Centre de gestion de la confidentialité ThoughtSpot

La confiance est primordiale pour la réussite des partenariats commerciaux.
C'est pourquoi ThoughtSpot s'engage à faire de la sécurité,
de la confidentialité et de la conformité ses priorités absolues.


Contrôle par les clients

Définissez vos propres politiques sur les utilisateurs et les rôles, les fonctionnalités de sécurité et les ensembles de données interrogeables.
En savoir plus

Architecture à sécurité maximale

L'architecture de ThoughtSpot Cloud est conçue de bout en bout pour une sécurité maximale des données.
En savoir plus

Gouvernance, risques et conformité

ThoughtSpot se conforme aux réglementations du secteur et mène régulièrement une évaluation de ses risques.
En savoir plus

Sécurité d'entreprise

Ayez l'esprit tranquille en sachant que nos procédures, processus et datacenters assurent la sécurité de vos données en toutes circonstances.
En savoir plus

Confidentialité

Des politiques de gestion des données client sûres et conformes aux règlementations sur la confidentialité des données.
En savoir plus

Politiques et conditions

Nos politiques et nos conditions juridiques posent les principes de nos engagements en matière de sécurité et de confidentialité des données.
En savoir plus

Contrôle par les clients

ThoughtSpot Cloud propose des commandes pour appliquer vos
politiques de gouvernance des données et vos règles d'accès.

Connectivité des données

Connectez-vous aux datawarehouses de votre choix pour exécuter des requêtes en temps réel sans déplacer vos données.

Sélection des données

Sélectionnez uniquement les tables et colonnes de données sources pertinentes à des fins d'analyse.

Privilèges

Définissez des utilisateurs, des rôles et des privilèges avec des accès différenciés et les actions qu'ils peuvent réaliser.

Partage de contenu

Attribuez des privilèges d'utilisateur pour partager du contenu, avec la possibilité de révoquer l'accès au contenu précédemment partagé si nécessaire.

Règles de sécurité des données

Définissez des règles de sécurité granulaires au niveau des objets, des colonnes et des lignes pour contrôler ce que les utilisateurs sont autorisés à voir.

Suppression de données.

Les données qui ne sont plus nécessaires sur un tableau d'affichage ou une réponse actualisés sont supprimées de manière proactive.


Architecture à sécurité maximale

La sécurité de vos données est notre priorité absolue.

Isolement des locataires

Les locataires sont entièrement isolés afin d'empêcher toute fuite de données et d'offrir d'une protection contre les accès non autorisés.

Politique Zero Trust

Plusieurs services assurent la surveillance, la détection et la protection face aux vecteurs d’attaque courants.

Chiffrement des données

Prise en charge complète du chiffrement de données au repos et en transit, grâce à l'utilisation du chiffrement AES 256 bits et de clés uniques pour chaque client.

Infrastructure cloud AWS

ThoughtSpot Cloud fonctionne sur l'infrastructure cloud la plus sécurisée du secteur, dans AWS.

Analyses à la source

Vos données restent stockées dans le datawarehouse de votre choix, et les requêtes sont exécutées en temps réel, dans la base de données. Aucun déplacement de données n'est requis.

Gouvernance des données

Des règles d'accès granulaires au niveau des objets, des tables, des colonnes et des lignes contrôlent ce que les utilisateurs sont autorisés à voir. Les privilèges déterminent les actions que les utilisateurs peuvent effectuer.

Authentification

ThoughtSpot prend en charge l'authentification multifacteurs et le protocole LDAP, et s'intègre à divers fournisseurs d'identité via SAML.

Journaux d'audit des activités

Vous avez accès aux journaux de connexion et d'activité des utilisateurs, qui sont sécurisés et surveillés pour détecter les anomalies.

Accès administrateur

Les privilèges d'accès des employés de ThoughtSpot sont basés sur les exigences du poste, selon le principe du moindre privilège, et sont révoqués en cas de cessation d'emploi. Les droits d'accès sont revus deux fois par an.

Accès à l'infrastructure

L'accès à l'infrastructure comprend des contrôles appropriés des comptes utilisateurs et des autorisations, ce qui nécessite l'utilisation de connexions VPN sécurisées, d'une authentification à deux facteurs, de mots de passe complexes et de règles de verrouillage des comptes.

