Dernière mise à jour: 6 / 1 / 2021

Les principales mesures de sécurité mises en œuvre par Jitterbit pour protéger les données des clients sont décrites dans cette annexe sur les mesures de sécurité de Jitterbit :

Politique de sécurité Jitterbit

Ce document sur les mesures de sécurité de Jitterbit (la « Politique de sécurité ») décrit les mesures administratives, techniques et physiques que Jitterbit prend pour protéger les données du client contre tout accès ou divulgation non autorisés. Jitterbit a été évalué pour répondre aux exigences des normes SOC 1, SOC 2, ISO 27001, US HIPAA Privacy and Security, California Consumer Privacy Act (CCPA) et les règles EU GDPR. Jitterbit a un plan de sécurité des informations écrit pour mettre en œuvre les termes de cette politique de sécurité qui est examiné et approuvé chaque année par son équipe de direction. Cette politique de sécurité est référencée et fait partie de votre contrat client avec Jitterbit (le « contrat »). En cas de conflit entre les termes du Contrat et la présente Politique de sécurité, la présente Politique de sécurité prévaudra en ce qui concerne son objet. Les termes en majuscules utilisés mais non définis dans la présente politique de sécurité ont la signification indiquée dans le contrat ou dans la documentation.

Confidentialité dès la conception : Jitterbit garde activement à l'esprit la protection des données et la confidentialité à chaque étape ; cela comprend les projets internes, le développement de produits, le développement de logiciels et les systèmes informatiques.

Confidentialité par défaut : Une fois que Jitterbit publie un produit ou un service au public, des paramètres de confidentialité stricts sont appliqués par défaut, sans aucune intervention manuelle de l'utilisateur. En outre, les données personnelles fournies par l'utilisateur pour permettre l'utilisation optimale d'un produit ne sont stockées, traitées et/ou transmises que pendant la durée nécessaire à la fourniture du produit ou du service, conformément aux normes définies.

1. Accès et gestion des données client

1.1 Le client contrôle l'accès à son compte dans l'application Jitterbit via des identifiants d'utilisateur, des mots de passe et une authentification à deux facteurs.
1.2 Le Personnel de Jitterbit n'a pas accès aux Données client non cryptées à moins que le Client ne donne accès à son compte Jitterbit à ce Personnel de Jitterbit. « Personnel de Jitterbit » désigne les employés de Jitterbit et les sous-traitants individuels autorisés par Jitterbit.
1.3 Jitterbit utilise les Données Client uniquement dans la mesure nécessaire pour fournir l'Application Jitterbit et l'assistance au Client, comme prévu dans le Contrat.
1.4 Les métadonnées de l'application cliente et du projet générées par l'application Jitterbit sont hébergées par Jitterbit uniquement dans l'environnement de production de l'application Jitterbit et uniquement dans la région d'où elles proviennent (c'est-à-dire que les données américaines restent aux États-Unis, les données européennes restent dans l'UE et les données APAC dans région APAC).
1.5 Jitterbit créera et maintiendra un ou des organigrammes indiquant comment les données client circulent dans l'application Jitterbit. Jitterbit fournira ce(s) diagramme(s) de flux à la demande raisonnable du Client.

2. Séparation logique des données client

2.1 Giguebit Harmony isole les données client en utilisant :

• Architecture de base de données sécurisée - base de données séparée et architecture de schéma séparée
• Connexions ou tables sécurisées – Connexions de base de données sécurisées
• Cryptage - obscurcit les données critiques afin qu'elles restent inaccessibles aux parties non autorisées même si elles en prennent possession. Veuillez consulter la section 16 pour plus de détails.
• Filtrage : Utilisation d'une couche intermédiaire entre un locataire et une source de données qui agit comme un tamis, faisant apparaître au client que ses données sont les seules données de la base de données.
• Listes de contrôle d'accès - pour déterminer qui peut accéder aux données dans l'application Jitterbit et ce qu'ils peuvent en faire.

