Nos plus récents renseignements sur la sécurité, la conformité, la confidentialité et le droit
Centre de confiance et de sécurité
Nous comprenons que les ressources, les intervenants et la mission de chaque organisation sont différents. C’est pourquoi nous avons développé un logiciel adapté à vos besoins spécifiques qui vous aide à simplifier et à optimiser votre action philanthropique. Atteignez vos objectifs grâce aux solutions Foundant et à un accompagnement exceptionnel dédié à votre réussite.
Aperçu
Depuis sa création, Foundant Technologies prend la sécurité au sérieux. Au fil de sa croissance, l’entreprise a continué de mettre en œuvre des mesures de sécurité appropriées, tant pour ses systèmes internes que pour les solutions destinées à ses clients. La croissance du nombre d’employés, de clients et de produits et la prolifération des cybermenaces rendent nécessaires une approche plus formelle de la mise en œuvre et de la documentation des contrôles de sécurité.
Sécurité
Nous assurons la sécurité des données de nos utilisateurs en établissant, en surveillant et en faisant la promotion des meilleures pratiques du secteur. Grâce à une approche basée sur les risques, nous avons mis en place des contrôles de sécurité de l’information pour l’ensemble du cadre de cybersécurité du NIST CSF (National Institute of Standards and Technology Cybersecurity Framework). Nous utilisons également l’authentification multifactorielle (MFA), qui offre une protection accrue à nos clients et à leurs communautés.
Confidentialité
Vous êtes propriétaire de vos données. Foundant a mis en œuvre des mesures techniques et organisationnelles pour assurer la sécurité, la confidentialité et la disponibilité de votre ressource la plus précieuse.
Conformité
Foundant démontre sa conformité à ses clients et à sa communauté en maintenant son accréditation en vertu de plusieurs normes mondiales de sécurité de l’information. Nos programmes et nos contrôles sont soumis à des audits annuels rigoureux menés par des vérificateurs indépendants. Consultez notre liste de normes et de rapports de conformité.
État du système
Obtenez un aperçu de la disponibilité de nos services relativement aux solutions Foundant.
Sécurité
La sécurité et le bien-être de nos clients sont au cœur de tout ce que nous faisons. La sécurité est prise en compte dans toutes nos activités, y compris aux niveaux organisationnel, architectural et opérationnel, afin d’assurer en tout temps la sécurité de vos données et de vos solutions. Nous avons déployé des solutions Foundant dans certaines des organisations les plus soucieuses de la sécurité, tant dans le secteur public que privé, et nous nous efforçons de respecter des normes de sécurité toujours plus rigoureuses. Cette expérience profite à tous nos clients, car nous appliquons la même rigueur en matière de sécurité à l’ensemble de notre plateforme et de notre organisation.
Sécurité architecturale
Traitement des données
Nos activités de traitement des données comprennent le traitement de données personnelles concernant des personnes physiques identifiées ou identifiables pour le compte de nos clients. Nos activités de traitement des données comprennent la collecte de données personnelles dans le cadre de la prestation du service infonuagique. Nos processus de traitement des données vous assurent un contrôle total sur les données que vous consignez dans toutes les solutions, y compris les solutions sur mesure.
Cryptage des données
Les données transmises sont cryptées selon le protocole de transferts hypertexte sécurisé (HTTPS) (port 443) à l’aide d’algorithmes et de protocoles SSL. Le cryptage selon le protocole SSL (TLSv1.3) rétrocompatible avec TLSv1.2 (SHA-256) avec certificat RSA est la norme actuelle de cryptage. Les certificats SSL sont renouvelés chaque année.
Sauvegardes
Un environnement de sauvegarde distinct est créé pour chaque environnement de production. L’environnement de production est sauvegardé au moins une fois par jour. En cas de rétablissement des activités, l’objectif de point de rétablissement (OPR) est de moins de 24 heures et l’objectif de délai de rétablissement (ODR) est de moins de 8 heures.
Sécurité logicielle
Les contrôles d’accès basés sur les rôles (RBAC) régissent les fonctions que les employés et les utilisateurs peuvent utiliser sur la plateforme.
Foundant prend en charge des utilisateurs ayant diverses affiliations organisationnelles parallèles et différents rôles et gère ces utilisateurs selon les meilleures pratiques de connexion. Un nom d’utilisateur et un mot de passe sont généralement requis, mais un seul authentifiant est requis pour certains produits et pour certains niveaux d’accès.
Authentifiant unique
Foundant permet qu’un authentifiant unique soit utilisé pour certains produits et pour certains niveaux d’accès. Grâce à cet authentifiant unique, les utilisateurs connectés à l’environnement Web de leur entreprise peuvent avoir accès à leur solution Foundant sans avoir à se connecter avec différents authentifiants.
