CHEZ CONTRAST SECURITY, NOUS

accordons beaucoup d'importance à la protection de la vie privée.

DÉCLARATION DE RESPONSABILITÉ

Les produits et services de Contrast Security, Inc. représentent une approche révolutionnaire de la protection continue des applications, tout comme le règlement général sur la protection des données de l'Espace économique européen représente une approche révolutionnaire pour permettre aux individus de contrôler leurs informations personnelles. Contrast Security, Inc. s'est fermement engagée à assurer le respect de normes maximales en matière de protection de la vie privée et de sécurité des informations, comme en témoignent nos offres de produits et notre environnement de conformité interne.

La responsabilité, l'intégrité, la transparence, le respect de la vie privée dès la conception et nos normes de sécurité guident pratiquement toutes les décisions prises chez Contrast.

Vous partagerez des informations avec nous en visitant notre site web et en utilisant nos services. Nous souhaitons vous expliquer clairement quelles informations nous recueillons, la façon dont nous les utilisons, la façon dont nous les partageons et les possibilités de contrôle que nous vous donnons pour accéder, mettre à jour et supprimer les informations vous concernant.

Nous souhaitons aussi fournir ces explications d'une manière qui soit facile à comprendre. Les exigences légales et réglementaires sont importantes, mais notre objectif est de minimiser tout « jargon juridique » qui pourrait prêter à confusion. Vous pouvez également contacter privacy@contrastsecurity.com à tout moment.

Si vous résidez dans l'Espace économique européen, vous trouverez dans notre politique de confidentialité des informations qui vous concernent spécifiquement. Nous avons une section entière consacrée au Règlement général sur la protection des données (« RGPD ») à la fin de notre Politique de confidentialité.

Nous ne recueillons pas de données personnelles sur notre site web à moins que vous ne les fournissiez volontairement. Les données personnelles sont des informations que nous pouvons utiliser pour vous identifier en tant qu'individu et qui peuvent inclure votre nom, votre adresse, l'adresse électronique de votre entreprise, votre numéro de téléphone et toute autre information qui vous concerne personnellement.

Si jamais on vous demande de fournir des données personnelles ou d'autres informations confidentielles à quelqu'un qui prétend représenter Contrast Security, veuillez nous en informer à l'adresse privacy@contrastsecurity.com. Si vous pensez avoir découvert une faille de sécurité sur Contrast ou sur l'un de nos produits ou services, veuillez cliquer ici : Déclaration des vulnérabilités.

Nous nous engageons à protéger les informations en notre possession et qui sont sous notre contrôle. Notre programme de conformité est dynamique et proactif, ce qui nous permet de nous tenir au courant des derniers changements et améliorations apportés dans le domaine en constante évolution de la conformité dans le monde entier. Nous avons mis en place des mesures de protection pratiques et solides sur les plans administratif, technique et physique afin d'empêcher l'accès, l'utilisation, la modification et la divulgation non autorisés de ces informations. C'est une responsabilité que nous prenons très au sérieux et nous disposons de contrôles internes solides en matière de gestion du changement et de responsabilisation des employés.

L'un des cofondateurs de Contrast Security est également l'un des fondateurs et l'un des principaux contributeurs de l'Open Web Application Security Project (« OWASP »), où il a été président du conseil d'administration de l'OWASP pendant 8 ans et a créé le Top 10 OWASP, l'API de sécurité des entreprises OWASP, la norme de vérification de la sécurité des applications OWASP, la fiche technique de prévention XSS et de nombreux autres projets gratuits et ouverts largement adoptés. L'OWASP est une organisation caritative mondiale à but non lucratif dont l'objectif est d'améliorer la sécurité des logiciels. Elle fournit des informations impartiales et pratiques sur la sécurité des applications aux particuliers, aux entreprises et à d'autres organisations du monde entier. Afin de mettre davantage en évidence la priorité accordée par Contrast à son environnement de conformité, nous comptons dans notre équipe un responsable de la protection des données, de la vie privée et de la conformité qui cumule plus de 25 ans d'expérience et dont la fonction principale est la surveillance de notre environnement de risque opérationnel. Il est notre délégué à la protection des données désigné pour le règlement général sur la protection des données (« RGPD »).

Notre environnement de produits est hébergé chez Amazon Web Services (« AWS »), un partenaire qui adhère aux normes de conformité les plus strictes. AWS est conforme aux normes CSA, GDPR, ISO, PCI et SOC et a été le premier fournisseur de services dans le cloud à adopter la nouvelle évaluation PCI DSS 3.2 avant l'échéance obligatoire du 1er février 2018. Bien que nous n'acceptions aucun paiement en ligne et que nous ne recueillions aucune information de paiement, nous pensons que cette conformité proactive illustre la robustesse des mesures de sécurité des informations mises en place par notre hébergeur. AWS est certifié FedRamp, répond à toutes les exigences de la FERPA, de la HIPAA et de la directive européenne sur la protection des données et, en date du 26 mars 2018, était entièrement conforme au RGPD. Plus d'informations à ce sujet peuvent être consultées ici : Conformité d'AWS au RGPD. Contrast a conclu un addenda sur le traitement des données avec AWS à propos du RGPD. AWS permet l'harmonisation avec la FISMA et adhère au cadre du NIST. Pour obtenir la liste complète de leurs programmes de certification, veuillez cliquer ici. Nous serons ravis de répondre à toutes vos questions sur les mesures que nous prenons pour garantir les normes et pratiques les plus solides et les meilleures de leur catégorie chez Contrast.

CONTRAST SECURITY ET LE CADRE DU BOUCLIER DE PROTECTION DE LA VIE PRIVÉE DE L'U.E.-É.-U. / SUISSE-É.-U.

Contrast Security, Inc. se conforme aux cadres du Bouclier de protection des données de l'Union européenne et des États-Unis et du Bouclier de protection des données Suisse-États-Unis (« Bouclier de protection ») concernant la collecte, l'utilisation et la conservation des informations personnelles transférées par l'Union européenne, le Royaume-Uni et la Suisse vers les États-Unis en vertu du Bouclier de protection. Contrast Security, Inc. a certifié au ministère du Commerce qu'elle adhère aux principes de protection de la vie privée à l'égard de ces informations. En cas de conflit entre les termes de la présente politique de confidentialité et les principes du Bouclier de protection de la vie privée, les principes du Bouclier de protection de la vie privée prévaudront. Pour en savoir plus sur le programme du Bouclier de protection de la vie privée ou pour consulter notre certification, veuillez visiter le site https://www.privacyshield.gov/.

CONTRAST SECURITY ET LE RÉGLEMENT GÉNÉRAL DE L'U.E. SUR LA PROTECTION DES DONNÉES (RGPD)

Comme mentionné ci-dessus, les produits Contrast représentent une approche révolutionnaire pour la protection continue des applications. Le RGPD représente une approche révolutionnaire pour permettre aux individus d'exercer un contrôle sur leurs informations personnelles.

