Centre de gestion de la
confidentialité ThoughtSpot

La confiance est primordiale pour la réussite des
partenariats commerciaux. C'est pourquoi ThoughtSpot s'engage
à faire de la sécurité, de la confidentialité et de la
conformité ses priorités absolues.


Contrôle par les clients

Définissez vos propres politiques sur les utilisateurs et les rôles, les fonctionnalités de sécurité et les ensembles de données interrogeables.
En savoir plus

Architecture à sécurité maximale

L'architecture de ThoughtSpot Cloud est conçue de bout en bout pour une sécurité maximale des données.
En savoir plus

Confidentialité et conformité

Des politiques de gestion des données client sûres et conformes aux règlementations sur la confidentialité des données.
En savoir plus

Politiques et conditions

Nos politiques et nos conditions juridiques posent les principes de nos engagements en matière de sécurité et de confidentialité des données.
En savoir plus

Politiques et conditions

Nos politiques et nos conditions juridiques posent les principes de nos engagements en matière de sécurité et de confidentialité des données.
En savoir plus

Politiques et conditions

Nos politiques et nos conditions juridiques posent les principes de nos engagements en matière de sécurité et de confidentialité des données.
En savoir plus

Contrôle par les clients

ThoughtSpot Cloud propose des commandes pour
appliquer vos politiques de gouvernance des
données et vos règles d'accès.

Connectivité des données

Connectez-vous aux datawarehouses de votre choix pour exécuter des requêtes en temps réel sans déplacer vos données.

Sélection des données

Sélectionnez uniquement les tables et colonnes de données sources pertinentes à des fins d'analyse.

Privilèges

Définissez des utilisateurs, des rôles et des privilèges avec des accès différenciés et les actions qu'ils peuvent réaliser.

Partage de contenu

Attribuez des privilèges à des utilisateurs pour partager du contenu, avec la possibilité de révoquer l'accès au contenu précédemment partagé si nécessaire.

Règles de sécurité des données

Définissez des règles de sécurité granulaires au niveau des objets, des colonnes et des lignes pour contrôler ce que les utilisateurs sont autorisés à voir.

Suppression de données

Les données qui ne sont plus nécessaires sur un tableau de bord ou une analyse actualisés sont supprimées de manière proactive.


Architecture à sécurité maximale

La sécurité de vos données est notre priorité absolue.

Isolement des prestataires

Les prestataires sont entièrement isolés afin d'empêcher toute fuite de données et d'offrir d'une protection contre les accès non autorisés.

Politique « Zero Trust »

Plusieurs services assurent la surveillance, la détection et la protection face aux vecteurs d’attaque courants.

Chiffrement des données

Prise en charge complète du chiffrement de données au repos et en transit, grâce à l'utilisation du chiffrement AES 256 bits et de clés uniques pour chaque client.

Infrastructure cloud AWS

ThoughtSpot Cloud fonctionne sur l'infrastructure cloud la plus sécurisée du secteur, dans AWS.

Analyses à la source

Vos données restent stockées dans le datawarehouse de votre choix, et les requêtes sont exécutées en temps réel, dans la base de données. Aucun déplacement de données n'est requis.

Gouvernance des données

Des règles d'accès granulaires au niveau des objets, des tables, des colonnes et des lignes contrôlent ce que les utilisateurs sont autorisés à voir. Les accès déterminent les actions que les utilisateurs peuvent effectuer.

Authentification

ThoughtSpot prend en charge l'authentification multi-facteurs et le protocole LDAP, et s'intègre à divers fournisseurs d'identité via SAML.

Journaux d'audit des activités

Vous avez accès aux journaux de connexion et d'activité des utilisateurs, qui sont sécurisés et surveillés pour détecter les anomalies.

Accès administrateur

Les privilèges d'accès des collaborateurs de ThoughtSpot sont basés sur les exigences du poste, selon le principe du moindre privilège, et sont révoqués en cas de cessation d'emploi. Les droits d'accès sont revus deux fois par an.

Accès à l'infrastructure

L'accès à l'infrastructure comprend des contrôles appropriés des comptes utilisateurs et des autorisations, ce qui nécessite l'utilisation de connexions VPN sécurisées, d'une authentification à deux facteurs, de mots de passe complexes et de règles de verrouillage des comptes.