3. Gestion de l'accès à l'infrastructure des applications Jitterbit

3.1 L'accès aux systèmes et à l'infrastructure qui prennent en charge l'Application Jitterbit est limité au Personnel de Jitterbit qui a besoin d'un tel accès dans le cadre de ses responsabilités professionnelles.
3.2 L'accès aux journaux du système et de l'application est limité au Personnel Jitterbit autorisé uniquement dans le but de prendre en charge, d'identifier les problèmes et d'améliorer l'Application Jitterbit.
3.2 Des identifiants d'utilisateur uniques, des mots de passe et des identifiants d'authentification à deux facteurs via une connexion VPN sont attribués au personnel de Jitterbit nécessitant un accès aux serveurs de Jitterbit qui prennent en charge l'application Jitterbit.
3.3 La politique de mot de passe du serveur pour l'application Jitterbit dans l'environnement de production dépasse les exigences de mot de passe PCI-DSS.
3.4 Les privilèges d'accès du personnel séparé de Jitterbit sont désactivés rapidement. Les privilèges d'accès des personnes transférées à des emplois nécessitant des privilèges réduits sont ajustés en conséquence.
3.5 L'accès des utilisateurs aux systèmes et à l'infrastructure qui prennent en charge l'Application Jitterbit est examiné tous les trimestres.
3.6 Les tentatives d'accès aux systèmes et à l'infrastructure qui prennent en charge l'Application Jitterbit sont enregistrées et surveillées par Jitterbit.
3.7 Les groupes de sécurité AWS ont des politiques de refus total par défaut et n'activent que les protocoles réseau requis par l'entreprise pour le trafic réseau de sortie et d'entrée.
3.8 Pare-feu – Jitterbit utilise un pare-feu de groupes de sécurité fourni par AWS derrière un équilibreur de charge pour contrôler l'accès et le trafic vers et depuis les hôtes d'infrastructure.
3.9 Détection d'intrusion - Jitterbit surveille son IDS Lacework.net

4. Gestion des risques

4.1 Le processus de gestion des risques de Jitterbit est calqué sur le NIST 800-30
4.2 Jitterbit effectue des évaluations des risques techniques et non techniques de divers types tout au long de l'année, y compris des évaluations et des tests par soi-même et par des tiers, des analyses automatisées et des examens manuels.
4.3 Les résultats des évaluations, y compris les rapports formels, le cas échéant, sont communiqués aux responsables de la sécurité de l'information et aux responsables de la protection des données. Un comité de sécurité se réunit toutes les deux semaines pour examiner les rapports, identifier les lacunes de contrôle et les changements importants dans l'environnement des menaces, et faire des recommandations pour des contrôles nouveaux ou améliorés et des stratégies d'atténuation des menaces à la haute direction.
4.4 Les modifications apportées aux contrôles et aux stratégies d'atténuation des menaces sont évaluées et hiérarchisées pour être mises en œuvre en fonction des risques.
4.5 Les menaces sont surveillées par divers moyens, y compris les services de renseignements sur les menaces, les notifications des fournisseurs et des sources publiques fiables.

5. Analyse des vulnérabilités et tests d'intrusion

5.1 Des analyses de vulnérabilité à l'aide d'outils de qualité commerciale sont automatiquement effectuées tous les trimestres et ad hoc sur les systèmes nécessaires au fonctionnement et à la gestion de l'application Jitterbit. La base de données des vulnérabilités est mise à jour régulièrement.
5.2 Des analyses qui détectent les vulnérabilités, répondant aux critères de risque définis par Jitterbit, sont effectuées régulièrement ; les notifications basées sur la priorité sont partagées avec le personnel de sécurité et traitées.
5.3 L'impact potentiel des vulnérabilités déclenchant des alertes est évalué par le personnel.
5.4 Les vulnérabilités qui déclenchent des alertes et ont publié des exploits sont signalées au Comité de sécurité, qui détermine et supervise les mesures correctives appropriées.
5.5 La gestion de la sécurité surveille ou s'abonne à des sources fiables de rapports de vulnérabilité et de renseignements sur les menaces. 5.6 Des tests de pénétration par un expert tiers indépendant sont effectués au moins une fois par an.
5.7 Les tests d'intrusion effectués par Jitterbit Security sont effectués régulièrement tout au long de l'année.
5.8 Giguebit Harmony le code est révisé par du personnel interne et externe à l'aide d'outils open source et de qualité commerciale. Les vulnérabilités découvertes se voient attribuer des niveaux de criticité et sont corrigées rapidement, en fonction du risque présenté et des options de correction.

6. Accès à distance et réseau sans fil

6.1 Tous les accès aux VPC Jitterbit (par exemple, les comptes de développement et de production) nécessitent une authentification via une connexion sécurisée via des méthodes approuvées telles que les VPN et appliquées avec une authentification mutuelle par certificat et une authentification à deux facteurs.
6.3 Les bureaux d'entreprise Jitterbit, y compris les réseaux LAN et Wi-Fi dans ces bureaux, sont considérés comme des réseaux non fiables et nécessitent une authentification réussie auprès du VPN dans les comptes AWS pour y accéder. Un seul membre de l'équipe de support informatique est autorisé à accéder à distance et en toute sécurité au réseau du bureau d'entreprise pour prendre en charge le pare-feu, phones et autres infrastructures.
6.4 Jitterbit maintient une politique de non-stockage des données client sur des ordinateurs de bureau locaux, des ordinateurs portables, des appareils mobiles, des lecteurs partagés, des supports amovibles, ainsi que sur des systèmes publics qui ne relèvent pas du contrôle administratif ou des processus de surveillance de la conformité de Jitterbit.

