Securité

C3 Centre de confiance C3

Sécurité des données

C3 Solutions est certifié ISO/IEC 27001:2022. De plus, bien que C3 n’ait pas cherché à obtenir d’autres certifications internationales spécifiques, des efforts sont déployés pour assurer que nous nous conformons à la norme SOC 2 (Service Organization Control) de l’AICPA. Veuillez noter que les normes de sécurité des données applicables à l’industrie des cartes de paiement (Payment Card Industry [PCI] Data Security Standard, PCI DSS) ne s’appliquent pas à l’utilisation de C3 Hub.

En offrant C3 Hub (C3 Yard et/ou C3 Reservations), C3 Solutions traite des données qui appartiennent à ses clients. Les données clients sont spécifiquement définies dans les conditions d’utilisation de C3 Hub. Généralement, l’expression « données clients » désigne les données, les renseignements ou le matériel qu’un client soumet ou reçoit par l’intermédiaire de C3 Hub et des services fournis dans le cadre de leur utilisation.

Les données clients peuvent comprendre des renseignements personnels, aussi appelés données personnelles ou renseignements confidentiels, comme le nom et les coordonnées d’une entreprise, y compris l’adresse courriel professionnelle des utilisateurs de C3 Hub.

Nous chiffrons les données en transit à l’aide du protocole TLS 1.3 avec une clé RSA de 2048 bits afin d’assurer une communication sécurisée.

Le cryptage des données clients au repos est fourni seulement aux clients souscrivant aux options Pro ou Entreprise qui ont spécialement choisi une option de cryptage dans le Bon de Commande C3 Hub et conformément aux conditions d’utilisation applicables à leur utilisation de C3 Hub.

Lorsque l’option de chiffrement a été sélectionnée par le Client, ses Données Client au repos seront chiffrées à l’aide de l’algorithme AES 256 bits.

Les données clients sont stockées dans des bases de données mono-titulaires, mais sur des serveurs physiques pluri-titulaires. Ainsi, les données clients sont ségréguées de façon logique, mais peuvent être stockées avec d’autres données clients.

C3 Solutions utilise des emplacements de sauvegarde adéquats afin d’assurer que toutes les données clients peuvent être récupérées en cas de sinistre ou de défaillance des supports. À l’exception des données clients contenues dans un environnement de test, le cas échéant, C3 Solutions s’assure que les données clients sont enregistrées et que des copies de sauvegarde sont régulièrement créées, comme détaillé aux présentes :

  • Toutes les bases de données clients sont conservées sur un groupe de serveurs SQL à haute disponibilité, avec :

    – Duplication synchrone à une instance secondaire dans le centre de données principal;

    – Duplication asynchrone à une instance tertiaire dans le centre de données secondaire;
  • C3 Solutions conserve plusieurs copies de sauvegarde des données clients, sur divers supports, y compris une copie à un emplacement de secours hors site.

C3 Solutions respecte la politique de conservation des données résumée ci-dessous :

-Les données actives sont conservées pendant une période de six mois;

  • Les données historiques sont conservées pendant une période de deux ans ou 10 ans en souscrivant à l’option Entreprise.
  • À l’exception des données clients contenues dans un environnement de test, le cas échéant, C3 Solutions s’assure que les données clients sont enregistrées et que des copies de sauvegarde sont régulièrement créées, comme détaillé dans la politique sur les données clients de C3 Hub. De plus, veuillez prendre note que toutes les données clients datant de plus de 24 mois sont dûment purgées de l’environnement de production du C3 Hub du client concerné et ne sont donc plus accessibles aux fins de production de rapports.

C3 Solutions n’utilise pas la sous-traitance ni aucun tiers pour la manipulation des données clients. Conformément à nos conditions d’utilisation standard, C3 Solutions ne fait appel à aucune sous-traitance pour ses obligations matérielles, y compris le traitement des données clients ou des renseignements personnels de ses utilisateurs, sans un avis préalable aux clients concernés.

