Culture de sécurité
La sécurité informatique et la protection des données font partie intégrante de la culture de PeopleWeek. C’est la responsabilité de tous les employés de PeopleWeek et l’appropriation commence par l’équipe de direction.
Organisation et Personnes
PeopleWeek a un certain nombre de pratiques organisationnelles et humaines conçues pour protéger les données de nos clients et maintenir les normes les plus élevées de confidentialité des données :
- Tous les employés de PeopleWeek reçoivent une formation en sécurité informatique au début de leur emploi, ainsi qu’une formation de remise à niveau annuelle. La formation comprend un test pour s’assurer que tous les membres de notre équipe ont bien compris la matière
- L’accès aux données des clients est limité aux membres de l’équipe qui doivent y avoir accès
- Les employés de PeopleWeek qui ont accès aux données des clients ne peuvent le faire qu’en utilisant des protocoles de double authentification et via notre réseau informatique d’entreprise
- Les ordinateurs des employés de PeopleWeek limitent leur capacité à utiliser les ports USB et à imprimer
En outre, l’équipe de support client de PeopleWeek entretient une relation personnelle avec nos clients, qui sont généralement des membres de l’équipe RH. Notre modèle de soutien est intime, pas une approche de « centre d’appel ». Lorsqu’une requête d’un client ne peut être résolue rapidement par email, nous nous lançons dans un appel vidéo. Cette intimité minimise tout risque de connaissance du client ou d’identification du client, par exemple une tentative frauduleuse d’accès aux données du client.
Pratiques de gestion
Le comité de sécurité informatique de PeopleWeek se réunit tous les mois et veille à ce que l’organisation gère les risques de manière proactive et dispose de politiques, de procédures, et de pratiques quotidiennes solides. Les administrateurs de PeopleWeek font partie du comité de sécurité informatique, ce qui reflète notre engagement envers la sécurité et notre implication directe. PeopleWeek a documenté des plans de continuité des activités (PCA) et des processus de gestion des incidents.
Évaluations et certifications externes
PeopleWeek effectue régulièrement des audits de cybersécurité et des tests d’intrusion de notre plateforme. Nous respectons la législation sur la protection des données, notamment le RGPD et la loi fédérale suisse sur la protection des données. Les clients de PeopleWeek peuvent demander un résumé de nos derniers résultats de tests d’intrusion externes. Les clients de PeopleWeek peuvent également demander à effectuer leurs propres tests d’intrusion indépendants de notre plateforme.
En 2022, suite à un audit indépendant, PeopleWeek a été l’une des premières entreprises au monde à recevoir le certificat suisse le Digital Trust Label. Le certificat représente la fiabilité d’un service numérique et suit quatre catégories et 35 critères techniques.
Sécurité de l’application
L’architecture de l’application PeopleWeek a été développée selon les normes OWASP®. Open Web Application Security Project® est une fondation à but non lucratif qui travaille à améliorer la sécurité des logiciels. L’OWASP décrit plus de 80 risques critiques pour la sécurité des applications web. PeopleWeek a intégré ces normes dans la conception de son logiciel et nous vérifions nous-mêmes notre robustesse.
Sécurité et confidentialité des données basées sur des rôles
L’accès à PeopleWeek est basé sur les rôles des utilisateurs. Un ou plusieurs rôles attribués à un utilisateur déterminent les droits d’accès de l’individu, en d’autres termes, les données que l’utilisateur peut voir.
Des exemples de rôles sont : Employé, Responsable, Responsable RH global, Responsable RH d’entité, Responsable de département, Gestionnaire de formation, Gestionnaire de rémunération, Gestionnaire de talent, Gestionnaire de recrutement, Gestionnaire de note de frais, et Gestionnaire de conformité. Il existe de nombreux types de rôles différents dans PeopleWeek et ils varient également en fonction des modules achetés par le client.
Ces rôles d’utilisateur sont codés en dur dans le système, au lieu d’être personnalisés pour différents clients. Cette « confidentialité intégrée » dans la conception de PeopleWeek minimise la possibilité d’une erreur de configuration qui ferait qu’un utilisateur aurait le mauvais niveau d’accès aux données. Nous pensons que cela fournit un niveau supplémentaire de réassurance à nos clients.
Cryptage des données
PeopleWeek a un cryptage complet des données des clients au niveau du disque.
Accès au système (connexion)
PeopleWeek offre une connexion native qui suit les protocoles reconnus de mots de passe sécurisés. PeopleWeek propose également une authentification à double facteur, y compris une application propriétaire pour générer des mots de passe uniques basés sur le temps (TOTP).
De nombreux clients de PeopleWeek ont choisi d’intégrer PeopleWeek à Azure Single Sign-On, ce qui offre à leurs employés une méthode pratique d’accès au système et peut être combiné à une authentification multifacteur (MFA).
