Jitterbit Mesures de sécurité

À compter du 8er décembre 2022

Dernière mise à jour: 20 février 2026

Les mesures de sécurité essentielles Jitterbit Les mesures mises en œuvre pour protéger les données des clients sont décrites dans ce document. Jitterbit Annexe sur les mesures de sécurité :

Aperçu

Ce Jitterbit Le document « Mesures de sécurité » (les « Mesures de sécurité ») décrit les mesures de protection administratives, techniques et physiques mises en œuvre par Jitterbit protéger les données client contre tout accès, divulgation, altération ou destruction non autorisés.

Ces mesures de sécurité soutiennent Jitterbitles obligations de l'entreprise en vertu des exigences légales, réglementaires et contractuelles applicables, y compris, mais sans s'y limiter, les normes SOC 1, SOC 2, ISO 27001, ISO 27017, ISO 27018, ISO 42001, HIPAA, RGPD, CCPA et NZISM.

Ce document fait partie de JitterbitLe cadre de sécurité et de confidentialité global de [Nom de l'entreprise] est mentionné dans les contrats clients applicables, notamment les accords de traitement des données (ATD) et les accords de partenariat commercial (APC). En cas de conflit entre ces mesures de sécurité et un contrat client, ce dernier prévaut pour ce qui le concerne.

Les termes en majuscules non définis dans le présent document ont la signification qui leur est attribuée dans l'accord ou la documentation applicable.

Confidentialité dès la conception et confidentialité par défaut

La protection de la vie privée dès la conception
Jitterbit intègre les considérations relatives à la confidentialité et à la protection des données tout au long du cycle de vie de ses produits et services, y compris les projets internes, le développement de logiciels, la conception d'infrastructures et les opérations informatiques.

Confidentialité par défaut
Jitterbit Les produits et services sont configurés par défaut avec des paramètres de protection de la vie privée. Les données personnelles sont collectées, traitées et conservées uniquement dans la mesure nécessaire à la fourniture du service, au respect des obligations contractuelles et à la conformité aux exigences légales et réglementaires.

1. Accès et gestion des données client

1.1 Les clients contrôlent l'accès à leurs Jitterbit Les comptes sont gérés par le biais d'identités d'utilisateurs, de contrôles d'accès basés sur les rôles et d'une authentification multifactorielle.

1.2 Jitterbit Le personnel n'accède pas aux données non chiffrées du client, sauf autorisation expresse de ce dernier, à des fins d'assistance, de dépannage ou d'exploitation.

1.3 Jitterbit traite les données client uniquement sur instruction du client, dans la mesure nécessaire pour fournir, maintenir et prendre en charge le Jitterbit Application conforme à l'accord applicable.

1.4 Métadonnées de l'application client et du projet générées par Jitterbit L'application est hébergée uniquement dans la région géographique d'où elle provient (Amérique du Nord, EMEA ou APAC), sauf accord contractuel contraire.

1.5 Jitterbit conserve des diagrammes de flux de données documentés décrivant comment les données client circulent à travers le système. Jitterbit L'application fournit ces schémas sur demande raisonnable.

2. Séparation logique des données client

Jitterbit assure la séparation logique des données client grâce à des contrôles techniques multicouches, notamment :

  • Architectures de bases de données segmentées avec des schémas séparés
  • Connexions de service à service fiables et authentifiées
  • Cryptage des données sensibles
  • Couches de filtrage logique entre les locataires et les ressources partagées
  • Mécanismes de contrôle d'accès pour restreindre l'accès aux données en fonction de l'identité et du rôle

 

3. Gestion des accès à l'infrastructure applicative

3.1 Accès aux systèmes et infrastructures supportant Jitterbit L'application est réservée au personnel autorisé en fonction de ses responsabilités professionnelles et du principe du moindre privilège.

3.2 L’accès aux journaux système et d’application est limité au personnel autorisé à des fins de support opérationnel, de dépannage et de surveillance de la sécurité.

3.3 L’accès administratif nécessite des identifiants utilisateur uniques, une authentification forte et une authentification multifactorielle sur des connexions sécurisées.

3.4 Les normes relatives aux mots de passe des serveurs et de l'infrastructure respectent ou dépassent les exigences reconnues du secteur.

3.5 Les privilèges d'accès sont rapidement révoqués ou ajustés en cas de cessation d'emploi ou de changement de rôle du personnel.