Contrast Security, Inc. a pris toutes les mesures nécessaires pour assurer le respect du Règlement général de l'U.E. sur la protection des données (RGPD) et continuera de surveiller le paysage réglementaire international afin d'obtenir des recommandations quant aux améliorations à apporter, conjointement avec l'application du RGPD à compter du 25 mai 2018. Pour de plus amples informations sur le RGPD, veuillez consulter notre politique de confidentialité ci-dessous.

Pour plus d'informations sur le RGPD de l'U.E., veuillez cliquer ici.

Pour plus d'informations sur le NIST, veuillez cliquer ici.

Depuis le 31 janvier 2017, Contrast est conforme à la norme SOC2 de type II et, depuis le 31 octobre 2017, nous maintenons un calendrier SOC2 annuel continu.

CONTRAST SECURITY—POLITIQUE DE CONFIDENTIALITÉ

Mise à jour le 25 mai 2018

Contrast Security, Inc. (« Contrast », « nous » ou « notre ») s'engage à protéger vos applications des vulnérabilités. Nous avons conçu cette politique de confidentialité pour décrire notre protocole de collecte, d'utilisation et de divulgation des données relatives aux produits et aux offres de Contrast (le « Service ») ou aux produits et offres connexes. La présente politique est intégrée à nos conditions d'utilisation et en fait partie intégrante. Elles peuvent être consultées à l'adresse suivante : ConditionsLes informations recueillies seront uniquement utilisées pour la fourniture du service pour lequel vous nous avez engagés.

Notre politique de confidentialité est sujette à changement en raison de modifications apportées par les organismes de réglementation, les meilleures pratiques ou les améliorations apportées à l'environnement de conformité et de contrôle. Si nous devions modifier de manière substantielle notre façon d'utiliser vos données d'application ou vos données personnelles, nous vous en aviserions en vous envoyant un courriel à la dernière adresse électronique que vous nous avez fournie et/ou en affichant de manière visible un avis de modification sur notre site. Toute modification importante apportée à la présente politique de confidentialité entrera en vigueur à la date et à l'heure de sa mise à jour sur notre site web. Ces changements entreront en vigueur immédiatement pour les nouveaux utilisateurs de notre site web ou de notre service. L'utilisation continue de notre site web, de notre service ou de nos produits connexes suite à un avis de modification signifiera que vous reconnaissez ces changements et que vous acceptez d'être lié par les modalités et conditions de ces changements.

Informations sur notre site web

Lorsque vous visitez notre site web à l'adresse www.contrastsecurity.com (le « site web »), nous recueillons votre adresse IP ainsi que d'autres informations connexes telles que les demandes de pages, le type de navigateur, les pages de renvoi et de sortie, les fichiers consultés sur notre site (pages HTML, graphiques ou autres), le système d'exploitation et le temps moyen passé sur notre site. Nous utilisons ces informations pour mieux comprendre l'activité de notre site web et pour surveiller et améliorer ce dernier.

Cookies

Notre site web utilise une technologie appelée « cookies ». Pour plus d'informations sur les cookies, veuillez cliquer ici : Cookies.  Les cookies sont de petits fichiers texte, souvent chiffrés, situés dans les répertoires du navigateur. Ils sont utilisés par les développeurs web pour aider les utilisateurs à naviguer efficacement sur leurs sites web et à exécuter certaines fonctions. Vous pouvez configurer votre navigateur pour qu'il vous avertisse lorsque vous recevez un cookie ou pour qu'il n'accepte pas certains cookies. Toutefois, si vous décidez de ne pas accepter les cookies de notre site web, certaines fonctions peuvent ne pas fonctionner comme prévu. Vous pouvez également supprimer les cookies. Pour savoir comment le faire, veuillez cliquer ici : Effacer les cookies

Do-Not-Track

Il y a différentes façons d'empêcher le suivi de votre activité en ligne. L'une d'entre elles est de définir une préférence dans votre navigateur qui avertit les sites web que vous visitez que vous ne souhaitez pas qu'ils recueillent certaines informations à votre sujet. C'est ce qu'on appelle un signal Do-Not-Track (« DNT »).

Il se peut que le site web de Contrast ne reconnaisse pas les signaux DNT émis par les navigateurs web ou ne réagisse pas en conséquence, car il n'existe actuellement aucune norme universellement acceptée prévoyant ce qu'une entreprise doit faire lorsqu'un signal DNT est détecté. Lorsqu'une norme sera établie, nous évaluerons la meilleure façon de répondre aux signaux. Pour plus d'informations, veuillez cliquer ici : Signaux DNT

Autres liens

Notre site web peut contenir des liens vers d'autres sites web qui ne nous appartiennent pas ou que nous n'exploitons pas. Nous mettons ces liens à votre disposition uniquement pour votre commodité, uniquement à titre d'information. Ces liens n'ont pas pour but d'endosser ou de vous adresser vers les sites web auxquels ils renvoient. Les sites web liés ont des déclarations de confidentialité, des avis et des conditions d'utilisation distincts et indépendants. Nous n'exerçons aucun contrôle sur ces sites web et, par conséquent, nous n'assumons aucune responsabilité quant à leur façon d'exploiter leurs sites et ce qu'ils peuvent recueillir, utiliser, divulguer, sécuriser ou faire de vos informations personnelles. En choisissant de cliquer sur ces liens, vous quitterez notre site et serez redirigé vers un autre site. Au cours de ce processus, un tiers peut recueillir des données personnelles ou anonymes vous concernant et Contrast n'est pas responsable de l'utilisation qu'il fait de vos données. Si vous résidez dans l'Union européenne et que vous avez des inquiétudes au sujet de vos données, vous devrez contacter le service de protection de la vie privée du tiers ou le délégué à la protection des données qu'il a désigné.

Les liens vers notre site web peuvent apparaître ou être référencés sur d'autres sites web qui ne sont pas sous notre contrôle et, par conséquent, nous n'avons aucune responsabilité ou obligation quant au fonctionnement de ces sites. Assurez-vous de bien comprendre les politiques de confidentialité et les conditions d'utilisation de tout site que vous visitez. Si vous pensez qu'une autre entité a publié un lien vers Contrast Security qui est trompeur ou qui compromet l'intégrité de Contrast Security, veuillez contacter privacy@contrastsecurity.com. Ces notifications resteront strictement confidentielles.

Réseaux sociaux

Notre site web comprend des fonctions de réseaux sociaux, comme Twitter, LinkedIn, Google Circles, etc. Si vous accédez à ces sites, ils pourront recueillir votre adresse IP, la page de notre site que vous visitez et ils peuvent placer un témoin pour optimiser leur fonctionnalité. Les fonctionnalités et widgets de réseaux sociaux sont soit hébergés par un tiers, soit directement sur notre site web. Vos interactions avec ces fonctionnalités sont régies par la politique de confidentialité de la société qui les fournit et non par Contrast Security.

Nous vous encourageons à lire attentivement la déclaration de confidentialité de tout site web que vous visitez, qu'il s'agisse de www.contrastsecurity.com ou d'un autre site.