Contrôle de l'assistance

ThoughtSpot est là pour vous aider lorsque vous en avez besoin. Vous contrôlez le niveau d'accès que vous souhaitez accorder à notre équipe d'assistance, ainsi que la manière dont vous souhaitez communiquer avec nous.

Résiliation de compte

Toutes les données ainsi que l'instance locataire sont supprimées à la résiliation ou à l'expiration du contrat ou du formulaire de commande.


Gouvernance, risques et conformité

ThoughtSpot se conforme aux réglementations du secteur
et mène régulièrement une évaluation de ses risques.

Certification ISO 27001

La certification ISO/IEC 27001:2013 définit les bonnes pratiques et les contrôles de sécurité à mettre en place pour établir, mettre en œuvre, maintenir et améliorer en permanence un système de gestion de la sécurité de l'information (SGSI). L'objectif est d'aider les organisations à sécuriser leurs actifs informationnels. Elle garantit l'adaptation de notre SGSI aux nouvelles menaces en matière de sécurité, une exigence vitale dans un univers informatique en constante évolution. ThoughtSpot se soumet à un audit de recertification tous les trois ans, et à un audit de surveillance annuel. Le certificat de ThoughtSpot est disponible ici.

SOC 2 et SOC 3

ThoughtSpot a passé avec succès l'audit Service Organization Control (SOC) 2 Type II. Le rapport SOC 2 vérifie l'adéquation de la conception et l'efficacité opérationnelle des pratiques, politiques, procédures et opérations de sécurité des informations de ThoughtSpot pour répondre aux normes de sécurité, de disponibilité et de confidentialité.

Un rapport public SOC 3 démontrant que ThoughtSpot a satisfait aux principes et critères de sécurité, de disponibilité, d’intégrité du traitement et de confidentialité des données de l’AICPA (American Institute of Certified Public Accountants) est disponible ici.

Conformité HIPAA

ThoughtSpot est conforme à la loi Health Insurance Portability and Accountability (HIPAA) de 1996 sur la protection des données médicales et veille à limiter l'accès aux données confidentielles et à protéger les informations relatives aux patients. Un addendum relatif au rôle de partenaire commercial de ThoughtSpot est disponible en cas de besoin. Pour comprendre comment les contrôles de sécurité dans ThoughtSpot Analytics Cloud répondent aux exigences HIPAA en matière de sécurité et de confidentialité, veuillez consulter le livre blanc sur l'infrastructure de sécurité et la réglementation HIPAA.

Normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS)

ThoughtSpot ne stocke pas ni ne traite les informations des titulaires de cartes et ne se qualifie pas en tant que processeur, marchand ou fournisseur de services comme décrit dans les normes de sécurité des données de l’industrie des cartes de paiement. Bien que ThoughtSpot n’entre pas dans le champ d’application de la norme PCI DSS, notre programme de sécurité actuel répond déjà à bon nombre de ses préoccupations. Au fur et à mesure de l’évolution de notre programme et de nos processus de sécurité, nous continuerons à évaluer les avantages d’une mise en conformité. Étant donné que les configurations et l’utilisation de ThoughtSpot relèvent de votre responsabilité, la conformité à la norme PCI DSS (ainsi que la sécurité et la confidentialité en général) est une responsabilité partagée entre ThoughtSpot et vous.

Gestion des risques

ThoughtSpot procède à l'évaluation régulière des risques liés à la sécurité des informations dans le cadre d'un programme de gouvernance des risques qui teste, évalue et mesure régulièrement l'efficacité du programme de sécurité. Ces évaluations identifient et analysent l'impact des risques, et mettent en œuvre des stratégies de réduction ou d'atténuation des risques pour prendre en compte les nouvelles technologies de sécurité, les modifications des pratiques standard du secteur et l'évolution des menaces pour la sécurité. Ce programme relatif aux risques est contrôlé chaque année par un organisme tiers indépendant.

Gestion des vulnérabilités

ThoughtSpot réalise une évaluation trimestrielle des risques de sécurité afin d'identifier les menaces qui pèsent sur les informations, de déterminer les vulnérabilités potentielles et de prendre des mesures correctives. Des correctifs logiciels sont régulièrement déployés sur les instances des clients afin de remédier aux vulnérabilités connues.