3.6 L’accès des utilisateurs à l’infrastructure de production est examiné périodiquement.

3.7 Les tentatives d'accès et les actions administratives sont enregistrées et surveillées.

3.8 L'accès au réseau est restreint à l'aide de configurations de groupe de sécurité de type « refuser par défaut ».

3.9 Les pare-feu et les contrôles de segmentation du réseau sont utilisés pour restreindre le trafic entrant et sortant.

3.10 Les outils de détection et de surveillance des intrusions sont utilisés pour détecter les activités suspectes ou anormales.

4. Gestion des risques

4.1 Jitterbit maintient un programme formel de gestion des risques aligné sur des cadres reconnus, tels que le NIST.

4.2 Des évaluations des risques techniques et non techniques sont menées tout au long de l'année, y compris des analyses automatisées, des examens internes et des évaluations et tests d'intrusion réalisés par des tiers.

4.3 Les résultats de l’évaluation sont examinés par la direction de la sécurité et de la confidentialité et suivis grâce à des processus de remédiation définis.

4.4 Les risques identifiés sont priorisés et traités à l’aide de stratégies de remédiation basées sur les risques.

4.5 Les sources de renseignements sur les menaces sont surveillées afin d’identifier les menaces et les vulnérabilités émergentes.

5. Analyse des vulnérabilités et tests d'intrusion

5.1 Des analyses de vulnérabilité automatisées sont effectuées régulièrement sur les systèmes prenant en charge Jitterbit Application.

5.2 Les vulnérabilités détectées sont évaluées en fonction de leur gravité, de leur exploitabilité et de leur impact sur l'activité.

5.3 Les vulnérabilités répondant aux seuils de risque définis sont prioritaires pour la correction.

5.4 Des tests d'intrusion indépendants effectués par des tiers sont réalisés au moins une fois par an.

5.5 Des activités de tests de sécurité internes et de revue de code sont effectuées régulièrement.

5.6 Les pratiques de développement sécurisé comprennent la gestion des dépendances, les tests statiques et dynamiques, et le suivi des corrections.

6. Accès à distance et sécurité des terminaux

6.1 L'accès administratif aux environnements cloud nécessite des connexions sécurisées et une authentification forte.

6.2 Les données client ne sont pas stockées sur les appareils locaux des employés, sauf si cela est explicitement requis et protégé par des contrôles appropriés.

6.3 La protection des terminaux, le renforcement des dispositifs et les contrôles de surveillance sont appliqués sur Jitterbit-appareils gérés.

7. Emplacement de l'application et résidence des données

7.1 Les données client sont stockées dans des emplacements désignés. Jitterbit Régions d'application (États-Unis, UE, Asie-Pacifique).

7.2 Les environnements de production sont conçus pour empêcher la réplication interrégionale non autorisée.

7.3 Les configurations de reprise après sinistre respectent les exigences de résidence des données, sauf accord contractuel contraire.

8. Journalisation et surveillance des événements système

8.1 Les outils de surveillance collectent les événements liés à l'infrastructure, aux applications et à la sécurité.

8.2 Les journaux sont centralisés, protégés contre toute falsification et leur accès est contrôlé.

8.3 Les périodes de conservation des journaux sont définies en fonction de la criticité du système, des exigences réglementaires et des besoins opérationnels.

9. Administration système, prévention des logiciels malveillants et gestion des correctifs

9.1 Les systèmes sont renforcés conformément aux meilleures pratiques de l'industrie.

9.2 Les systèmes d'exploitation et les applications sont régulièrement mis à jour.

9.3 Des contrôles de détection et de prévention des logiciels malveillants sont déployés et maintenus.

9.4 Les vulnérabilités à haut risque sont prioritaires pour la correction selon des délais définis.

10. Formation à la sécurité et contrôle du personnel

10.1 Tout le personnel reçoit une formation en matière de sécurité et de confidentialité lors de son embauche et au moins une fois par an.

10.2 Le personnel reconnaît sa responsabilité de signaler les incidents de sécurité suspectés.

10.3 Des activités de sensibilisation périodiques, y compris des simulations d’hameçonnage, sont menées.

10.4 Une vérification des antécédents est effectuée lorsque la loi le permet.

10.5 Les tiers ayant accès aux données du client sont contractuellement tenus de respecter Jitterbit normes de sécurité.

11. Sécurité physique

Le 11.1 Jitterbit L'application est hébergée par des fournisseurs de services cloud qui assurent des contrôles de sécurité physique et possèdent des certifications indépendantes.

11.2 Jitterbit examine annuellement les rapports d'assurance pertinents provenant de tiers.

12. Notification d'atteinte à la sécurité

12.1 Une violation de sécurité comprend l’accès non autorisé aux données du client ou leur divulgation, ou l’accès non autorisé aux systèmes traitant les données du client.