7. Emplacement de l'application Jitterbit

7.1 Les données client sont stockées dans les régions d'application Jitterbit disponibles : États-Unis, UE et AP ; le cloud américain ne se réplique pas avec le cloud EMEA (ou le cloud AP) ou vice versa. Chaque région à l'intérieur des États-Unis se réplique entre les autres régions des États-Unis.

8. Journalisation des événements système

8.1 Les outils et services de surveillance sont utilisés pour surveiller les systèmes, y compris le réseau, les événements de serveur et les événements de sécurité de l'API AWS, les événements de disponibilité et l'utilisation des ressources.
8.2 Infrastructure Jitterbit Les journaux d'événements de sécurité sont collectés dans un système central et protégés contre la falsification. Les journaux sont stockés pendant 12 mois.
8.3 Giguebit Harmony les journaux d'application sont collectés dans un système central et protégés contre la falsification. Les journaux sont stockés pendant 90 jours

9. Administration du système, prévention des logiciels malveillants et gestion des correctifs

9.1 Jitterbit a créé, mis en œuvre et maintient des procédures d'administration système pour les systèmes qui accèdent aux données client qui respectent ou dépassent les normes de l'industrie, y compris, sans s'y limiter, le renforcement du système, les correctifs du système et des appareils (système d'exploitation et applications) et l'installation appropriée du logiciel de détection des menaces, des logiciels malveillants la prévention et les mises à jour quotidiennes des signatures et heuristiques de celles-ci.
9.2 L'accès Internet des employés est audité avec un accès restreint aux sites sur liste noire.
9.3 Jitterbit Security examine chaque semaine les annonces de US-Cert et d'autres nouvelles vulnérabilités et évalue leur impact sur Jitterbit en fonction d'un critère de risque défini par Jitterbit, y compris l'applicabilité et la gravité.
9.4 Les US-Cert applicables et les autres mises à jour de sécurité classées comme « élevées » ou « critiques » sont traitées dans les 30 jours suivant la publication du correctif.

10. Formation à la sécurité Jitterbit et personnel Jitterbit

10.1 Jitterbit maintient un programme de sensibilisation à la sécurité pour le personnel de Jitterbit, qui fournit une formation initiale, une sensibilisation continue et une reconnaissance individuelle du personnel de Jitterbit de son intention de se conformer aux politiques de sécurité d'entreprise de Jitterbit. Les nouveaux employés suivent une formation initiale sur la sécurité, HIPAA, CCPA et GDPR, signent un accord sur les informations exclusives et signent numériquement la politique de sécurité des informations qui couvre les aspects clés de la politique de sécurité des informations de Jitterbit.
10.2 Tout le personnel de Jitterbit reconnaît qu'il est responsable de signaler les incidents ou problèmes de sécurité réels ou suspectés, les vols, les violations, les pertes et les divulgations non autorisées ou l'accès aux données client.
10.3 Tout le personnel de Jitterbit est tenu de suivre de manière satisfaisante une formation annuelle sur la sécurité. Des rappels périodiques et une formation proactive sur le phishing sont dispensés régulièrement.
10.4 Jitterbit effectue une vérification des antécédents criminels dans le cadre du processus d'embauche de Jitterbit, dans la mesure permise par la loi.
10.5 Jitterbit s'assurera que ses sous-traitants, fournisseurs et autres tiers qui ont un accès direct aux données client en relation avec les applications Jitterbit adhèrent aux normes de sécurité des données applicables telles que définies par Jitterbit dans la politique et les procédures, qui est une combinaison de normes ISO 27001/27002, NIST 800-53, CIS, CSA et CERT, HIPAA et GDPR.

11. Sécurité physique

11.1 L'Application Jitterbit est hébergée dans AWS et tous les contrôles de sécurité physiques sont gérés par AWS. Jitterbit examine le rapport AWS SOC 2 Type 2 chaque année pour garantir des contrôles de sécurité physique appropriés.

12. Notification d'atteinte à la sécurité

12.1 Une « Violation de la sécurité » est (a) l'accès non autorisé ou la divulgation des Données Client, ou (b) l'accès non autorisé aux systèmes de l'Application Jitterbit qui transmettent ou analysent les Données Client.
12.2 Jitterbit informera le Client par écrit sans retard injustifié dans les soixante-douze (72) heures suivant une violation de sécurité confirmée.
12.3 Cette notification décrira la faille de sécurité et l'état de l'enquête de Jitterbit. 12.4 Jitterbit prendra les mesures appropriées pour contenir, enquêter et atténuer la brèche de sécurité.