Collecte et utilisation des informations

En soumettant des données ou informations d'application, personnelles ou autres (les « données »), ou en les mettant à la disposition de Contrast, vous acceptez les termes de la présente Politique de confidentialité et vous consentez expressément au traitement de vos données conformément à celle-ci. 

Lorsque vous nous fournissez des données, elles sont principalement utilisées pour répondre à des demandes ou pour nous permettre de mieux vous servir. Une fois que vous devenez client de Contrast, nous sommes susceptibles de vous envoyer un courriel de bienvenue, des notifications administratives par courriel telles que des avis de sécurité ou d'assistance et de maintenance, des communications promotionnelles, de vous demander de participer à une enquête, de vous envoyer des mises à jour et des offres spéciales relatives à notre service et à d'autres fins spécifiques à Contrast. Nous pourrons vous contacter par téléphone afin de vérifier des informations, d'examiner les vulnérabilités potentielles ou de solliciter des commentaires.

Comme nous fournissons des services et des produits de sécurité d'applications web, nos logiciels sont intégrés dans les applications web de nos clients pour surveiller les vulnérabilités et prévenir les attaques. Dans le but d'exécuter les services de sécurité des applications web pour le compte de nos clients, nous pouvons être amenés à recueillir et à utiliser des données par l'intermédiaire des applications web de nos clients. Nous ne recueillons ni n'utilisons vos informations personnelles par l'intermédiaire de vos applications web à d'autres fins que celles de fournir le service auquel vous vous êtes abonné ; cela comprend l'assistance et les réponses aux questions que vous pourriez avoir au sujet du service.

Le terme « données d'application » désigne les données relatives aux performances de votre application, les données du système (telles que les données de version, les noms des plug-ins, etc.) concernant l'environnement d'exécution de votre application, les données relatives aux transactions dans votre application (« données de transaction »), les traces d'appel et les extraits de code source pour certaines catégories d'erreurs et d'autres données similaires relatives à votre application.

Toute donnée d'application que nous recueillons est utilisée pour vous informer des vulnérabilités et des attaques et pour vous communiquer des informations sur les performances des applications. Nous pouvons également agréger les données d'application de plusieurs comptes et les utiliser pour créer et publier des références sectorielles ou des indicateurs comparatifs de performance des applications. Par défaut, nous masquons toutes les données de transaction individuelles que nous recueillons. Vous avez la possibilité de modifier la configuration de nos produits afin que les données de transaction individuelles ne soient pas masquées. Vous pouvez également désactiver certaines règles de vulnérabilité et/ou la collecte de certains types de données d'application collectées par le biais de notre service. Vous pouvez consulter des informations sur la manière de procéder ici.

Vous consentez expressément au partage de vos données d'application tel que décrit dans la présente politique.

Choix concernant vos informations

Nous vous proposons différents choix concernant la collecte, l'utilisation et le partage de vos informations. Nous pouvons être amenés, de temps à autre, à vous envoyer des courriels concernant une maintenance planifiée, ou qui font la promotion de nos produits ou services, etc. Vous pouvez vous désabonner de toute autre communication en suivant les instructions de désabonnement indiquées dans le courriel ou en nous contactant à l'adresse privacy@contrastsecurity.com. Si vous décidez de ne plus recevoir de communications à l'avenir, nous aviserons les tiers avec lesquels nous pourrions être associés pour la gestion de votre compte afin de nous assurer de vous ne recevrez plus de communications de leur part. Peu importe que vous vous désabonniez ou non, nous pourrons, sans y être obligés, être amenés à vous envoyer des courriels et/ou des avis concernant les mises à jour de notre politique de confidentialité ou de nos conditions d'utilisation.

Lorsque nous supprimons des informations de compte, celles-ci sont supprimées de la base de données active, mais peuvent rester dans nos archives. Par ailleurs, nous conserverons vos informations tant que votre compte sera actif ou si cela est nécessaire pour vous fournir le service auquel vous avez souscrit. Elles seront également conservées dans la mesure où cela est nécessaire pour respecter nos obligations légales, pour le règlement des différends et pour l'application de nos accords.

Nous ne divulguerons, ne vendrons ni ne transférerons de quelque façon que ce soit des informations personnelles sans votre consentement préalable, sauf tel qu'il est stipulé aux présentes ou, le cas échéant, dans l'accord ou le contrat de service qui nous lie.

Nous sommes susceptibles de transférer ou divulguer des informations personnelles comme suit :

  • En lien avec notre site web ou le service, nous pouvons transférer (ou mettre à disposition d'une autre manière) des informations personnelles à des tiers qui fournissent des services pour notre compte. Les informations se limitent à celles dont ils ont besoin pour remplir leurs fonctions, et ils ne sont pas autorisés à utiliser ou à divulguer des informations personnelles à des fins de marketing ou à d'autres fins. Cette condition est, et continuera d'être, incluse dans tous les accords que nous avons conclus avec un fournisseur de services ou un tiers.
  • Si Contrast est impliqué dans une fusion, une vente ou une acquisition, nous pouvons transférer des informations personnelles dans le cadre de la transaction. Nous ferons tout notre possible pour vous prévenir à l'avance de toute fusion, vente ou acquisition ainsi que de toute réorganisation de l'entreprise ou changement de direction important.
  • Contrast peut être tenue de fournir des informations personnelles à la demande d'un organisme gouvernemental, d'application de la loi ou de réglementation. Nous ne divulguerons des informations personnelles qu'en réponse à :
    • une assignation à comparaître, un mandat ou toute autre procédure émise par un tribunal compétent ;
    • une procédure judiciaire ayant le même impact qu'une demande d'information émise par un tribunal où, en cas de refus, nous serions en infraction avec la loi locale et/ou où nous ou nos dirigeants, cadres ou employés serions tenus responsables pour ne pas avoir respecté cette procédure judiciaire ;
    • une situation où une telle divulgation est nécessaire pour que nous puissions faire valoir nos droits légaux en vertu des lois de la juridiction auprès de laquelle ces informations ont été recueillies ; ou
    • réduire une menace grave et/ou imminente de lésions corporelles.

Lorsqu'une divulgation de vos informations est requise dans de telles circonstances, nous vous en aviserons rapidement dans la mesure du possible, avant de nous conformer à ces exigences (dans la mesure où il nous est possible de le faire). À cette fin, il est important que vous conserviez en tout temps des informations à jour sur notre service.