Toutes les méthodes de connexion fonctionnent sur la version Web et la version application mobile de PeopleWeek.
Sécurité physique (Centre de données)
Toutes les données des clients sont hébergées en Suisse chez STACK Infrastructure (anciennement connu sous le nom de SafeHost), l’un des centres de données les plus grands (5,300sqm), les plus réputés, les plus stables et les plus sécurisés de Suisse. Les centres de données primaires (GEN01) et de secours de PeopleWeek chez STACK sont tous deux basés en Suisse (le centre de secours est à Gland, Vaud).
En tant que centre de données leader sur le marché, STACK dispose d’une ségrégation physique et de contrôles d’accès robustes, y compris l’authentification biométrique, la surveillance par caméra et la surveillance par des professionnels de la sécurité.
Le principal centre de données de STACK (GEN01), basé à Genève, est alimenté par de l’électricité produite à 100 % par des centrales hydroélectriques. Il dispose d’une capacité de 4,3 MW mise en service et d’une enveloppe d’alimentation. Il offre des hyperscalers et une alimentation fiable et durable au cœur de l’Europe.
Les certifications de conformité de STACK comprennent ISO 9001, ISO 14001, ISO 27001, ISO 45001, ISO 50001, ISAE 3402 et la conformité au standard PCI/DSS.
Visitez le site Web de STACKici.
Sauvegarde et récupération des données
Les instances et les données des clients de PeopleWeek sont sauvegardées quotidiennement et nous pouvons récupérer jusqu’à 30 jours de données et d’archives des clients. En outre, STACK effectue chaque semaine une sauvegarde physique sur bande des données de chaque client. La bande est stockée dans une chambre forte sécurisée en Suisse.
Documents disponibles
PeopleWeek peut mettre à la disposition de ses clients et de ses clients potentiels les documents suivants :
- Le certificat de Swiss Digital Trust
- Politiques de sécurité informatique, protection des données et confidentialité
- Déclaration de conformité au RGPD / FADP
- Diagramme de réseau
- Résultats de conformité OWASP
- Politique de continuité des activités
- Déclaration sur la continuité des activités
Contact
Le responsable de la sécurité de l’information et de la protection des données de PeopleWeek est également disponible pour répondre aux questions relatives à la sécurité (chris.parker@peopleweek.com).
Questions et Réponses
Quel est le niveau de sécurité de PeopleWeek ?
PeopleWeek prend la sécurité des données très au sérieux. Notre objectif n’est pas simplement de nous conformer aux exigences légales et réglementaires, mais de les dépasser pour adapter en permanence nos pratiques en fonction de l’évolution des technologies et des risques.
Quelle est la politique GDPR de PeopleWeek ?
PeopleWeek se conforme au RGPD et à la loi fédérale suisse sur la protection des données (FADP). Nous veillons à ce que nos employés soient bien formés et disposent des outils nécessaires pour être en mesure de respecter les exigences en matière de confidentialité et de protection des données. Notre comité de sécurité informatique se réunit tous les mois pour s’assurer que la direction générale reste très concentrée sur tous les aspects de la sécurité informatique, et que la sécurité et la protection des données sont intégrées dans nos pratiques et notre culture de travail.
Où puis-je trouver la politique de sécurité informatique de PeopleWeek ?
Les politiques de PeopleWeek concernant la sécurité informatique, la protection des données et la confidentialité des données, peuvent être partagées avec les clients et les prospects sur demande.
Où sont stockées les données de PeopleWeek ?
Nous hébergeons toutes les données chez STACK en Suisse. STACK est un centre de données de premier ordre, et certifié conformément aux meilleures pratiques du secteur.
PeopleWeek a-t-il des serveurs de sauvegarde ?
PeopleWeek sauvegarde quotidiennement les données des clients et dispose d’une pratique de rétention des données de 30 jours. Le centre de données de sauvegarde se trouve également en Suisse. Cela signifie qu’il n’est pas nécessaire pour le client d’effectuer ses propres sauvegardes.
PeopleWeek a-t-il un chiffrement au repos ?
PeopleWeek a un cryptage complet des données des clients au niveau du disque.
PeopleWeek utilise-t-il le cryptage ?
PeopleWeek utilise le cryptage en transit et le cryptage au repos.
PeopleWeek stocke-t-il les journaux ?
PeopleWeek stocke et surveille divers journaux au niveau de l’application et du système. De plus, PeopleWeek stocke un journal d’audit détaillé des transactions d’entreprise ayant lieu dans l’application qui peut être mis à la disposition des clients sur demande.
Qui est le responsable de la protection des données de PeopleWeek ?
chris.parker@peopleweek.com (Chief Information Security Officer and Data Protection Officer)
PeopleWeek dispose-t-il d’un plan de continuité des activités (PCA) ?