Cette fonctionnalité donne accès à des services d’authentification par l’entremise de systèmes populaires tels que Active Directory Federation Services (ADFS) et Microsoft Active Directory, ainsi qu’à des services de gestion d’identité basés sur le Web, tels que OKTA (https://www.okta.com/).
La mise en œuvre d’un authentifiant unique nécessite une configuration à la fois dans Foundant et dans le système qui fournit le service d’authentification.
Dans le cadre de la mise en œuvre d’un authentifiant unique, Foundant agit en tant que fournisseur de services et suppose que le client dispose de l’infrastructure et des ressources nécessaires pour héberger, configurer et gérer le service d’authentification.
Authentification multifactorielle (MFA)
Cette fonctionnalité est disponible sur tous les systèmes Foundant. Elle ajoute une couche de protection supplémentaire au processus d’authentification.
Foundant renforce l’authentification avec l’authentification multifactorielle (AMF). Grâce à l’AMF, la plateforme prend en charge des outils d’authentification faciles à utiliser comme Google Authenticator et Microsoft Authenticator (pour générer des jetons logiciels), les courriels et les messages textes.
L’authentification multifactorielle est basée sur les rôles, ce qui permet à votre organisation d’imposer cette mesure de sécurité supplémentaire pour certains groupes d’intervenants déterminés.
L’accès à des outils physiques et virtuels est assujetti à l’authentification avec un mot de passe à usage unique déterminé au moyen d’algorithmes temporels et/ou événementiels.
Sécurité opérationnelle
Sécurité physique (centre de données)
Les solutions Foundant sont hébergées dans des centres de données Amazon Web Services (AWS) de pointe conçus pour protéger votre application et vos données, assurer la conformité réglementaire et maximiser la disponibilité et la redondance.
Ces centres de données sont intrinsèquement sécurisés et utilisent des contrôles renforçant cette sécurité. Pour vous aider à satisfaire à vos obligations en matière d’audit et à vos autres obligations réglementaires, nos centres de données appliquent des contrôles physiques et environnementaux des plus rigoureux, notamment quant aux aspects suivants :
- Gouvernance et risques (attestation de sécurité par des tiers – SOC, ISO, NIST, PCI, HIPAA, etc. et gestion continue des risques du centre de données)
- Conception sécurisée (sélection du site, redondance, disponibilité, planification de la capacité)
- Continuité des activités et reprise après sinistre
- Contrôles d’accès physique, y compris l’accès de tiers et d’employés au centre de données
- Surveillance et journalisation
- Surveillance et détection (système de télévision en circuit fermé et détection d’intrusion)
- Gestion des appareils, des actifs et des médias
- Systèmes de soutien opérationnel (source d’alimentation auxiliaire, détection et extinction d’incendies)
- Entretien des infrastructures (gestion de l’équipement et de l’environnement)
Sécurité du réseau
Nous avons des politiques et des procédures opérationnelles détaillées pour surveiller et protéger nos environnements réseaux. Ces politiques et procédures sont révisées périodiquement et sont couvertes par notre certification SOC.
Nos politiques opérationnelles incluent notamment des pare-feu de réseau interne, un pare-feu Windows, un filtrage de réputation Web, un service de signalement des connexions suspectes et une liste des adresses IP autorisées.
Sécurité des applications
Dans le cadre du développement de la plateforme, nous suivons les processus du cycle de vie du développement logiciel (CVDL), ainsi que des processus de gestion des versions et des modifications bien définis et conformes aux normes de l’industrie.
Nous utilisons différentes stratégies de sécurisation des applications pour assurer la sécurité de nos solutions Foundant. Nous procédons notamment à des évaluations des vulnérabilités internes et externes, au filtrage du trafic réseau, à des analyses statiques du code source pour détecter des vulnérabilités en matière de sécurité et des logiciels malveillants, ainsi qu’à des contrôles de sécurité et à des tests périodiques de pénétration.
Évaluations de la vulnérabilité
Les tests de pénétration sont effectués sur une instance dédiée de Foundant qui ne contient aucune donnée de clients, et ils permettent de repérer de nombreuses vulnérabilités en matière de sécurité.
Confidentialité
Comme la sécurité dans le nuage, la confidentialité dans le nuage est une responsabilité que nous partageons avec vous. Nous assumons la garde de vos données aussi longtemps que vous êtes l’un de nos clients. Cela signifie que nous nous assurons que seules les personnes disposant des autorisations appropriées ont accès aux données que vous stockez dans votre solution Foundant.
Le rôle de Foundant dans la protection de la vie privée
Notre rôle est d’être votre fournisseur SaaS de confiance, notamment en hébergeant et en gérant vos données de façon sécuritaire.
Vous pouvez retenir nos services pour vous aider à utiliser le logiciel, mais notre rôle se limite à stocker les données que vous téléchargez ou saisissez dans votre système. Nous respecterons les politiques de confidentialité de votre organisation, mais nous ne sommes pas en mesure de les gérer ou de les modérer correctement à votre place.