Remarque importante :

  • Vous n'avez pas besoin de vous inscrire pour naviguer sur notre site web. Toutefois, si vous êtes intéressé par une démonstration de produit, un essai gratuit ou le téléchargement d'un livre blanc, par exemple, vous devrez fournir un nom, une adresse électronique de l'entreprise et un numéro de téléphone. Nous utilisons ces informations pour communiquer avec vous et gérer votre utilisation de notre service pendant une période d'essai.
  • Contrast ne recueille aucune donnée personnelle à moins que vous ne la fournissiez volontairement. Nous ne recueillons aucune information financière en ligne. Toutes les commandes sont passées et gérées directement auprès d'un gestionnaire de clientèle.
  • Notre site web comprend un lien intitulé « Carrières ».  Si vous postulez à une offre d'emploi chez nous, vous pouvez fournir certaines informations personnelles vous concernant (lettre de présentation, curriculum vitae, références, admissibilité ou autres informations liées à l'emploi).  Nous utilisons ces informations dans le but de traiter votre demande d'emploi actuelle et future et d'y répondre. Si vous résidez dans l'Espace économique européen, veuillez consulter la section consacrée au RGPD ci-dessous.
  • Notre site web comprend une page « Contactez-nous ». Si vous utilisez ce formulaire, vous pouvez fournir certaines informations personnelles vous concernant (nom, courriel de votre entreprise, numéro de téléphone, nom de votre entreprise, nombre d'employés dans votre entreprise, votre secteur d'activité, votre fonction et l'adresse de votre entreprise), ainsi que le contenu de tout message que vous choisissez d'envoyer. Nous utilisons ces informations pour vous contacter et ne le ferons qu'à des fins commerciales légitimes.
  • Si vous vous abonnez aux notifications de notre blog, nous recueillerons votre nom, votre adresse électronique et le nom de votre société. Si vous postez des commentaires sur notre blog, les informations contenues dans votre message seront stockées sur nos serveurs et les autres utilisateurs pourront les voir. Pour demander la suppression de vos informations personnelles de notre blog ou forum communautaire, veuillez nous contacter à l'adresse marketing@contrastsecurity.com.
  • De temps à autre, Contrast peut réaliser des enquêtes dont les résultats permettront d'améliorer le service client et/ou les produits. Si vous choisissez de participer à l'un de nos sondages, nous pourrons recueillir des informations telles que votre nom, l'adresse électronique de votre entreprise, votre numéro de téléphone, le nom de votre entreprise, etc.
  • Si vous nous contactez pour nous poser une question, nous faire part de vos commentaires, déposer une plainte, etc., il se peut que l'on vous demande des informations permettant de vous identifier (comme votre nom, l'entreprise à laquelle vous êtes affilié, votre adresse électronique et/ou un numéro de téléphone) ainsi que des informations supplémentaires dont nous pourrions avoir besoin pour vous apporter une réponse rapide et précise. Nous pouvons conserver ces informations pour vous aider à l'avenir et pour améliorer notre service clients, nos offres de services et notre site web.
  • Nous recueillons également d'autres types de données telles que le système d'exploitation et sa version, des informations sur votre application et votre environnement d'exploitation ainsi que d'autres informations demandées si vous nous contactez par courriel afin d'obtenir une assistance pour le service.

LA LOI SUR LA PROTECTION DE LA VIE PRIVÉE DES ENFANTS EN LIGNE (« COPPA »)

Contrast ne recueillera jamais intentionnellement des données auprès d'enfants âgés de 13 ans ou moins. Si un parent, un tuteur ou une autre personne soupçonne qu'un enfant de 13 ans ou moins a fourni des données à Contrast, cette personne doit immédiatement signaler cette information à l'adresse privacy@contrastsecurity.com. Contrast ne conservera les données qu'aussi longtemps qu'il sera nécessaire pour supprimer les informations en prenant toutes les mesures raisonnables pour se protéger contre tout accès ou utilisation non autorisé ou pour se conformer aux exigences légales ou réglementaires.

LE PROGRAMME DE BOUCLIER DE PROTECTION

Contrast Security, Inc. se conforme aux cadres du Bouclier de protection des données de l'Union européenne et des États-Unis et du Bouclier de protection des données Suisse-États-Unis (« Bouclier de protection ») concernant la collecte, l'utilisation et la conservation des informations personnelles transférées par l'Union européenne, le Royaume-Uni et la Suisse vers les États-Unis en vertu du Bouclier de protection. Contrast Security, Inc. a certifié au ministère du Commerce qu'elle adhère aux principes de protection de la vie privée à l'égard de ces informations. En cas de conflit entre les termes de la présente politique de confidentialité et les principes du Bouclier de protection de la vie privée, les principes du Bouclier de protection de la vie privée prévaudront. Pour en savoir plus sur le programme du Bouclier de protection de la vie privée ou pour consulter notre certification, veuillez visiter le site https://www.privacyshield.gov/.

Les principaux objectifs du Bouclier de protection de la vie privée sont d'informer les personnes sur :

  • le type ou l'identité des tiers auxquels une organisation communique des informations personnelles et les fins pour lesquelles elle le fait ;
  • le droit des individus d'accéder à leurs données personnelles ;
  • les choix et les moyens qu'une organisation met à disposition aux individus pour limiter l'utilisation et la divulgation de leurs données personnelles ;
  • une organisation assujettie aux pouvoirs d'enquête et d'application de la loi de la Federal Trade Commission (FTC, Commission fédérale du commerce des États-Unis) ;
  • la possibilité, sous certaines conditions, pour l'individu d'avoir recours à l'arbitrage exécutoire ;
  • l'obligation pour une organisation de communiquer des informations personnelles en réponse à des demandes légitimes des autorités publiques, y compris pour satisfaire aux exigences en matière de sécurité nationale, d'application de la loi ou de réglementation ;
  • la responsabilité d'une organisation en cas de transferts ultérieurs vers des tiers.

Conformément aux principes du Bouclier de protection de la vie privée, Contrast Security, Inc. s'engage à apporter une solution aux réclamations concernant la collecte ou l'utilisation de vos informations personnelles. Les personnes qui résident dans l'U.E., au Royaume-Uni ou en Suisse qui ont des questions ou des réclamations concernant notre politique de protection de la vie privée doivent d'abord contacter Contrast Security, Inc. à l'adresse suivante : privacy@contrastsecurity.com.

Contrast s'est en outre engagée à coopérer avec le panel mis en place par les autorités de protection des données de l'U.E. (APD) en ce qui concerne les réclamations non résolues relatives aux données de ressources humaines transférées depuis l'U.E. ou le Royaume-Uni dans le cadre de la relation de travail. Enfin, Contrast s'engage à coopérer avec le Préposé fédéral suisse à la protection des données et à l'information (« PFPDT ») et à se conformer aux recommandations de ces autorités concernant les données de ressources humaines transférées depuis la Suisse dans le cadre de la relation de travail.

Contrast s'auto-certifie conforme au Bouclier de protection de la vie privée. Une auto-évaluation est signée par un dirigeant de l'entreprise ou un autre représentant autorisé de l'organisation au moins une fois par an et mise à disposition sur demande de personnes ou dans le cadre d'une enquête ou d'une réclamation pour non-conformité. Contrast est tenue de répondre rapidement aux demandes de renseignements individuelles et aux autres demandes de renseignements du département du Commerce qui concernent son adhésion aux principes du Bouclier de protection de la vie privée. 