12.2 Jitterbit notifie sans délai indu les clients concernés, conformément aux exigences contractuelles et réglementaires.

12.3 Les notifications comprennent les détails pertinents concernant l’incident et les mesures de réponse.

12.4 Jitterbit enquête, contient et atténue les incidents de sécurité en utilisant des procédures de réponse aux incidents établies.

13. Reprise après sinistre et continuité des activités

13.1 Jitterbit maintient des plans documentés de reprise après sinistre et de continuité des activités.

13.2 Les capacités de reprise après sinistre sont testées périodiquement.

13.3 Il incombe aux clients de configurer leurs propres stratégies de sauvegarde et interrégionales, le cas échéant.

14. Conformité et assurance en matière de sécurité

Jitterbit effectue des évaluations et des certifications indépendantes, qui peuvent inclure :

  • Rapports SOC 1 et SOC 2
  • Certification ISO 27001 (couvrant également les annexes ISO 27017 et ISO 27018)
  • Certification ISO 42001
  • Conformité HIPAA pour les obligations des partenaires commerciaux
  • Programmes de conformité au RGPD, au CCPA, au LGPD et au NZISM
  • Tests d'intrusion et évaluations de vulnérabilité indépendants

15. Déploiement d'agents dans le cloud et en local

15.1 Jitterbit Cloud est conçu avec des contrôles de sécurité robustes activés par défaut.

15.2 Les options de déploiement de l'agent local permettent aux clients de traiter des données sensibles dans leurs propres environnements.

16. Chiffrement des données

16.1 Les données client au repos sont chiffrées à l'aide d'algorithmes de chiffrement AES conformes aux normes de l'industrie.

16.2 Les données client en transit sont protégées à l'aide de protocoles de communication sécurisés tels que TLS.

17. Contrôles de sécurité de l'intelligence artificielle

17.1 Jitterbit applique des mesures de sécurité supplémentaires aux fonctionnalités et systèmes utilisant l'IA.

17.2 Les modèles, configurations et ensembles de données d’IA sont soumis à un contrôle d’accès et protégés contre toute modification ou extraction non autorisée.

17.3 Les données relatives à l'IA sont classées et traitées conformément à Jitterbit normes de protection des données.

17.4 Les systèmes d'IA sont surveillés en matière de sécurité, d'intégrité et d'anomalies opérationnelles.

17.5 Les pratiques de gouvernance de l’IA s’alignent sur les normes émergentes, notamment l’ISO 42001, et mettent l’accent sur la surveillance humaine, la responsabilité et l’utilisation responsable.

17.6 Les systèmes d'IA n'utilisent aucune donnée client pour entraîner les modèles LLM.

17.7 Agents d'IA et flux de travail autonomes
Jitterbit Les agents d'IA et les flux de travail autonomes fonctionnent dans un cadre défini afin de garantir un comportement sécurisé, auditable et responsable. Les clients restent responsables du traitement des données et conservent la possibilité d'utiliser leurs propres modèles de langage à grande échelle (LLM) ou leurs fournisseurs d'IA préférés. JitterbitLe cadre de connectivité de [Nom de l'entreprise] garantit que les agents d'IA sont soumis à des contrôles stricts d'identité, d'authentification et d'autorisation, leurs permissions étant limitées aux actions minimales requises. Toute activité des agents est enregistrée, surveillée et auditable. Il est interdit aux agents d'IA d'accéder aux données client, de les traiter ou de les exfiltrer en dehors des cas d'utilisation explicitement autorisés. Les actions automatisées effectuées par les agents d'IA sont conçues avec une supervision humaine, des points de contrôle d'approbation lorsque cela est approprié et des mécanismes de sécurité intégrés afin de prévenir tout résultat imprévu ou préjudiciable. La sécurité, l'intégrité des données et la conformité des agents d'IA font l'objet d'une évaluation continue. Jitterbitnormes de gouvernance de l'IA, de protection des données et de gestion des risques.

18. Modèle de responsabilité partagée

La sécurité est une responsabilité partagée entre Jitterbit et ses clients. Tandis que Jitterbit met en œuvre des contrôles de sécurité robustes sur la plateforme ; les clients sont responsables de :

  • Gestion des accès et des identifiants des utilisateurs
  • Configurer les paramètres de sécurité de leurs comptes
  • Gestion de leurs propres stratégies de sauvegarde et de récupération des données

Avoir des questions? Nous sommes ici pour aider.

Contactez-Nous