13. Reprise après sinistre

13.1 Jitterbit maintient un plan de reprise après sinistre ("DRP") pour les applications Jitterbit. Le DRP est testé annuellement. 13.2 L'Application Jitterbit est gérée dans différentes régions AWS en tant que déploiements autonomes, qui peuvent être utilisés dans le cadre de la stratégie DRP du Client. Pour utiliser efficacement la disponibilité interrégionale de l'Application Jitterbit à des fins de reprise après sinistre, le Client est responsable de ce qui suit :
13.2.1 Demander des comptes d'application Jitterbit supplémentaires dans différentes régions pour prendre en charge son programme DRP. 13.2.2 Gérer sa réplication de données dans les régions applicables.
13.2.3 Configurer et gérer ses comptes Jitterbit.
13.2.4 Gestion des stratégies de sauvegarde et de restauration.

14. Conformité à la sécurité de Jitterbit, certifications et attestations de tiers

14.1 Jitterbit engage des tiers accrédités pour effectuer des audits et attester de diverses conformités et certifications chaque année, notamment :
14.1.1 Rapport d'attestation SOC 2
14.1.2 Rapport d'attestation SOC 1
14.1.2 Rapport de conformité HIPAA pour les associés commerciaux
14.1.3 Rapport de conformité au RGPD
14.1.4 Résumé du rapport de test de pénétration
14.1.5 Résumé du rapport d'évaluation de la vulnérabilité
14.1.6 Rapport d'attestation ISO 27001
14.1.7 Rapport de conformité CCPA pour la loi californienne sur la confidentialité

15. Jitterbit Cloud et agent local

15.1 Giguebit Harmony Le cloud a été conçu avec les paramètres de sécurité les plus élevés à l'esprit afin que même les implémentations simples (exigences de sécurité inférieures) puissent tirer parti de cette haute sécurité "intégrée".
15.2 Jitterbit fournit une option de mise en œuvre (agent local) pour les clients qui choisissent de traiter des données sensibles en dehors de l'infrastructure cloud de Jitterbit et derrière leur propre pare-feu et réseau d'entreprise.

16. Chiffrement des données

16.1 Chiffrement des Données Client au repos sur Harmony: Harmony Les données cloud sont chiffrées au repos avec un algorithme AES-256 FIPS 140-2. Pour plus de détails, consultez le Jitterbit Harmony Livre blanc sur l'architecture et la sécurité sur : https://success.jitterbit.com/display/DOC/Jitterbit+Security+and+Architecture+White+Paper
16.2 Cryptage des Données Client en transit vers/depuis Harmony: Harmony Les données cloud sont chiffrées en transit à l'aide de HTTPS (TLS 1.2), SSH et/ou IPsecSsEC. Pour plus de détails, consultez le Jitterbit Harmony Livre blanc sur l'architecture et la sécurité sur :https://success.jitterbit.com/display/DOC/Jitterbit+Security+and+Architecture+White+Paper

17. Responsabilités du Client

17.1 Le Client est responsable de la gestion de ses propres comptes et rôles d'utilisateur au sein de l'Application Jitterbit et de la protection de son propre compte et des informations d'identification de l'utilisateur. Le client se conformera aux termes de son accord avec Jitterbit ainsi qu'à toutes les lois applicables.
17.2 Le Client informera rapidement Jitterbit si un identifiant d'utilisateur a été compromis ou si le Client soupçonne d'éventuelles activités suspectes qui pourraient avoir un impact négatif sur la sécurité de l'Application Jitterbit ou du compte du Client. Le client ne peut pas effectuer de tests d'intrusion de sécurité ou d'activités d'évaluation de la sécurité sans le consentement écrit préalable exprès de Jitterbit.
17.3 Pour les Applications Jitterbit qui ne sont pas hébergées par Jitterbit, le Client est responsable de la mise à jour de son Logiciel Client Jitterbit chaque fois que Jitterbit annonce une mise à jour.
17.4 Les Clients sont responsables de la gestion d'une stratégie de sauvegarde concernant les Données Client.
17.5 Les clients dont les données client incluent des données PCI, PHI, GDPR, PII ou d'autres données sensibles doivent mettre en œuvre la liste blanche IP fournie par Jitterbit et l'authentification multifacteur (MFA) dans l'application Jitterbit et envisager l'utilisation de l'agent local, avec une configuration de journalisation limitée supplémentaire. .