Centre de gestion de la confidentialité ThoughtSpot

Certification ISO 27001

La certification ISO/IEC 27001:2013 définit les bonnes pratiques et les contrôles de sécurité à mettre en place pour établir, mettre en œuvre, maintenir et améliorer en permanence un système de gestion de la sécurité de l'information (SGSI). L'objectif est d'aider les organisations à sécuriser leurs actifs informationnels. Elle garantit l'adaptation de notre SGSI aux nouvelles menaces en matière de sécurité, une exigence vitale dans un univers informatique en constante évolution. ThoughtSpot se soumet à un audit de recertification tous les trois ans, et à un audit de surveillance annuel. Le certificat de ThoughtSpot est disponible ici.

SOC 2 et SOC 3

ThoughtSpot a passé avec succès l'audit Service Organization Control (SOC) 2 Type II. Le rapport SOC 2 vérifie l'adéquation de la conception et l'efficacité opérationnelle des pratiques, politiques, procédures et opérations de sécurité des informations de ThoughtSpot pour répondre aux normes de sécurité, de disponibilité et de confidentialité.

Un rapport public SOC 3 démontrant que ThoughtSpot a satisfait aux principes et critères de sécurité, de disponibilité, d’intégrité du traitement et de confidentialité des données de l’AICPA (American Institute of Certified Public Accountants) est disponible ici.

Conformité HIPAA

ThoughtSpot est conforme à la loi Health Insurance Portability and Accountability (HIPAA) de 1996 sur la protection des données médicales et veille à limiter l'accès aux données confidentielles et à protéger les informations relatives aux patients. Un addendum relatif au rôle de partenaire commercial de ThoughtSpot est disponible en cas de besoin. Pour comprendre comment les contrôles de sécurité dans ThoughtSpot Analytics Cloud répondent aux exigences HIPAA en matière de sécurité et de confidentialité, veuillez consulter le livre blanc sur l'infrastructure de sécurité et la réglementation HIPAA.

Normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS)

ThoughtSpot ne stocke pas ni ne traite les informations des titulaires de cartes et ne se qualifie pas en tant que processeur, marchand ou fournisseur de services comme décrit dans les normes de sécurité des données de l’industrie des cartes de paiement. Bien que ThoughtSpot n’entre pas dans le champ d’application de la norme PCI DSS, notre programme de sécurité actuel répond déjà à bon nombre de ses préoccupations. Au fur et à mesure de l’évolution de notre programme et de nos processus de sécurité, nous continuerons à évaluer les avantages d’une mise en conformité. Étant donné que les configurations et l’utilisation de ThoughtSpot relèvent de votre responsabilité, la conformité à la norme PCI DSS (ainsi que la sécurité et la confidentialité en général) est une responsabilité partagée entre ThoughtSpot et vous.

Gestion des risques

ThoughtSpot procède à l'évaluation régulière des risques liés à la sécurité des informations dans le cadre d'un programme de gouvernance des risques qui teste, évalue et mesure régulièrement l'efficacité du programme de sécurité. Ces évaluations identifient et analysent l'impact des risques, et mettent en œuvre des stratégies de réduction ou d'atténuation des risques pour prendre en compte les nouvelles technologies de sécurité, les modifications des pratiques standard du secteur et l'évolution des menaces pour la sécurité. Ce programme relatif aux risques est contrôlé chaque année par un organisme tiers indépendant.

Gestion des vulnérabilités

ThoughtSpot réalise une évaluation trimestrielle des risques de sécurité afin d'identifier les menaces qui pèsent sur les informations, de déterminer les vulnérabilités potentielles et de prendre des mesures correctives. Des correctifs logiciels sont régulièrement déployés sur les instances des clients afin de remédier aux vulnérabilités connues.

Gestion des vulnérabilités des fournisseurs

Lorsque des vulnérabilités logicielles sont détectées et corrigées par un correctif proposé par un fournisseur, ThoughtSpot se procure ledit correctif auprès du fournisseur concerné et l'applique dans un délai approprié, conformément à sa procédure opératoire standard de gestion des vulnérabilités et des correctifs de sécurité en vigueur à ce moment-là, et uniquement après l'avoir testé et avoir déterminé qu'il pouvait être installé en toute sécurité dans tous les systèmes de production.

