek ?
Envoyez un e-mail à admin@PeopleWeek .com
Comment PeopleWeek gère-t-il les incidents ?
La politique de gestion des incidents de PeopleWeek peut être partagée avec les clients et les prospects sur demande.
Qui chez PeopleWeek a accès aux données clients ?
L’accès aux données des clients est limité aux personnes dont le rôle exige qu’elles y aient accès afin de fournir les services et le soutien convenus au client. PeopleWeek utilise un certain nombre de protocoles de sécurité pour s’assurer que l’accès est sécurisé, notamment en limitant l’accès via un réseau d’entreprise et en utilisant une authentification multifactorielle.
Comment PeopleWeek s’assure-t-il que ses employés respectent les exigences légales en matière de protection des données ?
PeopleWeek forme régulièrement ses employés sur les thèmes de la sécurité de l’information et de la protection des données.
Que se passe-t-il s’il y a une violation de données chez peopleweek ?
Dans le cas peu probable d’une violation de données ou d’une violation potentielle de données, PeopleWeek suit sa politique de gestion des incidents. Notre politique de gestion des incidents comprend des protocoles sur la communication avec les clients et les autorités réglementaires.
Comment fonctionne l’authentification des utilisateurs ?
PeopleWeek propose deux types d’authentification utilisateur différents :
1) Se connecter en utilisant le login natif de PeopleWeek, qui est conforme aux protocoles de sécurité tels que les noms d’utilisateurs uniques, les mots de passe complexes et le support pour activer ou rendre obligatoire l’authentification à deux facteurs intégrée en utilisant des « Time-based One-Time Password » (TOTP). PeopleWeek dispose de sa propre application TOTP.
2) Azure Single Sign-On (SSO).
Qui a accès aux données du côté client et comment sont-elles séparées ?
PeopleWeek est conçu sur la base d’un accès basé sur les rôles, ce qui signifie que différentes données sont visibles en fonction du rôle de l’utilisateur, par exemple Employé, Manager, Manager RH global, Manager RH d’entité, Manager RH de département, Manager de note de frais, Manager de formation, Manager de conformité, Manager de recrutement, etc.
Comment PeopleWeek assure-t-il la disponibilité du système ?
L’infrastructure de PeopleWeek a été conçue pour optimiser les performances, la fiabilité et la durabilité pour tous les clients. Nous avons intégré des capacités de redondance et de réplication grâce à la conception de notre base de données, de nos fichiers et de notre architecture de serveur. Ceci est étayé par la sécurité de nos applications et de notre infrastructure, ainsi que par des pratiques de travail matures.
Qu’advient-il des données du client en cas de défaillance totale du système (par exemple, en cas de force majeure) ?
Dans le cas peu probable d’une défaillance totale de PeopleWeek, 30 jours de données sauvegardées peuvent être restaurées. Comme les données client sont continuellement répliquées à l’aide de nos ressources mises en commun, la fenêtre de perte de données éventuelle est minimisée dans un scénario de reprise après sinistre.
Qui est propriétaire des données des clients dans PeopleWeek ?
Le client est le propriétaire et le contrôleur de ses données stockées dans PeopleWeek.
Que se passe-t-il dans le cas où un client met fin à son contrat avec PeopleWeek ?
Lors de la fin de la relation contractuelle, PeopleWeek remettra au client, dans un délai de 30 jours, ses données dans un format lisible par machine. Que se passe-t-il dans le cas où un client met fin à son contrat avec PeopleWeek ?