Le personnel de C3 peut accéder aux données client uniquement lorsque cela est nécessaire pour des tâches spécifiques telles que des validations, le dépannage ou la maintenance. Tous les accès — qu’ils soient logiques ou physiques — sont accordés selon le principe du moindre privilège et sont strictement limités.

Les données clients sont hébergées dans nos installations de centres de données qui sont détenues par un hébergeur certifié. Nous avons une entente de colocation relativement à ses installations Canadiennes, où nous sommes responsables de notre propre infrastructure au sein du centre de données.

Intervention en cas d’incident et brèches de sécurité

C3 dispose d’une Politique et d’un Processus établis de gestion des incidents, suivis par notre Équipe d’intervention en cas d’incident de cybersécurité (CIRT) pour gérer les incidents depuis leur détection jusqu’à leur résolution. Nous assurons une surveillance continue de nos systèmes, priorisons les incidents en fonction de leur gravité, et faisons appel à des experts externes au besoin afin d’assurer une réponse rapide et efficace.

En cas de brèche de sécurité, C3 évaluera les risques, prendra les mesures correctives nécessaires et avisera toutes les parties requises par la loi dans un délai de 48 heures. Si des Données Client sont concernées, nous informerons d’abord le client et collaborerons avec lui pour toute notification requise avant de contacter les personnes concernées.

Sécurité au sein de l’environnement et l’infrastructure

C3 se conforme aux meilleures normes et pratiques de l’industrie ainsi qu’aux lois applicables en matière de protection de la vie privée et des données personnelles dans tous les pays où elle exerce ses activités, notamment :

  • Nous maintenons une protection active contre les programmes malveillants, incluant des pare-feux et des logiciels antivirus.
  • Notre réseau est segmenté, avec des règles de pare-feu limitant l’accès et seuls les ports nécessaires sont ouverts.
  • Nous surveillons les sources de vulnérabilités fiables au moins une fois par mois et appliquons les mises à jour ou mesures d’atténuation pertinentes.
  • Les correctifs de sécurité sont évalués, testés et appliqués selon les besoins, mais au minimum sur une base mensuelle.

Afin de faire le suivi de l’ensemble des changements apportés à notre environnement et d’assurer l’évaluation appropriée de ces changements et des risques qu’ils présentent, nous respectons des processus stricts en matière de gestion du changement :

  • Des procédures concernant les changements sont activées par une console de gestion spécifique à C3 Solutions munie d’un système de sécurité par rôles et d’un journal d’audit complet;
  • Les demandes de changement relatives à la production requièrent l’approbation du viceprésident responsable du secteur concerné;
  • Le responsable des actifs doit approuver les changements qui affectent les actifs dont il est responsable;
  • Les changements majeurs qui touchent la production, le périmètre de sécurité (pare-feu
  • et autres) ou les données personnelles sont soumis à un processus d’approbation à trois niveaux (département des TI, des opérations et de la sécurité).
  • Les changements mineurs doivent seulement être approuvés par le département des TI;
  • Les changements qui sont assujettis à une procédure opérationnelle permanente approuvée n’ont pas besoin d’approbation additionnelle.

Les données personnelles pourraient aussi être utilisées par le client dans le cadre de son utilisation générale des fonctionnalités de C3 Hub, notamment pour la production de rapports. C3 informera le client si, selon elle, les demandes des clients concernant le traitement des renseignements personnels par C3 enfreignent les lois en matière de protection des données et de la vie privée.

C3 utilise un éventail d’outils de sécurité — incluant un pare-feu, des systèmes de détection et de prévention des intrusions (IDS/IPS), des analyses de vulnérabilités, des journaux du système d’exploitation (OS logs) et une solution SIEM — pour détecter les menaces potentielles et les pertes de données. Nous surveillons l’activité Web, les événements de connexion et les tentatives d’attaque, en complément de nos principaux outils de surveillance et d’une console développée en interne.

Nous utilisons un outil de gestion des informations et des événements de sécurité (SIEM) pour consigner, surveiller et analyser les accès à nos actifs TI. Cet outil collecte et corrèle les journaux provenant de nos serveurs, de notre réseau, de nos pare-feux et de nos plateformes infonuagiques afin de soutenir notre stratégie de surveillance des incidents.