Évaluation STAR de la Cloud Security Alliance (CSA)

Le registre STAR (Security, Trust, Assurance and Risk) est un registre accessible au grand public qui documente les contrôles de sécurité et de confidentialité fournis par les offres de cloud computing les plus populaires. STAR couvre les principes clés de la transparence, des audits menés avec rigueur et de l'harmonisation des normes tel que décrit dans la matrice Cloud Controls Matrix (CCM). ThoughSpot a rempli le questionnaire Consensus Assessments Initiative Questionnaire (CAIQ) de la CSA, disponible pour téléchargement ici. Ce document sera mis à jour régulièrement.

Sécurité maximale

ThoughtSpot sécurise ses bâtiments et ses espaces de travail contre tout accès non autorisé afin de protéger son personnel, ses actifs et ses données. Tous les employés de ThoughtSpot, ainsi que les sous-traitants et les tiers justifiant d'un besoin professionnel légitime d'accéder physiquement aux installations de ThoughtSpot, doivent se conformer aux exigences de sécurité afin de garantir une sécurité maximale.

Redondance

Les datacenters de ThoughtSpot sont conçus pour anticiper et tolérer les pannes tout en maintenant les niveaux de service. En cas de panne, des processus automatisés détournent le trafic de la zone affectée et la capacité est suffisante pour équilibrer la charge du trafic avec les sites restants.

Disponibilité

Les composants système essentiels sont sauvegardés en plusieurs emplacements cloisonnés et sont conçus pour fonctionner indépendamment avec une grande fiabilité. Les systèmes hautement résilients offrent les plus hauts niveaux de disponibilité du service et, en cas de panne, permettent aux clients de respecter des objectifs de temps de récupération et de point de récupération extrêmement courts.

Planification des capacités

L'utilisation du service est surveillée en permanence afin de tenir nos engagements et nos exigences en matière de disponibilité. De plus, elle est mesurée au moins une fois par mois par rapport à un modèle de planification de la capacité. Ce modèle permet de planifier les demandes futures en tenant compte de considérations telles que le traitement de l'information, les télécommunications et le stockage des journaux d'audit.

Accès

Tous les employés qui ont besoin d'accéder au datacenter doivent d'abord faire une demande d'accès et fournir un motif professionnel valable. Ces demandes sont accordées selon le principe du moindre privilège et sont revues régulièrement.

Vérification des antécédents

ThoughtSpot vérifie les antécédents de tous les employés conformément aux lois et règlements en vigueur, et proportionnellement aux impératifs de l'entreprise, au caractère sensible des informations à consulter et aux risques perçus, conformément à la politique de vérification des antécédents de ThoughtSpot.

Formation à la sécurité

ThoughtSpot dispense une formation à la sécurité pour aider les employés à éviter de créer des risques excessifs. Les employés doivent suivre une formation sur la sécurité des informations dans un délai raisonnable après leur embauche, puis tous les trimestres. ThoughtSpot conserve les registres de présence et les copies du matériel de formation afin de s'assurer que celle-ci a bien été suivie avant qu'un employé soit autorisé à accéder aux systèmes.

Chiffrement

Toutes les données circulant sur le réseau mondial qui interconnecte nos datacenters et nos régions sont automatiquement chiffrées avant de quitter nos installations sécurisées. AWS fournit des outils qui permettent à ThoughtSpot de chiffrer facilement vos données en transit et au repos afin de garantir que seuls les utilisateurs autorisés y ont accès. Les clés de chiffrement sont gérées par AWS Key Management Service (KMS) ou CloudHSM à l'aide de HSM validés FIPS 140-2 niveau 3.

Localisation des données

ThoughtSpot peut vous fournir le contrôle et la visibilité dont vous avez besoin pour vous conformer aux lois et règlementations régionales et locales sur la confidentialité des données. La conception de l'infrastructure mondiale d'AWS vous permet de conserver un contrôle total sur les régions dans lesquelles vos données sont physiquement situées, vous aidant ainsi à respecter les exigences en matière de résidence des données.