En vertu du Bouclier de protection de la vie privée, une personne a la possibilité, sous certaines conditions, d'invoquer l'arbitrage exécutoire pour les réclamations qui concernent le respect du Bouclier de protection de la vie privée qui ne sont résolues par aucun autre mécanisme de ce type. En vertu du Bouclier de protection de la vie privée, Contrast doit répondre aux réclamations individuelles dans un délai de 45 jours. Pour de plus amples informations, visitez le site Bouclier de protection/Réclamation


TÉMOIGNAGES

Nous sommes susceptibles d'afficher sur notre site web des témoignages de clients qui peuvent contenir des informations personnelles. Tous les témoignages de clients exigent le consentement volontaire du client à fournir le témoignage et à sa publication. Si vous apportez un témoignage et souhaitez ultérieurement qu'il soit retiré, veuillez nous contacter à l'adresse marketing@contrastsecurity.com.

VOS DROITS EN MATIÈRE DE PROTECTION DE LA VIE PRIVÉE EN CALIFORNIE

En vertu de l'article 1798.83 du Code civil de la Californie, les résidents de l'État de la Californie ont le droit de demander certaines informations concernant les tiers auxquels la société a communiqué certaines catégories d'informations personnelles au cours de l'année précédente à des fins de marketing direct par ces tiers. Par ailleurs, la loi prévoit qu'une entreprise qui a une politique de protection de la vie privée donnant aux consommateurs le choix quant au partage d'informations personnelles avec des tiers à des fins de marketing direct, telle que Contrast, peut également choisir de fournir des informations sur la façon d'exercer ce choix. Si vous souhaitez renoncer à ce type de partage avec des tiers, veuillez nous écrire à l'adresse privacy@contrastsecurity.com en indiquant « Renonciation » dans l'objet du message.

CONTACT

Veuillez contacter privacy@contrastsecurity.com pour toute question ou commentaire ou pour déposer une réclamation. Vous pouvez également appeler le +1(650) 567-4734, poste 8, pour signaler une infraction présumée à la déontologie.

Vous pouvez également nous écrire, de façon anonyme ou non, à l'adresse suivante :

Contrast Security, Inc.

Attn: Privacy

240 3rd Street

Los Altos, CA 94022

États-Unis

Digital Millennium Copyright Act

Contrast respecte les droits de propriété intellectuelle d'autrui et attend de ses utilisateurs qu'ils fassent de même. Conformément au Digital Millennium Copyright Act de 1998 (le « DMCA »), dont le texte est disponible sur le site web de l'U.S. Copyright Office à l'adresse http://www.copyright.gov/legislation/dmca.pdf, Contrast répondra rapidement aux réclamations pour violation du droit d'auteur en utilisant notre service ou notre site web. De telles réclamations doivent être signalées à l'agent des droits d'auteur désigné par Contrast et identifié ci-dessous.

Si vous détenez un droit d'auteur, êtes autorisé à agir pour le compte du détenteur d'un droit d'auteur, ou êtes autorisé à agir sous un droit exclusif sous droit d'auteur, veuillez signaler toute violation alléguée du droit d'auteur en complétant l'Avis d'allégation de violation de droits d'auteur du DMCA et en le transmettant à l'agent des droits d'auteur désigné par Contrast. Dès réception de l'avis décrit ci-dessous, Contraste prendra les mesures qu'elle jugera appropriées, y compris la suppression du contenu faisant l'objet de la réclamation du site web.

AVIS D'ALLÉGATION DE VIOLATION DU DMCA (« AVIS »)

Identifiez l'œuvre protégée par le droit d'auteur qui, selon vous, a fait l'objet d'une violation ou, si plusieurs œuvres protégées par le droit d'auteur sont visées par le présent avis, vous pouvez fournir une liste représentative des œuvres protégées par le droit d'auteur qui ont fait l'objet d'une violation.

  1. Identifiez le matériel ou le lien qui fait selon vous l'objet d'une violation (ou le sujet de l'activité concernée) et dont l'accès doit être désactivé. S'il y a lieu, indiquez l'adresse URL du lien affiché sur notre site web ou l'endroit exact où l'on peut trouver ce matériel.
  2. Veuillez inclure les deux énoncés suivants dans le corps de l'avis : « Je déclare par la présente croire de bonne foi que l'utilisation contestée du matériel protégé par le droit d'auteur n'est pas autorisée par le détenteur du droit d'auteur, son agent ou la loi (p. ex. une utilisation équitable). » « Je déclare par les présentes que les informations contenues dans le présent avis sont exactes et, sous peine de parjure, que je suis le détenteur, ou que je suis autorisé à agir au nom du détenteur, du droit d'auteur ou d'un droit exclusif en vertu du droit d'auteur faisant l'objet de l'allégation de violation. Vous devez indiquer vos nom et prénom et fournir votre signature électronique ou physique. Il est utile, mais non obligatoire, d'indiquer également l'entreprise à laquelle vous êtes affilié (le cas échéant), votre adresse postale, votre numéro de téléphone et votre adresse électronique.

  3. Envoyez votre avis à l'agent des droits d'auteur désigné par Contrast à l'adresse suivante :

Contrast Security, Inc.
Attn: Copyright Agent
240 3rd Street

Los Altos, CA 94022

États-Unis

PRINCIPAUX CHANGEMENTS APPORTÉS À CETTE POLITIQUE :

Les modifications apportées à cette politique le 29/03/19 sont liées à l'envoi de données au Royaume-Uni depuis l'U.E. (voir les informations sur le Bouclier de protection de la vie privée).

Mise à jour le 24 mai 2018

Mise à jour le 1er février 2018

Mise à jour le 9 janvier 2018

Mise à jour le 29 septembre 2017

Première publication le 1er septembre 2016

LE RÉGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES (« RGPD »)

QU'EST-CE QUE LE RGPD ?

Le RGPD répond à l'évolution technologique de l'environnement économique mondial au cours des deux dernières décennies et cherche à harmoniser l'approche de la protection des données dans l'Espace économique européen en établissant un ensemble unique de règles et de sanctions en cas de non-respect. Le règlement a été adopté le 27 avril 2016 et devient exécutoire le 25 mai 2018. Le RGPD remplacera la directive sur la protection des données, une loi vieille de 20 ans dont les exigences sont similaires à celles du RGPD, mais dont l'interprétation et l'application varient selon les États membres de l'Espace économique européen, et qui ne dispose pas de pouvoirs d'exécution. Le RGPD a toutefois une portée mondiale, puisqu'il s'applique même aux entreprises qui se trouvent en dehors de la zone qui contrôle ou traite les données des ressortissants de l'U.E., faisant du RGPD la première norme mondiale en matière de protection de la vie privée.

Contrast Security a mis en place des processus pour assurer la conformité au RGPD et pour respecter ses obligations envers ses clients et ses employés. Nous avons nommé un délégué à la protection des données pour superviser la conformité, réalisé une Analyse d'impact relative à la protection des données (DPIA) et adapté notre politique et notre processus actuels d'intervention en cas d'incident et de notification des atteintes afin de les harmoniser avec les exigences du RGPD. Nous avons également mis en œuvre des processus opérationnels pour traiter les demandes relatives à la protection des informations personnelles à l'extérieur de la plateforme Contrast Security et pour nous assurer que toutes les demandes de vos employés qui nous sont adressées vous soient communiquées rapidement, le cas échéant.