Gestion des vulnérabilités des fournisseurs

Lorsque des vulnérabilités logicielles sont détectées et corrigées par un correctif proposé par un fournisseur, ThoughtSpot se procure ledit correctif auprès du fournisseur concerné et l'applique dans un délai approprié, conformément à sa procédure opératoire standard de gestion des vulnérabilités et des correctifs de sécurité en vigueur à ce moment-là, et uniquement après l'avoir testé et avoir déterminé qu'il pouvait être installé en toute sécurité dans tous les systèmes de production.

Évaluation STAR de la Cloud Security Alliance (CSA)

Le registre STAR (Security, Trust, Assurance and Risk) est un registre accessible au grand public qui documente les contrôles de sécurité et de confidentialité fournis par les offres de cloud computing les plus populaires. STAR couvre les principes clés de la transparence, des audits menés avec rigueur et de l'harmonisation des normes tel que décrit dans la matrice Cloud Controls Matrix (CCM). ThoughSpot a rempli le questionnaire Consensus Assessments Initiative Questionnaire (CAIQ) de la CSA, disponible pour téléchargement ici. Ce document sera mis à jour régulièrement.

Divulgation responsable d'une vulnérabilité potentielle

Chez ThoughtSpot, nous prenons au sérieux la sécurité de nos systèmes, de nos produits et de nos informations confidentielles. Nous encourageons les chercheurs en sécurité à nous contacter pour nous signaler les vulnérabilités potentielles identifiées dans tout système, produit ou actif de ThoughtSpot, et nous apprécions leurs commentaires.

Les vulnérabilités potentielles et autres problèmes de sécurité peuvent être signalés à l'adresse [email protected] avec la mention « Responsible Disclosure » en objet. Pour nous permettre de répondre le plus efficacement possible à votre signalement, veuillez fournir tout document pertinent, et décrire les étapes claires et concises qui permettent de reproduire le problème, afin de nous aider à comprendre la nature et la gravité de la vulnérabilité.

Veuillez noter que ThoughtSpot n'autorise aucune tentative de pénétration, d'attaque ou d'audit actif de notre infrastructure, que ce soit par des moyens automatisés ou manuels.

Pour plus d'informations sur la divulgation responsable de vulnérabilités potentielles, rendez-vous ici.


Sécurité d'entreprise

Les procédures, processus et datacenters de ThoughtSpot
assurent la sécurité de vos données en toutes circonstances.

Datacenter sécurisé

Les datacenters cloud modernes de ThoughtSpot sont
conçus pour être évolutifs et élastiques.

Sécurité maximale

ThoughtSpot sécurise ses bâtiments et ses espaces de travail contre tout accès non autorisé afin de protéger son personnel, ses actifs et ses données. Tous les employés de ThoughtSpot, ainsi que les sous-traitants et les tiers justifiant d'un besoin professionnel légitime d'accéder physiquement aux installations de ThoughtSpot, doivent se conformer aux exigences de sécurité afin de garantir une sécurité maximale.

Redondance

Les datacenters de ThoughtSpot sont conçus pour anticiper et tolérer les pannes tout en maintenant les niveaux de service. En cas de panne, des processus automatisés détournent le trafic de la zone affectée et la capacité est suffisante pour équilibrer la charge du trafic avec les sites restants.

Disponibilité

Les composants système essentiels sont sauvegardés en plusieurs emplacements cloisonnés et sont conçus pour fonctionner indépendamment avec une grande fiabilité. Les systèmes hautement résilients offrent les plus hauts niveaux de disponibilité du service et, en cas de panne, permettent aux clients de respecter des objectifs de temps de récupération et de point de récupération extrêmement courts.

Planification des capacités

L'utilisation du service est surveillée en permanence afin de tenir nos engagements et nos exigences en matière de disponibilité. De plus, elle est mesurée au moins une fois par mois par rapport à un modèle de planification de la capacité. Ce modèle permet de planifier les demandes futures en tenant compte de considérations telles que le traitement de l'information, les télécommunications et le stockage des journaux d'audit.

Personnel sûr

Les employés de ThoughtSpot sont dûment contrôlés et formés pour garantir
la conformité aux contrôles de sécurité et de confidentialité.