Sécurité au niveau des lignes

La sécurité au niveau des lignes (RLS) vous permet de limiter l'accès d'un groupe au niveau d'une ligne de table. Une fois qu'une règle est définie, lorsqu'un membre du groupe effectue une recherche, affiche une réponse ou manipule des données, ThoughtSpot évalue l'accès de cet utilisateur par rapport aux règles et empêche l'affichage des données restreintes. Ainsi, les utilisateurs ne voient que les données qu'ils sont autorisés à voir.

Conformité au RGPD

ThoughtSpot est parfaitement conforme au Règlement général sur la protection des données (RGPD) de l'Union européenne. L'addendum relatif au traitement des données de ThoughtSpot intègre des mécanismes de transfert approuvés par l'UE, à savoir les clauses contractuelles standard de la Commission européenne. Les clients peuvent se reposer sur ces protections pour transférer des données à caractère personnel depuis l'UE en utilisant nos services. Pour plus d'informations sur le RGPD, rendez-vous ici. La liste des sous-traitants autorisés à traiter des données à caractère personnel pour chacune des applications SaaS pertinentes de ThoughtSpot est disponible ici.

Bouclier de protection des données (Privacy Shield)

Même si ThoughtSpot ne prend pas le Bouclier de protection des données UE-États-Unis pour base juridique pour le transfert de données personnelles à la lumière de l'arrêt de la Cour de justice de l'UE dans l'affaire C-311/18, nous restons attachés aux principes de sécurité et de protection des données dudit Bouclier et nous auto-certifions notre engagement à respecter des exigences. Les engagements de ThoughtSpot à respecter les principes du Bouclier de protection des données sont consultables sur le site Internet du Cadre de protection des données et dans la Politique relative au Cadre de protection des données.

Politique de confidentialité

ThoughtSpot met en œuvre une politique de confidentialité qui couvre la collecte, l'utilisation et la divulgation d'Informations personnelles obtenues par l'intermédiaire des sites Internet ThoughtSpot ; dans le cadre de l'achat et de l'utilisation de nos produits, et des services d'assistance et professionnels connexes ; et dans le cadre d'événements que nous organisons et au cours desquels nous collectons des informations auprès des inscrits et des participants.

Politique relative aux cookies

ThoughtSpot utilise à la fois des cookies de session et des cookies persistants. Les cookies de session ont une existence qui se limite à la durée de votre session Web et expirent lorsque vous fermez votre navigateur Internet. Les cookies persistants subsistent dans les sous-dossiers de votre navigateur jusqu'à ce que vous les supprimiez manuellement ou jusqu'à ce que votre navigateur les supprime, conformément à la limitation de durée spécifiée par chaque cookie.

Transferts internationaux de données personnelles après Schrems II

Conformément à l'arrêt rendu le 16 juillet 2020 par la Cour de justice de l'Union européenne (C-311/18, dit arrêt « Schrems II »), nous avons cessé de nous appuyer sur nos certifications relatives au Bouclier de protection des données UE-États-Unis et Suisse-États-Unis comme base juridique pour les transferts internationaux de données de l'EEE ou de la Suisse vers les États-Unis. Nous continuerons à adhérer aux principes des Boucliers de protection des données UE-États-Unis et Suisse-États-Unis pour toutes les informations personnelles transférées aux États-Unis sur la base de ces certifications avant le 16 juillet 2020.

ThoughtSpot s'appuie sur des clauses contractuelles types pour le transfert de données personnelles soumises à la législation de l'UE, en provenance et à destination de ses clients et de ses sous-traitants. Conformément à la décision rendue dans l'affaire Schrems II et aux précisions fournies par les autorités de contrôle de l'UE, ThoughtSpot associe son utilisation des clauses contractuelles types à des mesures de protection techniques et organisationnelles, en fonction des transferts concernés. Vous trouverez plus d'informations sur la réponse de ThoughtSpot aux règles Schrems II ici.

Nous ne vendons pas vos données

ThoughtSpot ne vend pas vos données, ne les exploite pas et n'y accède pas à des fins publicitaires. ThoughtSpot s'engage également contractuellement à ce que ses employés et ses sous-traitants agréés et vérifiés n'aient accès aux données des clients qu'en cas de stricte nécessité.