BASE LÉGALE DU TRAITEMENT

Le RGPD définit 6 bases légales pour le traitement :

  1. Consentement : une personne a donné son consentement explicite au traitement de ses données personnelles à des fins spécifiques.
  2. Contrat : le traitement est nécessaire en vertu d'un contrat qu'une entreprise a conclu avec un particulier, ou parce qu'elle a demandé à une entreprise de prendre des mesures spécifiques avant de conclure un contrat.
  3. Obligation légale : le traitement est nécessaire pour qu'une entreprise se conforme à la loi (hors obligations contractuelles).
  4. Intérêts vitaux : le traitement est nécessaire pour protéger la vie d'une personne.
  5. Tâche publique : le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou à l'exercice des fonctions officielles d'une société, et la mission ou la fonction repose sur une base juridique claire.
  6. Intérêts légitimes : le traitement est nécessaire pour protéger les intérêts légitimes d'une entreprise ou les intérêts légitimes d'un tiers, à moins qu'il n'existe une raison valable de protéger les données personnelles de la personne qui l'emporte sur ces intérêts légitimes.

CONTRAST TRAITE TOUTES LES DONNÉES SUR LA BASE D'INTÉRÊTS LÉGITIMES

PRODUITS ET SERVICES DE CONTRAST

Contrast Security recueille un nombre limité de données d'entreprise et personnelles. Les données que nous recueillons peuvent être classées comme suit :

  • les données que nous contrôlons aux fins des opérations de marketing entre entreprises ;
  • les données que nous pouvons recueillir lors de votre navigation sur notre site web public, et
  • les données recueillies lorsque votre société a manifesté son intérêt pour notre produit ou votre application dans le cadre de nos services de sécurité.

Dans le cadre de nos opérations de marketing entre entreprises, nous ne recueillons pas actuellement de données personnelles (noms et adresses électroniques professionnelles) à des fins de marketing pour nos services. Au contraire, nous n'entretenons que des contacts qui ont manifesté un intérêt pour nos services. Si vous avez manifesté un intérêt pour nos services, nous pourrions communiquer avec vous au sujet de mises à jour ou d'offres de produits susceptibles de vous intéresser. Si ces communications ne vous sont plus utiles, nous vous invitons à vous désabonner à tout moment. Contrast croit que nous avons un intérêt légitime à offrir aux entreprises plus d'informations sur nos services et nous avons mis en place des contrôles pour nous assurer que la façon dont nous stockons et traitons ces données est soumise à notre programme de sécurité des informations.

Contrast Security ne collecte pas de « données personnelles » auprès des sujets de données dans le cadre de l'offre de nos services de sécurité des applications. Nous n'obtenons le consentement de votre société que pour la collecte et l'utilisation des données confidentielles de votre société (données de performance des applications, relevés de transactions des applications, etc.) Ces données confidentielles sont d'une grande importance pour nous, et nous nous efforçons de les protéger, mais elles ne doivent pas être confondues avec les « données personnelles » des sujets de données, comme le prévoit le RGPD. Par conséquent, Contrast prend les engagements généraux en matière de protection de la vie privée énoncés dans notre Politique de protection de la vie privée ainsi que des engagements plus spécifiques au RGPD. Nous nous engageons à respecter la confidentialité des informations de nos clients. De plus, nous subissons un audit indépendant annuel.

Nous croyons qu'un élément très important de notre conformité continue aux meilleures pratiques en matière de protection de la vie privée, ainsi que notre conformité au RGPD, est de nous assurer de tenir nos fournisseurs et nos sous-traitants responsables de leurs engagements en matière de sécurité et de confidentialité. Contrast est dotée d'un solide programme de gestion des fournisseurs tiers, et nous évaluons fréquemment tous les tiers pour nous assurer qu'ils respectent leurs engagements en matière de sécurité, de protection des informations personnelles et de la vie privée.

Cookies : tel que mentionné dans notre Politique de confidentialité globale, notre site web utilise une technologie appelée « cookies ». Pour plus d'informations sur les cookies, veuillez cliquer ici : Cookies. Les cookies sont de petits fichiers texte, souvent chiffrés, situés dans les répertoires du navigateur. Ils sont utilisés par les développeurs web pour aider les utilisateurs à naviguer efficacement sur leurs sites web et à exécuter certaines fonctions. Vous pouvez configurer votre navigateur pour qu'il vous avertisse lorsque vous recevez un cookie ou pour qu'il n'accepte pas certains cookies. Toutefois, si vous décidez de ne pas accepter les cookies de notre site web, certaines fonctions peuvent ne pas fonctionner comme prévu. Vous pouvez également supprimer les cookies. Pour savoir comment le faire, veuillez cliquer ici : Effacer les cookie

Do-Not-Track : il y a différentes façons d'empêcher le suivi de votre activité en ligne. L'une d'entre elles est de définir une préférence dans votre navigateur qui avertit les sites web que vous visitez que vous ne souhaitez pas qu'ils recueillent certaines informations à votre sujet. C'est ce qu'on appelle un signal Do-Not-Track (« DNT »).

Il se peut que le site web de Contrast ne reconnaisse pas les signaux DNT émis par les navigateurs web ou ne réagisse pas en conséquence, car il n'existe actuellement aucune norme universellement acceptée prévoyant ce qu'une entreprise doit faire lorsqu'un signal DNT est détecté. Lorsqu'une norme sera établie, nous évaluerons la meilleure façon de répondre aux signaux. Pour plus d'informations, veuillez cliquer ici :  Signaux DNT

AVIS AUX UTILISATEURS FINAUX

Lorsque nos services sont mis à votre disposition par l'intermédiaire d'une organisation (p. ex. votre employeur), cette organisation est l'administrateur des services et est responsable des comptes et/ou des sites de service sur lesquels elle exerce un contrôle. Si tel est le cas, veuillez adresser vos questions sur la protection des données à votre administrateur, car votre utilisation des services est soumise aux politiques de votre organisation. Nous ne sommes pas responsables des pratiques d'un administrateur en matière de confidentialité ou de sécurité de l'organisation, qui peuvent différer de la présente politique.

Les administrateurs peuvent :

  1. vous demander de réinitialiser le mot de passe de votre compte ;
  2. restreindre, suspendre ou résilier votre accès aux services et l'accès à votre compte ;
  3. accéder aux informations de votre compte et à son sujet ;
  4. accéder aux informations stockées dans votre compte ou les conserver ;
  5. installer ou désinstaller des applications tierces ou d'autres intégrations.

Dans certains cas, les administrateurs peuvent également :

  • modifier l'adresse électronique associée à votre compte ;
  • modifier vos informations, y compris les informations de votre profil ;
  • restreindre votre capacité à modifier, restreindre, mettre à jour ou supprimer des informations.

Même si les services dont vous bénéficiez ne sont pas actuellement administrés par une organisation, si vous utilisez une adresse électronique fournie par une organisation (telle que votre adresse électronique professionnelle) pour accéder aux services, le propriétaire du domaine associé à votre adresse électronique (par exemple, votre employeur) peut exercer un contrôle administratif sur votre compte et l'utilisation des services à une date ultérieure.