Sécurité au sein de l’environnement et l’infrastructure

Tous les fournisseurs sont soumis à un processus d’approbation formel incluant une évaluation rigoureuse de la sécurité, tenant compte de la sensibilité des informations partagées et des services fournis.

Nous révisons annuellement les fournisseurs approuvés afin d’assurer leur conformité continue à nos normes de sécurité. Nous disposons également d’un processus documenté de résiliation de fournisseur afin de gérer la désactivation de manière sécuritaire et de minimiser les risques.

Centres de données

Les sites de l’hébergeur reposent sur un système de gestion de la sécurité qui répond à des normes élevées :

  • AICPA SOC (analyse combinée de SSAE no 18 SOC 2 de type II et de [ISAE] 3402);
  • Certification ISO 27001;
  • Industrie des cartes de crédit (PCI);
  • HiTrust.

L’accès au centre de données est strictement limité aux employés autorisés de C3 figurant sur une liste de contrôle d’accès, laquelle est régulièrement révisée par le Gestionnaire TI. L’entrée se fait uniquement sur rendez-vous, nécessite une approbation interne et est sécurisée au moyen de cartes d’accès uniques et d’une vérification biométrique.

Les contrôles de sécurité physiques suivants sont mis en oeuvre au centre de données :

  • Gardiens de sécurité sur place en tout temps;
  • Protection contre les incendies;
  • Caméras de surveillance avec conservations des vidéos pendant 90 jours;
  • Surveillance de la température et de l’humidité;
  • Périmètre de sécurité;
  • Procédures de gestion des visiteurs.

Continuité des opérations et reprise après sinistre

Nous disposons d’un Plan de reprise après sinistre (PRS) et d’un Plan de continuité des activités (PCA) afin d’assurer la résilience opérationnelle. Les deux plans sont révisés et testés chaque année afin de maintenir leur efficacité.

  • AICPA SOC (analyse combinée de SSAE no 18 SOC 2 de type II et de [ISAE] 3402);
  • Certification ISO 27001;
  • Industrie des cartes de crédit (PCI);
  • HiTrust.

Le Plan de reprise après sinistre (PRS) de C3 comprend les éléments clés suivants :

  • Centres de données géographiquement séparés, chacun capable de faire fonctionner l’environnement de production complet.
  • Infrastructure entièrement redondante, sans point de défaillance unique.
  • Réplication en temps réel de la base de données avec un objectif de point de reprise (RPO) de 0 seconde et un objectif de temps de reprise (RTO) de moins de 4 heures.
  • Serveurs de production en attente hors ligne, disponibles sur demande.
  • Procédure de reprise après sinistre documentée, révisée et testée régulièrement.

Nous disposons d’une page de statut publique accessible à l’adresse https://status.c3solutions.com, qui fournit des mises à jour en temps réel sur l’état du système.

Gestion des vulnérabilités

C3 Solutions procède à des analyses des vulnérabilités au besoin, mais au moins une fois par
semaine, à l’aide de son outil de gestion des informations et des événements de sécurité (SIEM).

Des tests d’intrusion et des analyses des vulnérabilités formels sont également effectués par
une entreprise externe indépendante chaque année.

Gestion de la conformité et des risques

C3 se conforme aux meilleures normes et pratiques de l’industrie ainsi qu’aux lois applicables en matière de protection de la vie privée et des données personnelles dans tous les pays où elle exerce ses activités, notamment :

  • La Loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE)
  • La Loi sur la protection des renseignements personnels dans le secteur privé du Québec
  • La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25)
  • Le Règlement général sur la protection des données (RGPD – Règlement (UE) 2016/679)
  • La California Consumer Privacy Act (CCPA)

C3 Hub et C3 Reservations sont des logiciels développés, exploités et maintenus par C3 (le sous-traitant) et accessibles à partir d’Internet. Cet outil permet au client (le responsable du traitement) de soumettre et de recevoir des renseignements variés pour gérer efficacement les rendez-vous aux quais et les opérations de gestion de cour.