Contrôle de l'assistance

ThoughtSpot est là pour vous aider lorsque vous en avez besoin. Vous contrôlez le niveau d'accès que vous souhaitez accorder à notre équipe d'assistance, ainsi que la manière dont vous souhaitez communiquer avec nous.

Résiliation de compte

Toutes les données ainsi que l'instance locataire sont supprimées à la résiliation ou à l'expiration du contrat ou du formulaire de commande.


Confidentialité et conformité

Les politiques de gestion des données client de ThoughtSpot sont
conformes aux règlementations sur la confidentialité des données.

Conformité au RGPD

ThoughtSpot est parfaitement conforme au Règlement général sur la protection des données (RGPD) de l'Union européenne. L'addendum relatif au traitement des données de ThoughtSpot intègre des mécanismes de transfert approuvés par l'UE, à savoir les clauses contractuelles standard de la Commission européenne. Les clients peuvent se reposer sur ces protections pour transférer des données à caractère personnel depuis l'UE en utilisant nos services. Pour plus d'informations sur le RGPD, rendez-vous ici.

Privacy Shield & international data transfers

ThoughtSpot is certified under the EU-U.S. and Swiss-U.S. Privacy Shield frameworks and complies with data protection requirements regarding transferring of personal data between the European Union and Switzerland to the United States.

Conformité HIPAA

ThoughtSpot est conforme à la loi HIPAA et veille à limiter l'accès aux données confidentielles et à protéger les informations relatives aux patients. Un addendum relatif au rôle de partenaire commercial de ThoughtSpot est disponible en cas de besoin.

Politique de confidentialitéf

ThoughtSpot met en œuvre une politique de confidentialité qui couvre la collecte, l'utilisation et la divulgation d'Informations personnelles obtenues par l'intermédiaire des sites Internet ThoughtSpot ; dans le cadre de l'achat et de l'utilisation de nos produits, et des services d'assistance et professionnels connexes ; et dans le cadre d'événements que nous organisons et au cours desquels nous collectons des informations auprès des inscrits et des participants.

Politique relative aux cookies

ThoughtSpot utilise à la fois des cookies de session et des cookies persistants. Les cookies de session ont une existence qui se limite à la durée de votre session Web et expirent lorsque vous fermez votre navigateur Internet. Les cookies persistants subsistent dans les sous-dossiers de votre navigateur jusqu'à ce que vous les supprimiez manuellement ou jusqu'à ce que votre navigateur les supprime, conformément à la limitation de durée spécifiée par chaque cookie.

Nous ne vendons pas vos données

ThoughtSpot ne vend pas vos données, ne les exploite pas et n'y accède pas à des fins publicitaires. ThoughtSpot s'engage également contractuellement à ce que ses employés et ses sous-traitants agréés et vérifiés n'aient accès aux données des clients qu'en cas de stricte nécessité.

Normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS)

ThoughtSpot ne stocke pas ni ne traite les informations des titulaires de cartes et ne se qualifie pas en tant que processeur, marchand ou fournisseur de services comme décrit dans les normes de sécurité des données de l’industrie des cartes de paiement. Bien que ThoughtSpot n’entre pas dans le champ d’application de la norme PCI DSS, notre programme de sécurité actuel répond déjà à bon nombre de ses préoccupations. Au fur et à mesure de l’évolution de notre programme et de nos processus de sécurité, nous continuerons à évaluer les avantages d’une mise en conformité. Étant donné que les configurations et l’utilisation de ThoughtSpot relèvent de votre responsabilité, la conformité à la norme PCI DSS (ainsi que la sécurité et la confidentialité en général) est une responsabilité partagée entre ThoughtSpot et vous.


Sécurité d'entreprise

Les procédures, processus et datacenters de ThoughtSpot assurent la
sécurité de vos données en toutes circonstances.

Datacenter sécurisé

Les datacenters cloud modernes de ThoughtSpot sont conçus pour être évolutifs et élastiques, tout en garantissant la protection de vos données contre les violations ou les pertes de données.

Sécurité maximale

ThoughtSpot sécurise ses bâtiments et ses espaces de travail contre tout accès non autorisé afin de protéger son personnel, ses actifs et ses données. Tous les employés de ThoughtSpot, ainsi que les sous-traitants et les tiers justifiant d'un besoin professionnel légitime d'accéder physiquement aux installations de ThoughtSpot, doivent se conformer aux exigences de sécurité afin de garantir une sécurité maximale.