Veuillez contacter votre organisation ou consulter les politiques organisationnelles de votre administrateur pour plus d'informations.

OFFRES D'EMPLOI CHEZ CONTRAST SECURITY

CANDIDATS

Si vous résidez dans l'Espace économique européen et êtes intéressé par une offre d'emploi chez Contrast Security, Inc, vous devrez fournir certaines informations (lettre de motivation, CV, références, admissibilité ou autres informations relatives à l'emploi). Nous utilisons ces informations dans le but de traiter votre demande d'emploi actuelle et future et d'y répondre. À cet égard, vous seriez considéré comme un sujet de données et les informations que vous nous fournissez représenteraient des données personnelles.

Notre site web comprend un lien intitulé « Carrières ». Toutes les candidatures doivent provenir de ce site web. Toute entité qui traite des données pour le compte de Contrast sera entièrement conforme au RGPD. Vous devrez fournir votre consentement pour que nous puissions vous contacter dans le cadre de votre candidature. Vous êtes autorisé à ne pas donner votre consentement, mais nous ne serons pas en mesure de traiter votre candidature et de la prendre en considération pour une offre d'emploi si vous ne le faites pas. Bien que nous obtenions votre consentement, nous traitons et gérons vos données en fonction d'intérêts légitimes.

Un nombre limité d'employés de Contrast Security auront également accès à vos données lorsque vous postulez à une offre d'emploi. Les destinataires de vos données personnelles seront des employés de Contrast sélectionnés tels que les employés des ressources humaines, le responsable du recrutement, les personnes avec lesquelles vous aurez besoin d'avoir un entretien, etc. Toutes les informations sont partagées selon le principe du moindre privilège. Ces employés ont tous suivi une formation au RGPD. Un nombre limité de fournisseurs tiers, sous contrat avec Contrast, peuvent également avoir accès à vos données personnelles. Nous nous assurons qu'un tel fournisseur a des niveaux de protection des données au moins équivalents à ceux énoncés dans le présent avis de confidentialité.

Si vous êtes sélectionné comme candidat final pour une offre d'emploi, nous conclurons le contrat, l'accord ou tout autre document approprié pour votre pays de résidence. Tous les documents et toutes les mesures, y compris ceux qui exigent un consentement supplémentaire, devront être entièrement conformes au RGPD.

EMPLOYÉS

En devenant un employé de Contrast Security, Inc., vous recevrez un avis de confidentialité décrivant vos droits et recours. À ce moment-là, vous recevrez également toute la documentation et toutes les informations relatives à votre statut de sujet de données en vertu du RGPD et d'employé de Contrast Security, Inc.

DEMANDES D'ACCÈS

Une demande d'accès est une demande écrite d'accès aux informations personnelles ou données personnelles que nous possédons à votre sujet. Vous avez le droit de consulter les informations personnelles que nous possédons à votre sujet. Vous avez le droit de recevoir une description des informations, de l'usage que nous en faisons, des entités à qui nous les transmettons et de tout renseignement que nous pourrions avoir sur la source des informations. Toutefois, ce droit est assujetti à certaines exemptions ou restrictions qui sont énoncées dans le RGPD.

DÉLÉGUÉ À LA PROTECTION DES DONNÉES ET DEMANDES D'ACCÈS

Pour faire une demande d'accès, veuillez écrire à l'adresse GDPR@contrastsecurity.com ou à : 

Sharron Reed Gavin, Data Protection Officer
Contrast Security, Inc.
240 3rd Street
Los Altos, CA 94022

États-Unis

Le RGPD exige que nous vous fournissions les informations suivantes :

  1. Nom de la société :Contrast Security, Inc.

    Adresse :
    240 3rd Street
    Los Altos, CA 94022
    001 650.567.4734 
  2. Délégué à la protection des données : Sharron Reed Gavin
    reed@contrastsecurity.com
    GDPR@contrastsecurity.com
    001 650.567.4734

Enfin, vous avez le droit de déposer une réclamation auprès de l'Information Commissioner's Office (« ICO ») si vous estimez que nous n'avons pas respecté les exigences du RGPD en ce qui concerne vos données personnelles. L'ICO encourage les personnes à communiquer d'abord leurs préoccupations à l'organisation qui contrôle ou traite vos données. Pour plus d'informations, veuillez vous reporter à la section ICO/Soulever une préoccupation.

LES NORMES DE SÉCURITÉ CHEZ CONTRAST SECURITY (AU-DELÀ DE LA CONFIDENTIALITÉ DES DONNÉES)

Chez Contrast Security, la sécurité de vos données est essentielle pour nous. Nous suivons les meilleures pratiques de l'industrie en matière de sécurité des applications, des réseaux et des produits pour assurer la sécurité de vos données. Nous imaginons un monde où nous pourrions confier aux logiciels les activités les plus importantes de l'humanité. Nous aimons les logiciels, et cela nous attriste qu'ils puissent être utilisés à mauvais escient pour nuire aux autres personnes. En tant qu'entreprise de sécurité, nous protégeons non seulement notre entreprise, mais aussi la vôtre. Contrast Security s'engage à respecter les normes les plus élevées en matière de sécurité des applications et du réseau pour nos produits hébergés. Au cœur de notre approche de la sécurité se trouve l'engagement envers la transparence : à travers nos protections, nos processus et même nos problèmes potentiels.

Contrast a fait l'objet d'un audit de vérification par un tiers (SOC 2 Type II). Le rapport SOC 2 fournit l'assurance que nous avons conçu et mis en œuvre des contrôles de sécurité efficaces, tels que définis par les normes SOC 2, qui sont fondées sur les critères « Trust Services ». Au cours de l'audit, les vérificateurs indépendants ont évalué et testé les contrôles suivants :

  • organisation et gestion ;
  • communications ;
  • gestion des risques, conception et mise en œuvre des contrôles ;
  • surveillance des contrôles ;
  • contrôles d'accès logiques et physiques ;
  • fonctionnement des systèmes ;
  • gestion du changement

en ce qui concerne la sécurité, la disponibilité, la confidentialité et, à compter de 2018, la protection de la vie privée.

SÉCURITÉ DES CENTRES DE DONNÉES ET DU RÉSEAU

Les services d'application et les données de Contrast Security sont actuellement hébergés sur des serveurs dans des installations certifiées ISO 27001 d'Amazon Web Services (AWS) aux États-Unis. AWS fait régulièrement l'objet d'audits et croit en une sécurité transparente. Voici quelques-uns des programmes d'assurance d'AWS : FedRAMP, ISO 27001, FIPS, SOC2/Type 2, FERPA et HIPAA. Depuis le 26 mars 2018, AWS est entièrement conforme au RGPD. Pour en savoir plus, cliquez ici : AWS/Conformité au RGPD. Contrast a conclu un addenda sur le traitement des données avec AWS.

Une liste complète des certifications d'AWS est disponible ici http://aws.amazon.com/compliance/.