C3 Solutions traite les données clients, y compris des données personnelles et des informations d’identification personnelles (nom et coordonnées professionnelles, y compris l’adresse courriel professionnelle des utilisateurs de C3 Hub et de C3 Reservations pour les clients) uniquement dans la mesure requise de manière raisonnable pour répondre à ses obligations contractuelles ou légales. Les données personnelles sont utilisées (recueillies, structurées et stockées) par C3, au nom du client, seulement dans la mesure nécessaire pour ces fins et pour les fins énoncées ci-dessous:

C3 Solutions traite les données clients, y compris des données personnelles et des informations d’identification personnelles (nom et coordonnées professionnelles, y compris l’adresse courriel professionnelle des utilisateurs de C3 Hub et de C3 Reservations pour les clients) uniquement dans la mesure requise de manière raisonnable pour répondre à ses obligations contractuelles ou légales. Les données personnelles sont utilisées (recueillies, structurées et stockées) par C3, au nom du client, seulement dans la mesure nécessaire pour ces fins et pour les fins énoncées ci-dessous:

  • Permettre l’authentification d’un utilisateur;
  • Faire le suivi des actions des utilisateurs dans C3 Hub;
  • Envoyer des notifications par courriel aux utilisateurs concernant leur utilisation de C3
  • Hub au nom du client;
  • Nous permettre d’offrir un soutien adéquat pour C3 Hub.

Les données personnelles pourraient aussi être utilisées par le client dans le cadre de son utilisation générale des fonctionnalités de C3 Hub, notamment pour la production de rapports. C3 informera le client si, selon elle, les demandes des clients concernant le traitement des renseignements personnels par C3 enfreignent les lois en matière de protection des données et de la vie privée.

La gestion des risques (y compris l’analyse des risques) fait partie intégrante des activités de C3 Solutions. Actuellement, nous surveillons et analysons efficacement la sécurité de nos solutions et de nos réseaux, ainsi que les risques connexes, en prenant diverses mesures. Nous avons une politique et un cadre de gestion des risques documentés (qui comprend plusieurs procédures détaillées, des évaluations des risques traçables, la sensibilisation et la formation, etc.) qui assurent la mise en place de procédures et de contrôles précis pour repérer, évaluer et gérer les risques associés à nos activités, et que ces risques sont surveillés et analysés régulièrement.

Sécurité du personnel

Notre objectif est d’embaucher des personnes qui contribueront positivement à la culture de sécurité intégrée que nous avons bâtie. Ainsi, conformément à la Politique de sécurité du personnel de C3 et sous réserve des lois et normes éthiques applicables, avant le début de toute relation (emploi, sous-traitance, etc.), le département des Ressources humaines de C3 effectuera des vérifications raisonnables sur tous les nouveaux candidats à la main-d’œuvre. L’ampleur de ces vérifications variera selon les exigences opérationnelles et les évaluations des risques associées aux fonctions et responsabilités à assumer.

  • Qualifications
  • Vérifications raisonnables des antécédents criminels
  • Des vérifications appropriées doivent également être effectuées lors d’une promotion à un poste plus élevé ou plus sensible, si elles n’ont pas été réalisées au début de la relation de travail.

Nous nous assurons que tous les employés suivent une formation de sensibilisation à la sécurité lors du processus d’accueil, puis de manière continue afin que la sécurité demeure une priorité et reste bien ancrée dans leur esprit. Des tests d’hameçonnage mensuels et des vidéos de formation en sensibilisation à la sécurité sont envoyés à l’ensemble des employés. De plus, un programme annuel de formation et de sensibilisation est offert, couvrant les pratiques de travail sécuritaires (fondées sur nos politiques) ainsi que les techniques d’ingénierie sociale, afin d’accroître la vigilance et de garantir une bonne compréhension.

En outre, conformément à la Politique de sécurité du personnel de C3, chaque employé de C3 doit lire et comprendre l’ensemble des Politiques de C3, y compris celles liées à la Sécurité de l’information, et les revoir au moins une fois par année.