Système de gestion de la sécurité de l'information de Monotype
Le système de gestion de la sécurité de l'information de Monotype est certifié ISO 27001:2022
Grâce à notre système de gestion de la sécurité de l’information, nous appliquons le règlement général sur la protection des données (RGPD) par le biais des contrôles suivants :
-
Contrôle de l’accès physique
L’accès aux bureaux Monotype est contrôlé par des clés, des données biométriques et/ou des cartes électroniques. Les visiteurs sont toujours escortés par le personnel de Monotype. L’accès aux centres de données Monotype est contrôlé soit par Monotype, soit par les prestataires de service des centres de données. Monotype n’a pas d’accès physique aux sites d’Amazon Web Services (AWS) qu’il utilise.
-
Contrôle de l’utilisation
Les employés de Monotype sont identifiés par un registre qui contient des noms d’utilisateur uniques pour chaque compte et les mots de passe correspondants. Le système d’identité principal de Monotype est géré en interne et applique des politiques de complexité des mots de passe ainsi que le blocage automatique.
En outre, les employés sont tenus d’utiliser une vérification à deux facteurs. Lorsque cela est possible, l’utilisation de groupes et de rôles est déployée. En transit, le cryptage des informations est mis en œuvre par l’utilisation obligatoire de la sécurité de la couche transport (TLS).
-
Contrôle de l’accès virtuel
L’accès aux ressources, services et systèmes de Monotype n’est accordé qu’en cas de besoin. Monotype procède à des contrôles réguliers pour s’assurer que l’accès est limité aux seuls employés qui y sont autorisés. Dans la mesure du possible, l’utilisation de groupes et de rôles est mise en œuvre.
-
Contrôle de la confidentialité
L’accès à tous les systèmes Monotype n’est autorisé que sur des protocoles cryptés TLS. Tout accès nécessite une authentification et une autorisation. L’utilisation des ressources Monotype est enregistrée, surveillée et signalée. Tous les accès aux systèmes Monotype se font par l’intermédiaire d’un pare-feu d’application web qui garantit uniquement l’accès autorisé aux services et aux informations.
-
Contrôle des données
Monotype met en place un système de journalisation, de contrôle et de rapport pour détecter les modifications de données, mis en œuvre soit en interne, soit par des services tiers.
-
Contrôle de la disponibilité
La disponibilité est assurée par l’hébergement de nos services chez des fournisseurs d’infrastructure en tant que service (Iaas) ou dans des centres de données gérés par Monotype, qui offrent une disponibilité d’au moins 99,5 %. L’infrastructure de Monotype comprend un pare-feu d’application web, des équilibreurs de charge et des serveurs alloués dynamiquement. Pour les infrastructures de logiciel en tant que service (Saas), nos fournisseurs sont responsables de la redondance des données et de la sécurité de l’infrastructure, en assurant une protection contre les attaques par déni de service distribué (DDoS) et les attaques de la couche applicative. Pour les solutions hébergées par Monotype, nous fournissons une sécurité d’infrastructure de pointe et utilisons les services de première classe pour nous protéger contre ces attaques. Monotype effectue régulièrement des contrôles de sécurité, des analyses et des tests de pénétration sur les systèmes pour s’assurer que les logiciels et les configurations sont à jour.
-
Contrôle de la séparation
Monotype déploie des bases de données qui ont des privilèges différents, et les utilisateurs finaux ne peuvent pas écrire dans les bases de données principales. Monotype utilise des mécanismes de contrôle logiciel pour assurer l’isolation des données des clients, de sorte qu’un client ne puisse pas accéder aux informations appartenant à un autre client.
-
Contrôle de la résilience
Monotype assure la résilience en hébergeant nos services sur des fournisseurs IaaS, qui fournissent des mécanismes permettant à notre service de survivre aux catastrophes locales et régionales. Tous les services hébergés dans un centre de données Monotype disposent de contrôles pour la réplication des données au niveau local et régional afin de garantir que notre service survivra à une catastrophe locale ou régionale.
-
Contrôle de l’intégrité
Monotype exploite le TLS pour assurer l’intégrité des données pendant le transport. Les services de Monotype s’appuient sur des routines de validation des données, des sommes de contrôle et des hachages pour garantir l’intégrité des données pendant le traitement.
Vous trouverez une copie de notre certificat ici.