Redondance

Les datacenters de ThoughtSpot sont conçus pour anticiper et tolérer les pannes tout en maintenant les niveaux de service. En cas de panne, des processus automatisés détournent le trafic de la zone affectée et la capacité est suffisante pour équilibrer la charge du trafic avec les sites restants.

Disponibilité

Les composants système essentiels sont sauvegardés en plusieurs emplacements cloisonnés et sont conçus pour fonctionner indépendamment avec une grande fiabilité. Les systèmes hautement résilients offrent les plus hauts niveaux de disponibilité du service et, en cas de panne, permettent aux clients de respecter des objectifs de temps de récupération et de point de récupération extrêmement courts.

Planification des capacités

L'utilisation du service est surveillée en permanence afin de tenir nos engagements et nos exigences en matière de disponibilité. De plus, elle est mesurée au moins une fois par mois par rapport à un modèle de planification de la capacité. Ce modèle permet de planifier les demandes futures en tenant compte de considérations telles que le traitement de l'information, les télécommunications et le stockage des journaux d'audit.

Personnel sûr

Les collaborateurs de ThoughtSpot sont dûment contrôlés et formés pour garantir la conformité aux
contrôles de sécurité et de confidentialité.

Accès

Tous les employés qui ont besoin d'accéder au datacenter doivent d'abord faire une demande d'accès et fournir un motif professionnel valable. Ces demandes sont accordées selon le principe du moindre privilège et sont revues régulièrement.

Vérification des antécédents

ThoughtSpot vérifie les antécédents de tous les collaborateurs conformément aux lois et règlements en vigueur, et proportionnellement aux impératifs de l'entreprise, au caractère sensible des informations à consulter et aux risques perçus, conformément à la politique de vérification des antécédents de ThoughtSpot.

Formation à la sécurité

ThoughtSpot dispense une formation à la sécurité pour aider les collaborateurs à éviter de créer des risques excessifs. Ils doivent suivre une formation sur la sécurité des informations dans un délai raisonnable après leur embauche, puis tous les trimestres. ThoughtSpot conserve les registres de présence et les copies du matériel de formation afin de s'assurer que celle-ci a bien été suivie avant qu'un collaborateur soit autorisé à accéder aux systèmes.

Sécurité des données client

ThoughtSpot veille à la sécurité et à la confidentialité de vos données.

Chiffrement

Toutes les données circulant sur le réseau mondial qui interconnecte nos datacenters et nos régions sont automatiquement chiffrées avant de quitter nos installations sécurisées. AWS fournit des outils qui permettent à ThoughtSpot de chiffrer facilement vos données en transit et au repos afin de garantir que seuls les utilisateurs autorisés y ont accès. Les clés de chiffrement sont gérées par AWS Key Management Service (KMS) ou CloudHSM à l'aide de HSM validés FIPS 140-2 niveau 3.

Localisation des données

ThoughtSpot peut vous fournir le contrôle et la visibilité dont vous avez besoin pour vous conformer aux lois et règlementations régionales et locales sur la confidentialité des données. La conception de l'infrastructure mondiale d'AWS vous permet de conserver un contrôle total sur les régions dans lesquelles vos données sont physiquement situées, vous aidant ainsi à respecter les exigences en matière de résidence des données.

Sécurité au niveau des lignes

La sécurité au niveau des lignes (RLS) vous permet de limiter l'accès d'un groupe au niveau d'une ligne de table. Une fois qu'une règle est définie, lorsqu'un membre du groupe effectue une recherche, affiche une réponse ou manipule des données, ThoughtSpot évalue l'accès de cet utilisateur par rapport aux règles et empêche l'affichage des données restreintes. Ainsi, les utilisateurs ne voient que les données qu'ils sont autorisés à voir.

Cycle de développement des logiciels sécurisé

ThoughtSpot maintient des politiques et des procédures sécurisées de développement
d'applications, alignées sur les pratiques standard du secteur, telles que le Top Ten de l'OWASP.
Toutes les personnes chargées de la conception et du développement sécurisés des applications
reçoivent une formation appropriée concernant les pratiques de ThoughtSpot en la matière.
ThoughtSpot effectue une série de tests statiques et
dynamiques ainsi qu'une analyse du code, et corrige les vulnérabilités prioritaires avant chaque lancement.


