Centre de gestion de la
confidentialité ThoughtSpot

La certification ISO 27001

La certification ISO/IEC 27001:2013 spécifie les bonnes pratiques et les contrôles de gestion de la sécurité dans l’entreprise pour la mise en œuvre, la maintenance et l’amélioration continue d’un système de gestion de la sécurité de l’information (SGSI), dont l’objectif est d‘aider les entreprises à mieux sécuriser les informations qu’elles détiennent. Cette certification garantit que notre SGSI peut faire face aux menaces de sécurité potentielles, point essentiel dans notre monde où la sécurité informatique est en constante. ThoughtSpot se soumet à un audit de re-certification tous les trois ans, y compris un audit de surveillance annuel. Le certificat de ThoughtSpot se trouve ici.

SOC 2 & SOC3

ThoughtSpot a passé avec succès l'audit Service Organization Control (SOC) 2 Type II. Le rapport SOC 2 vérifie l'adéquation de la conception et l'efficacité opérationnelle des pratiques, politiques, procédures et opérations de sécurité des informations de ThoughtSpot pour répondre aux normes de sécurité, de disponibilité et de confidentialité.

Un rapport public SOC 3 démontrant que ThoughtSpot a satisfait aux principes et critères de sécurité, de disponibilité, d’intégrité du traitement et de confidentialité des données de l’AICPA (American Institute of Certified Public Accountants) est disponible ici.

Conformité HIPAA

ThoughtSpot est conforme à la loi HIPAA et veille à limiter l'accès aux données confidentielles et à protéger les informations relatives aux patients. Un addendum relatif au rôle de partenaire commercial de ThoughtSpot est disponible en cas de besoin.

Normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS)

ThoughtSpot ne stocke pas ni ne traite les informations des titulaires de cartes et ne se qualifie pas en tant que processeur, marchand ou fournisseur de services comme décrit dans les normes de sécurité des données de l’industrie des cartes de paiement. Bien que ThoughtSpot n’entre pas dans le champ d’application de la norme PCI DSS, notre programme de sécurité actuel répond déjà à bon nombre de ses préoccupations. Au fur et à mesure de l’évolution de notre programme et de nos processus de sécurité, nous continuerons à évaluer les avantages d’une mise en conformité. Étant donné que les configurations et l’utilisation de ThoughtSpot relèvent de votre responsabilité, la conformité à la norme PCI DSS (ainsi que la sécurité et la confidentialité en général) est une responsabilité partagée entre ThoughtSpot et vous.

Gestion des risques

ThoughtSpot procède à l'évaluation régulière des risques liés à la sécurité des informations dans le cadre d'un programme de gouvernance des risques qui teste, évalue et mesure régulièrement l'efficacité du programme de sécurité. Ces évaluations identifient et analysent l'impact des risques, et mettent en œuvre des stratégies de réduction ou d'atténuation des risques pour prendre en compte les nouvelles technologies de sécurité, les modifications des pratiques standard du secteur et l'évolution des menaces pour la sécurité. Ce programme relatif aux risques est contrôlé chaque année par un organisme tiers indépendant.

Gestion des vulnérabilités

ThoughtSpot réalise une évaluation trimestrielle des risques de sécurité afin d'identifier les menaces qui pèsent sur les informations, de déterminer les vulnérabilités potentielles et de prendre des mesures correctives. Des correctifs logiciels sont régulièrement déployés sur les instances des clients afin de remédier aux vulnérabilités connues.

Gestion des vulnérabilités des fournisseurs

Lorsque des vulnérabilités logicielles sont détectées et corrigées par un correctif proposé par un fournisseur, ThoughtSpot se procure ledit correctif auprès du fournisseur concerné et l'applique dans un délai approprié, conformément à sa procédure opératoire standard de gestion des vulnérabilités et des correctifs de sécurité en vigueur à ce moment-là, et uniquement après l'avoir testé et avoir déterminé qu'il pouvait être installé en toute sécurité dans tous les systèmes de production.

Sécurité maximale

ThoughtSpot sécurise ses bâtiments et ses espaces de travail contre tout accès non autorisé afin de protéger son personnel, ses actifs et ses données. Tous les employés de ThoughtSpot, ainsi que les sous-traitants et les tiers justifiant d'un besoin professionnel légitime d'accéder physiquement aux installations de ThoughtSpot, doivent se conformer aux exigences de sécurité afin de garantir une sécurité maximale.

Redondance

Les datacenters de ThoughtSpot sont conçus pour anticiper et tolérer les pannes tout en maintenant les niveaux de service. En cas de panne, des processus automatisés détournent le trafic de la zone affectée et la capacité est suffisante pour équilibrer la charge du trafic avec les sites restants.

Disponibilité

Les composants système essentiels sont sauvegardés en plusieurs emplacements cloisonnés et sont conçus pour fonctionner indépendamment avec une grande fiabilité. Les systèmes hautement résilients offrent les plus hauts niveaux de disponibilité du service et, en cas de panne, permettent aux clients de respecter des objectifs de temps de récupération et de point de récupération extrêmement courts.