Accès

Tous les employés qui ont besoin d'accéder au datacenter doivent d'abord faire une demande d'accès et fournir un motif professionnel valable. Ces demandes sont accordées selon le principe du moindre privilège et sont revues régulièrement.

Vérification des antécédents

ThoughtSpot vérifie les antécédents de tous les employés conformément aux lois et règlements en vigueur, et proportionnellement aux impératifs de l'entreprise, au caractère sensible des informations à consulter et aux risques perçus, conformément à la politique de vérification des antécédents de ThoughtSpot.

Formation à la sécurité

ThoughtSpot dispense une formation à la sécurité pour aider les employés à éviter de créer des risques excessifs. Les employés doivent suivre une formation sur la sécurité des informations dans un délai raisonnable après leur embauche, puis tous les trimestres. ThoughtSpot conserve les registres de présence et les copies du matériel de formation afin de s'assurer que celle-ci a bien été suivie avant qu'un employé soit autorisé à accéder aux systèmes.

Sécurité des données client

ThoughtSpot veille à la sécurité et à la confidentialité de vos données.

Chiffrement

Toutes les données circulant sur le réseau mondial qui interconnecte nos datacenters et nos régions sont automatiquement chiffrées avant de quitter nos installations sécurisées. AWS fournit des outils qui permettent à ThoughtSpot de chiffrer facilement vos données en transit et au repos afin de garantir que seuls les utilisateurs autorisés y ont accès. Les clés de chiffrement sont gérées par AWS Key Management Service (KMS) ou CloudHSM à l'aide de HSM validés FIPS 140-2 niveau 3.

Localisation des données

ThoughtSpot peut vous fournir le contrôle et la visibilité dont vous avez besoin pour vous conformer aux lois et règlementations régionales et locales sur la confidentialité des données. La conception de l'infrastructure mondiale d'AWS vous permet de conserver un contrôle total sur les régions dans lesquelles vos données sont physiquement situées, vous aidant ainsi à respecter les exigences en matière de résidence des données.

Sécurité au niveau des lignes

La sécurité au niveau des lignes (RLS) vous permet de limiter l'accès d'un groupe au niveau d'une ligne de table. Une fois qu'une règle est définie, lorsqu'un membre du groupe effectue une recherche, affiche une réponse ou manipule des données, ThoughtSpot évalue l'accès de cet utilisateur par rapport aux règles et empêche l'affichage des données restreintes. Ainsi, les utilisateurs ne voient que les données qu'ils sont autorisés à voir.

Cycle de développement des logiciels sécurisé

ThoughtSpot maintient des politiques et des procédures sécurisées de développement d'applications, alignées sur les pratiques standard du secteur, telles que le Top Ten de l'OWASP. Toutes les personnes chargées de la conception et du développement sécurisés des applications reçoivent une formation appropriée concernant les pratiques de ThoughtSpot en la matière. ThoughtSpot effectue une série de tests statiques et dynamiques ainsi qu'une analyse du code, et corrige les vulnérabilités prioritaires avant chaque lancement.


Confidentialité

Des politiques de gestion des données client sûres et
conformes aux règlementations sur la confidentialité des données.

Conformité au RGPD

ThoughtSpot est parfaitement conforme au Règlement général sur la protection des données (RGPD) de l'Union européenne. L'addendum relatif au traitement des données de ThoughtSpot intègre des mécanismes de transfert approuvés par l'UE, à savoir les clauses contractuelles standard de la Commission européenne. Les clients peuvent se reposer sur ces protections pour transférer des données à caractère personnel depuis l'UE en utilisant nos services. Pour plus d'informations sur le RGPD, rendez-vous ici. La liste des sous-traitants autorisés à traiter des données à caractère personnel pour chacune des applications SaaS pertinentes de ThoughtSpot est disponible ici.

Bouclier de protection des données (Privacy Shield)

Même si ThoughtSpot ne prend pas le Bouclier de protection des données UE-États-Unis pour base juridique pour le transfert de données personnelles à la lumière de l'arrêt de la Cour de justice de l'UE dans l'affaire C-311/18, nous restons attachés aux principes de sécurité et de protection des données dudit Bouclier et nous auto-certifions notre engagement à respecter des exigences. Les engagements de ThoughtSpot à respecter les principes du Bouclier de protection des données sont consultables sur le site Internet du Cadre de protection des données et dans la Politique relative au Cadre de protection des données.