Gouvernance et rapports

ThoughtSpot procède à des évaluations régulières des risques et
applique un programme de divulgation responsable.

SSAE 18 SOC 2

ThoughtSpot a passé avec succès l'audit Service Organization Control (SOC) 2 Type II. Le rapport SOC 2 vérifie l'adéquation de la conception et l'efficacité opérationnelle des pratiques, politiques, procédures et opérations de sécurité des informations de ThoughtSpot pour répondre aux normes de sécurité, de disponibilité et de confidentialité.

Gestion des risques

ThoughtSpot procède à l'évaluation régulière des risques liés à la sécurité des informations dans le cadre d'un programme de gouvernance des risques qui teste, évalue et mesure régulièrement l'efficacité du programme de sécurité. Ces évaluations identifient et analysent l'impact des risques, et mettent en œuvre des stratégies de réduction ou d'atténuation des risques pour prendre en compte les nouvelles technologies de sécurité, les modifications des pratiques standard du secteur et l'évolution des menaces pour la sécurité. Ce programme relatif aux risques est contrôlé chaque année par un organisme tiers indépendant.

Gestion des vulnérabilités

ThoughtSpot réalise une évaluation trimestrielle des risques de sécurité afin d'identifier les menaces qui pèsent sur les informations, de déterminer les vulnérabilités potentielles et de prendre des mesures correctives. Des correctifs logiciels sont régulièrement déployés sur les instances des clients afin de remédier aux vulnérabilités connues.

Gestion des vulnérabilités des fournisseurs

Lorsque des vulnérabilités logicielles sont détectées et corrigées par un correctif proposé par un fournisseur, ThoughtSpot se procure ledit correctif auprès du fournisseur concerné et l'applique dans un délai approprié, conformément à sa procédure opératoire standard de gestion des vulnérabilités et des correctifs de sécurité en vigueur à ce moment-là, et uniquement après l'avoir testé et avoir déterminé qu'il pouvait être installé en toute sécurité dans tous les systèmes de production.

Signalement d'une vulnérabilité

Les vulnérabilités et autres problèmes de sécurité peuvent être signalés par e-mail à l'adresse security@thoughtspot.com avec la mention « Vulnérabilité de sécurité » en objet.

Pour nous permettre de répondre le plus efficacement possible à votre signalement, veuillez fournir tout document pertinent, et décrire les étapes claires et concises qui permettent de reproduire le problème, afin de nous aider à comprendre la nature et la gravité de la vulnérabilité.

ThoughtSpot s'engage à être réactif et à vous tenir informé de l'avancement de ses investigations et de la résolution du problème de sécurité signalé. Nous accuserons rapidement réception de votre signalement et vous indiquerons les étapes suivantes de la procédure. Une fois les investigations initiales terminées, les résultats vous seront communiqués avec un plan de résolution.

Veuillez noter que ThoughtSpot n'autorise aucune tentative de pénétration, d'attaque ou d'audit actif de notre infrastructure, que ce soit par des moyens automatisés ou manuels.


Politiques et conditions

Les politiques et conditions juridiques de ThoughtSpot posent les
principes de ses engagements en matière de sécurité et de
confidentialité des données.

Politique de confidentialité

ThoughtSpot s'engage à protéger la vie privée d'autrui, y compris dans le cadre de son utilisation des cookies de navigateur.

Politique relative aux cookies

Cette politique décrit les informations que nous recueillons par des moyens automatiques en exploitant des outils de collecte d'informations sur le site web de ThoughtSpot.

Abonnement et contrats de licence

Les obligations de ThoughtSpot à l'égard des abonnés et des détenteurs de licence figurent sur cette page.

Addendum relatif au traitement des données

Pour les clients mettant des données à la disposition de ThoughtSpot au titre du RGPD, l'addendum relatif au traitement des données peut être contresigné pour imposer des engagements supplémentaires à ThoughtSpot.

Engagement contre la traite d'êtres humains et l'esclavage

ThoughtSpot s'engage à agir de manière éthique et responsable, et à lutter contre le travail forcé.

Licences de logiciels tiers

ThoughtSpot se conforme aux exigences d'attribution des licences tierces.