En outre, Amazon Web Services a publié le Modèle de responsabilité partagée qui décrit le partage des responsabilités entre AWS et le client. En général, AWS est responsable de la sécurité du cloud et le client est responsable de la sécurité dans le cloud. Aucun employé de Contrast ne peut accéder physiquement aux centres de données d'AWS.

SAUVEGARDE DES DONNÉES ET REPRISE APRÈS SINISTRE

Nous stockons nos données sur plusieurs sites d'AWS et effectuons plusieurs sauvegardes de base de données quotidiennement. Ces sauvegardes sont stockées sur des serveurs répartis géographiquement. L'intégrité des sauvegardes est automatiquement testée chaque jour. Les journaux de l'hôte sont ingérés dans une plateforme de gestion des journaux pour l'assistance et les processus opérationnels.

CONFIGURATION DU SYSTÈME D'EXPLOITATION, DU RÉSEAU ET DU PARE-FEU

Les systèmes d'exploitation sont renforcés en utilisant les normes du Center for Internet Security et d'autres meilleures pratiques du secteur, selon le rôle de l'hôte. La configuration du système et les correctifs s'effectuent par le biais de processus planifiés et ad hoc qui sont pilotés par des outils de gestion de la configuration. Le code est validé, testé et révisé par des pairs avant son déploiement.

La gestion des correctifs de sécurité est une tâche automatisée pour tous les hôtes. Si un correctif de sécurité est nécessaire en dehors de ce processus, nous pouvons appliquer des correctifs en masse à tous les hôtes.  Si un correctif urgent doit être appliqué en dehors de l'agenda habituel, nous vérifions d'abord que notre infrastructure est vulnérable, puis nous appliquons le correctif.  

Nous observons les communications de cert.orgus-cert.gov, et nos propres processus logiciels pour nous alerter des vulnérabilités qui doivent être corrigées.

Notre réseau est conçu pour limiter l'accès par origine et par port entre les hôtes et les services (AWS Security Groups). Dans la mesure du possible, des réseaux privés séparés (AWS VPC) sont créés et sont complètement séparés des autres réseaux. Toutes les règles de réseau et de pare-feu sont vérifiées dans notre référentiel de code source et révisées par le personnel par le biais de pull requests et déployées seulement après avoir été testées et révisées. Le réseau est conçu en limitant les systèmes visibles par le public.

En plus de notre propre produit, nous déployons plusieurs solutions de surveillance pour mesurer la santé de notre service.

SECURITÉ DES PRODUITS

COLLECTE MINIMALE DE DONNÉES

Contrast Security ne collecte que les données absolument nécessaires pour fournir l'analyse et les mesures que nous proposons. Nos agents minimisent la quantité de données collectées en ne rapportant que les vulnérabilités confirmées. Votre code source et vos binaires ne quittent jamais vos serveurs. Contraste recueille les types de données suivants :

  • les données de vulnérabilité et d'attaque qui incluent des données de requête HTTP ainsi qu'une série d'invocations de méthodes ;
  • des informations sommaires sur les bibliothèques et les classes chargées par chaque application ;
  • des informations sur le plan du site, incluant des URL, mais pas les paramètres ;
  • des informations sur l'architecture logicielle des composants et des connexions back-end.

CHIFFREMENT

Contrast Security chiffre toutes les données au repos et envoie et reçoit toutes les données via HTTPS en utilisant TLS.

Nos défenses primaires nous protègent des attaques et contrôlent l'accès, mais nous utilisons également un chiffrement robuste pour nous assurer que toutes les données que nous stockons sont inaccessibles aux agresseurs. Toutes les données de Contrast sont stockées sur des volumes ou des serveurs chiffrés.

Nous étendons l'utilisation du chiffrement aux sauvegardes, aux journaux et à toute autre donnée associée au service de Contrast.

Dans la mesure du possible, nous utilisons le service de gestion des clés d'Amazon pour générer et alterner les clés utilisées dans nos services.  

L'infrastructure globale de gestion des clés d'Amazon utilise les algorithmes de chiffrement approuvés FIPS 140-2 (Federal Information Processing Standards) et est conforme aux recommandations 800-57 du National Institute of Standards and Technology (NIST).

Contraste utilise un chiffrement robuste ainsi qu'une authentification mutuelle sur toutes les connexions. Cela permet une protection contre les renifleurs, l'usurpation d'identité et d'autres attaques de communication. La connexion entre les agents Contrast et le TeamServer de Contrast utilise une connexion socket TLS qui peut être configurée pour utiliser un proxy sortant. Les agents vérifient le certificat du TeamServer de Contrast et envoient la clé d'autorisation du client au TeamServer pour établir une authentification mutuelle. Les connexions back-end sont également chiffrées et authentifiées mutuellement. Toute tentative d'accès à notre service via une connexion non-SSL est redirigée vers HTTPS.

Nous exploitons plusieurs services d'AWS en matière de chiffrement.

PERMISSIONS

Nous permettons à l'administrateur, au gestionnaire ou au contributeur individuel de définir les niveaux d'autorisation de l'application pour vos utilisateurs individuels. Les niveaux d'autorisation déterminent la capacité de l'utilisateur à modifier les paramètres, à afficher des informations et à modifier, supprimer ou exporter des données. Ceux-ci sont configurables pour chaque client.

AUTHENTIFICATION

Nous croyons que tout ce qui se passe dans Contrast doit être pleinement authentifié et traçable jusqu'à un individu particulier et nous décourageons l'utilisation d'identifiants partagés. Nous ne facturons ni ne limitons le nombre d'utilisateurs au sein d'une organisation. Nous vérifions la robustesse des mots de passe et l'échec des tentatives de connexion pour nous assurer que Contrast ne subisse pas d'attaques par force brute. Nous permettons aux organisations et aux utilisateurs de configurer notre processus de vérification en deux étapes qui utilise des mots de passe à usage unique (TOTP).

CODAGE SÉCURISÉ

Contrast a été conçu dès le départ pour résister aux attaques par injection telles que l'injection SQL, le cross-site scripting (XSS), l'injection LDAP, les attaques d'entités XML, l'injection de commandes et d'autres risques. Notre architecture logicielle exige une validation stricte de toutes les entrées avant de pouvoir être utilisée. Nous minimisons l'utilisation d'interprètes dans la mesure du possible et utilisons des interfaces paramétrées, le cas échéant.  

Contrast utilise TeamServer pour identifier, suivre et corriger les vulnérabilités pendant le cycle de vie du développement logiciel. Notre agent travaille dans des environnements de tests automatisés et de vérifications manuelles.

SECURITÉ DES APPLICATIONS

ANALYSE DES VULNÉRABILITÉS

Contrast Security effectue régulièrement des analyses de vulnérabilité à partir de multiples perspectives.

TEST DE PÉNÉTRATION

Chaque année, au minimum, Contrast Security conclue un contrat avec des experts en sécurité tiers réputés pour réaliser un test de pénétration sur notre code source et notre infrastructure de production.

SURVEILLANCE

Contrast Security restreint l'accès à notre environnement de production sur la base de la nécessité et maintient un système d'enregistrement complet pour suivre les accès et les événements.