Le rôle du client
En tant que client Foundant, vous avez un contrôle total sur vos données et vos politiques d’accès aux données. Il est donc important que vous ayez une politique de confidentialité et que vous puissiez la faire respecter. Comme vous savez précisément comment vous recueillez des données et quel type de données vous recueillez auprès de votre communauté, vous devrez déterminer dans quelle mesure il est possible d’y avoir accès et qui peut avoir accès.
Cela signifie que vous êtes tenu de gérer l’intégrité de vos données et de vous assurer de nous transmettre uniquement les données requises. Selon la sensibilité des données que vous recueillez (par exemple, si vous recueillez des renseignements bancaires, des renseignements professionnels ou des renseignements sur la propriété intellectuelle), vous devrez également déterminer qui peut avoir accès aux données stockées dans votre système, qui peut les modifier et qui peut les supprimer.
Données des clients
Nous ne sommes pas propriétaires des données des clients, des informations ou des documents que vous soumettez, stockez ou traitez dans le système. Vous autorisez notre personnel à accéder à votre système, y compris à ses données, uniquement pour régler des problèmes techniques ou de service. Nous ne surveillons pas, ne conservons pas au-delà des termes de leur contrat de service, ne manipulons pas, n’utilisons pas et ne divulguons pas des données ou des informations vous concernant ou concernant votre compte ou vos utilisateurs, sans votre autorisation écrite préalable.
Vous êtes responsable de l’intégrité de vos données pendant toute la durée de votre contrat avec nous. Vous pouvez choisir de les nettoyer, de les supprimer ou de les retirer. Nous vous guiderons alors dans la mise en œuvre de cette opération.
Il vous incombe de fournir aux utilisateurs des informations concernant la collecte, le traitement et la communication des données, l’accès aux données, le transfert international des données et la responsabilité des données.
Collecte de données
Les clients utilisent nos solutions pour recueillir directement des renseignements auprès de leur personnel et de leurs communautés (telles qu’elles sont définies par le client).
Nous recueillons deux types de données :
Les données nécessaires pour soutenir l’utilisation du système par le biais du service de soutien technique de Foundant, à la demande expresse de clients.
Les données agrégées, anonymisées et à usage non démographique requises pour optimiser la disponibilité du service.
Avis et traitement
Les processus liés à vos données sont définis et gérés par vous, et non par Foundant. Nous ne traitons pas les données. Nos solutions servent uniquement de système de collecte de données pour le client.
Les choix qui sont offerts aux utilisateurs du système, notamment en ce qui concerne l’adhésion ou le retrait, sont définis et gérés par vous.
Communication des données
Nous ne communiquons jamais des données à une autre personne ou à une autre organisation.
Accès aux données
Vous pouvez configurer votre système pour mettre en œuvre vos politiques d’accès aux données. Nous n’avons aucune exigence en ce qui concerne les politiques de nos clients.
Responsabilité
Les responsabilités de Foundant liées au système et à la prestation de services sont définies dans le Guide des procédures opérationnelles. Il vous incombe de définir vos responsabilités internes.
Responsabilité
Le Guide des procédures opérationnelles définit les responsabilités internes de Foundant en ce qui concerne le système et la prestation de services. Il vous incombe de définir vos responsabilités internes.
Conformité
Foundant recueille, conserve et traite divers types de données, dont bon nombre sont confidentielles, protégées ou sensibles. Pour vous protéger contre l’accès non autorisé aux données et les autres menaces pour la sécurité, nous appliquons un programme de sécurité formalisé et rigoureux, conçu pour assurer la sécurité et l’intégrité de vos données.
En vertu de diverses législations sur la protection des données, nous sommes tenus de mettre en place un cadre institutionnel, y compris des lignes de responsabilité claires, pour assurer la sécurité de toutes les données confidentielles tout au long de leur cycle de vie.
Rapport SOC — Notre rapport sur les contrôles des systèmes et de l’organisation (SOC) fournit des renseignements sur notre environnement de contrôle et pourrait être pertinent pour vos contrôles internes. Ce rapport vise à vous aider, ainsi que vos auditeurs, à comprendre notre environnement de contrôle qui soutient les opérations et la conformité. Les rapports SOC sont des évaluations indépendantes de notre environnement de contrôle par un tiers auditeur (Linford & Co).
SOC 2 Type II
SOC 2 Type II
Le rapport SOC 2 s’appuie sur des paramètres de services informatiques définis et évalue nos contrôles en fonction des cinq critères de service de confiance suivants : la protection des renseignements personnels, la confidentialité, l’intégrité du traitement, la disponibilité et la sécurité. Ce rapport confirme que nous avons mis en place des contrôles appropriés et que ceux-ci fonctionnent au cours d’une période donnée.
Contactez notre équipe pour accéder au rapport