Politique de confidentialité

ThoughtSpot met en œuvre une politique de confidentialité qui couvre la collecte, l'utilisation et la divulgation d'Informations personnelles obtenues par l'intermédiaire des sites Internet ThoughtSpot ; dans le cadre de l'achat et de l'utilisation de nos produits, et des services d'assistance et professionnels connexes ; et dans le cadre d'événements que nous organisons et au cours desquels nous collectons des informations auprès des inscrits et des participants.

Politique relative aux cookies

ThoughtSpot utilise à la fois des cookies de session et des cookies persistants. Les cookies de session ont une existence qui se limite à la durée de votre session Web et expirent lorsque vous fermez votre navigateur Internet. Les cookies persistants subsistent dans les sous-dossiers de votre navigateur jusqu'à ce que vous les supprimiez manuellement ou jusqu'à ce que votre navigateur les supprime, conformément à la limitation de durée spécifiée par chaque cookie.

Transferts internationaux de données personnelles après Schrems II

Conformément à l'arrêt rendu le 16 juillet 2020 par la Cour de justice de l'Union européenne (C-311/18, dit arrêt « Schrems II »), nous avons cessé de nous appuyer sur nos certifications relatives au Bouclier de protection des données UE-États-Unis et Suisse-États-Unis comme base juridique pour les transferts internationaux de données de l'EEE ou de la Suisse vers les États-Unis. Nous continuerons à adhérer aux principes des Boucliers de protection des données UE-États-Unis et Suisse-États-Unis pour toutes les informations personnelles transférées aux États-Unis sur la base de ces certifications avant le 16 juillet 2020.

ThoughtSpot s'appuie sur des clauses contractuelles types pour le transfert de données personnelles soumises à la législation de l'UE, en provenance et à destination de ses clients et de ses sous-traitants. Conformément à la décision rendue dans l'affaire Schrems II et aux précisions fournies par les autorités de contrôle de l'UE, ThoughtSpot associe son utilisation des clauses contractuelles types à des mesures de protection techniques et organisationnelles, en fonction des transferts concernés. Vous trouverez plus d'informations sur la réponse de ThoughtSpot aux règles Schrems II ici.

Nous ne vendons pas vos données

ThoughtSpot ne vend pas vos données, ne les exploite pas et n'y accède pas à des fins publicitaires. ThoughtSpot s'engage également contractuellement à ce que ses employés et ses sous-traitants agréés et vérifiés n'aient accès aux données des clients qu'en cas de stricte nécessité.


Politiques et conditions

Les politiques et conditions juridiques de ThoughtSpot posent les
principes de ses engagements en matière de sécurité et de confidentialité des données.

Politique de confidentialité

ThoughtSpot s'engage à protéger la vie privée d'autrui, y compris dans le cadre de son utilisation des cookies de navigateur.

Politique relative aux cookies

Cette politique décrit les informations que nous recueillons par des moyens automatiques en exploitant des outils de collecte d'informations sur le site Web de ThoughtSpot.

Abonnement et contrats de licence

Les obligations de ThoughtSpot à l'égard des abonnés et des détenteurs de licence figurent sur cette page.

Addendum relatif au traitement des données

Pour les clients mettant des données à la disposition de ThoughtSpot au titre du RGPD, l'addendum relatif au traitement des données peut être contresigné pour imposer des engagements supplémentaires à ThoughtSpot.

Engagement contre la traite d'êtres humains et l'esclavage

ThoughtSpot s'engage à agir de manière éthique et responsable, et à lutter contre le travail forcé.

Licences de logiciels tiers

ThoughtSpot se conforme aux exigences d'attribution des licences tierces.

Politique relative au Cadre de protection des données UE-États-Unis

Document décrivant les engagements de ThoughtSpot à respecter les principes du Cadre de protection des données pour le transfert sécurisé de données personnelles vers les États-Unis.

Avis de confidentialité applicable aux candidats

Document fournissant des informations sur nos pratiques en matière de protection et de traitement des données aux candidats qui postulent à des postes vacants au sein de notre société.