Planification des capacités

L'utilisation du service est surveillée en permanence afin de tenir nos engagements et nos exigences en matière de disponibilité. De plus, elle est mesurée au moins une fois par mois par rapport à un modèle de planification de la capacité. Ce modèle permet de planifier les demandes futures en tenant compte de considérations telles que le traitement de l'information, les télécommunications et le stockage des journaux d'audit.

Accès

Tous les employés qui ont besoin d'accéder au datacenter doivent d'abord faire une demande d'accès et fournir un motif professionnel valable. Ces demandes sont accordées selon le principe du moindre privilège et sont revues régulièrement.

Vérification des antécédents

ThoughtSpot vérifie les antécédents de tous les collaborateurs conformément aux lois et règlements en vigueur, et proportionnellement aux impératifs de l'entreprise, au caractère sensible des informations à consulter et aux risques perçus, conformément à la politique de vérification des antécédents de ThoughtSpot.

Formation à la sécurité

ThoughtSpot dispense une formation à la sécurité pour aider les collaborateurs à éviter de créer des risques excessifs. Ils doivent suivre une formation sur la sécurité des informations dans un délai raisonnable après leur embauche, puis tous les trimestres. ThoughtSpot conserve les registres de présence et les copies du matériel de formation afin de s'assurer que celle-ci a bien été suivie avant qu'un collaborateur soit autorisé à accéder aux systèmes.

Chiffrement

Toutes les données circulant sur le réseau mondial qui interconnecte nos datacenters et nos régions sont automatiquement chiffrées avant de quitter nos installations sécurisées. AWS fournit des outils qui permettent à ThoughtSpot de chiffrer facilement vos données en transit et au repos afin de garantir que seuls les utilisateurs autorisés y ont accès. Les clés de chiffrement sont gérées par AWS Key Management Service (KMS) ou CloudHSM à l'aide de HSM validés FIPS 140-2 niveau 3.

Localisation des données

ThoughtSpot peut vous fournir le contrôle et la visibilité dont vous avez besoin pour vous conformer aux lois et règlementations régionales et locales sur la confidentialité des données. La conception de l'infrastructure mondiale d'AWS vous permet de conserver un contrôle total sur les régions dans lesquelles vos données sont physiquement situées, vous aidant ainsi à respecter les exigences en matière de résidence des données.

Sécurité au niveau des lignes

La sécurité au niveau des lignes (RLS) vous permet de limiter l'accès d'un groupe au niveau d'une ligne de table. Une fois qu'une règle est définie, lorsqu'un membre du groupe effectue une recherche, affiche une réponse ou manipule des données, ThoughtSpot évalue l'accès de cet utilisateur par rapport aux règles et empêche l'affichage des données restreintes. Ainsi, les utilisateurs ne voient que les données qu'ils sont autorisés à voir.

Conformité au RGPD

ThoughtSpot est parfaitement conforme au Règlement général sur la protection des données (RGPD) de l'Union européenne. L'addendum relatif au traitement des données de ThoughtSpot intègre des mécanismes de transfert approuvés par l'UE, à savoir les clauses contractuelles standard de la Commission européenne. Les clients peuvent se reposer sur ces protections pour transférer des données à caractère personnel depuis l'UE en utilisant nos services. Pour plus d'informations sur le RGPD, rendez-vous ici.

Bouclier de Confidentialité

Bien que ThoughtSpot ne s'appuie pas sur le Privacy Shield comme base juridique en matière de transferts de données personnelles (arrêt de la Cour de justice de l'UE dans l'affaire C-311/18), ThoughtSpot reste attaché aux principes de sécurité et de confidentialité contenus dans le bouclier de confidentialité : la société continue à s'auto-certifier aux exigences du bouclier de confidentialité. Les principes de l’adhésion continue de ThoughtSpot au bouclier de confidentialité sont disponibles sur le site internet du Privacy Shield et dans les conditions du bouclier de confidentialité de ThoughtSpot..

Politique de confidentialitéf

ThoughtSpot met en œuvre une politique de confidentialité qui couvre la collecte, l'utilisation et la divulgation d'Informations personnelles obtenues par l'intermédiaire des sites Internet ThoughtSpot ; dans le cadre de l'achat et de l'utilisation de nos produits, et des services d'assistance et professionnels connexes ; et dans le cadre d'événements que nous organisons et au cours desquels nous collectons des informations auprès des inscrits et des participants.

Politique relative aux cookies

ThoughtSpot utilise à la fois des cookies de session et des cookies persistants. Les cookies de session ont une existence qui se limite à la durée de votre session Web et expirent lorsque vous fermez votre navigateur Internet. Les cookies persistants subsistent dans les sous-dossiers de votre navigateur jusqu'à ce que vous les supprimiez manuellement ou jusqu'à ce que votre navigateur les supprime, conformément à la limitation de durée spécifiée par chaque cookie.

Nous ne vendons pas vos données

ThoughtSpot ne vend pas vos données, ne les exploite pas et n'y accède pas à des fins publicitaires. ThoughtSpot s'engage également contractuellement à ce que ses employés et ses sous-traitants agréés et vérifiés n'aient accès aux données des clients qu'en cas de stricte nécessité.