Le BCP de PeopleWeek peut être partagé avec les clients et prospects à la demande.
PeopleWeek propose-t-il une intégration avec Azure SSO ?
Oui
Les mises à jour des environnements de production de PeopleWeek suivent-elles un processus de changement documenté ?
PeopleWeek suit un processus strict de gestion des changements pour toutes les mises à jour du système. Toutes les modifications sont enregistrées dans des journaux de modifications.
Avez-vous effectué des audits de tiers récemment ?
En mai 2022, PeopleWeek a été certifié par le Digital Trust Label à la suite d’un audit indépendant approfondi. e DTL est une certification de responsabilité numérique. Les critères d’audit et le certificat peuvent être partagés sur demande. La certification nécessite un audit annuel. PeopleWeek subit également un test d’intrusion annuel avec des sociétés tierces de cybersécurité réputées.
Peopleweek effectue-t-il des analyses de vulnérabilité ou des tests de pénétration ?
PeopleWeek effectue des analyses de vulnérabilité internes à intervalles réguliers pour tester notre application et notre infrastructure. En outre, des tests d’intrusion indépendants sont effectués chaque année par une société suisse externe de cybersécurité afin d’identifier toute vulnérabilité.
Peopleweek peut-il partager les résultats de ses tests de pénétration ?
Un rapport de synthèse peut être partagé avec les clients et les prospects sur demande.
Comment puis-je signaler un problème de sécurité à PeopleWeek ?
Envoyez un e-mail à admin@PeopleWeek .com
Comment PeopleWeek gère-t-il les incidents ?
La politique de gestion des incidents de PeopleWeek peut être partagée avec les clients et les prospects sur demande.
Qui chez PeopleWeek a accès aux données clients ?
L’accès aux données des clients est limité aux personnes dont le rôle exige qu’elles y aient accès afin de fournir les services et le soutien convenus au client. PeopleWeek utilise un certain nombre de protocoles de sécurité pour s’assurer que l’accès est sécurisé, notamment en limitant l’accès via un réseau d’entreprise et en utilisant une authentification multifactorielle.
Comment PeopleWeek s’assure-t-il que ses employés respectent les exigences légales en matière de protection des données ?
PeopleWeek forme régulièrement ses employés sur les thèmes de la sécurité de l’information et de la protection des données.
Que se passe-t-il s’il y a une violation de données chez peopleweek ?
Dans le cas peu probable d’une violation de données ou d’une violation potentielle de données, PeopleWeek suit sa politique de gestion des incidents. Notre politique de gestion des incidents comprend des protocoles sur la communication avec les clients et les autorités réglementaires.
Comment fonctionne l’authentification des utilisateurs ?
PeopleWeek propose deux types d’authentification utilisateur différents :
1) Se connecter en utilisant le login natif de PeopleWeek, qui est conforme aux protocoles de sécurité tels que les noms d’utilisateurs uniques, les mots de passe complexes et le support pour activer ou rendre obligatoire l’authentification à deux facteurs intégrée en utilisant des « Time-based One-Time Password » (TOTP). PeopleWeek dispose de sa propre application TOTP.
2) Azure Single Sign-On (SSO).
Qui a accès aux données du côté client et comment sont-elles séparées ?
PeopleWeek est conçu sur la base d’un accès basé sur les rôles, ce qui signifie que différentes données sont visibles en fonction du rôle de l’utilisateur, par exemple Employé, Manager, Manager RH global, Manager RH d’entité, Manager RH de département, Manager de note de frais, Manager de formation, Manager de conformité, Manager de recrutement, etc.
Comment PeopleWeek assure-t-il la disponibilité du système ?
PeopleWeek dispose d’une conception géo-redondante de l’infrastructure des serveurs par rapport aux données de production et aux sauvegardes, ainsi que de la sécurité physique des centres de données utilisés (par exemple, alimentation électrique ininterrompue, système d’alarme, systèmes de détection d’incendie, etc.)
Qu’advient-il des données du client en cas de défaillance totale du système (par exemple, en cas de force majeure) ?
Dans le cas peu probable d’une panne totale de PeopleWeek, 30 jours de données sauvegardées peuvent être restaurés.
Qui est propriétaire des données des clients dans PeopleWeek ?
Le client est le propriétaire et le contrôleur de ses données stockées dans PeopleWeek.
Que se passe-t-il dans le cas où un client met fin à son contrat avec PeopleWeek ?
Lors de la fin de la relation contractuelle, PeopleWeek remettra au client, dans un délai de 30 jours, ses données dans un format lisible par machine. Que se passe-t-il dans le cas où un client met fin à son contrat avec PeopleWeek ?