Engagement pour la conformité de One Identity

Un rapport SOC 2 Type 2 est un rapport sur les contrôles internes qui décrit la manière dont une entreprise protège les données de ses clients et l’efficacité de ces contrôles. Ces rapports sont publiés par des auditeurs tiers indépendants et couvrent les principes de sécurité, de disponibilité, de confidentialité et de protection de la vie privée.

Quel est l’objectif principal de cette initiative ?

Assurer une évaluation indépendante de l’environnement de contrôle de One Identity en matière de sécurité et de protection de la vie privée. L’évaluation comprend une description des contrôles, les tests effectués pour les évaluer, les résultats de ces tests et un avis global sur la conception et l’efficacité opérationnelle de ces contrôles.

Quel est le champ d’application ?

Le rapport SOC 2 Type 2 de One Identity couvre les principes et critères des services de confiance de l’AICPA pour la sécurité, la disponibilité, la confidentialité et la protection de la vie privée. Ce rapport comprend également un tableau de correspondance entre les contrôles testés et les normes ISO/IEC 27001:2013 Annexe A/ISO/IEC 27002:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2014, les exigences de sécurité de la loi HIPAA ainsi que les lignes directrices d’examen du FFIEC relatives à la sécurité des systèmes d’information en vertu de la GLBA.

Quelle est la fréquence de vos évaluations/audits ?

Des audits sont réalisés tous les ans.

Quel est le public principal ?

Les clients et les tiers concernés qui en ont besoin pour leur activité.

La norme ISO 27018:2019 fournit des orientations sous la forme d’objectifs, de contrôles et de lignes directrices. One Identity a aligné ses contrôles de confidentialité en place sur cette norme afin d’améliorer son programme de protection de la vie privée. Ces contrôles sont testés dans le cadre de l’audit périodique SOC 2 Type 2. Un organisme indépendant a audité notre conformité à cette norme dans le cadre des audits annuels de notre certificat ISO 27001:2013.

Quel est l’objectif principal de cette initiative ?

La norme ISO 27018:2019 fournit des orientations sous la forme d’objectifs, de contrôles et de lignes directrices. L’alignement sur cette norme constitue une assurance supplémentaire de l’adéquation du programme de protection de la vie privée de One Identity.

Quel est le champ d’application ?

Le programme de protection de la vie privée de One Identity et son alignement sur les objectifs, les contrôles et les lignes directrices recommandés.

Quelle est la fréquence de vos évaluations/audits ?

Les contrôles ISO 27018:2019 sont testés dans le cadre des audits périodiques du rapport SOC 2 Type 2 et de nos audits de certification ISO 27001:2013.

Quel est le public principal ?

Les clients et les tiers concernés qui en ont besoin pour leur activité.

La norme ISO 27017:2015 fournit des orientations aux prestataires de services Cloud et aux utilisateurs de ces services sous la forme d’objectifs, de contrôles et de lignes directrices. One Identity a aligné ses contrôles de sécurité en place sur cette norme afin d’améliorer son programme de sécurité. Ces contrôles sont testés dans le cadre de l’audit périodique SOC 2 Type 2. Un organisme indépendant a audité notre conformité à cette norme dans le cadre des audits annuels de notre certificat ISO 27001:2013.

Quel est l’objectif principal de cette initiative ?

La norme ISO 27017:2015 fournit des orientations aux prestataires de services Cloud et aux utilisateurs de ces services sous la forme d’objectifs, de contrôles et de lignes directrices. L’alignement sur cette norme constitue une assurance supplémentaire de l’adéquation du programme de sécurité de One Identity.

Quel est le champ d’application ?

Le programme de sécurité de One Identity et son alignement sur les objectifs, les contrôles et les lignes directrices recommandés.

Quelle est la fréquence de vos évaluations/audits ?

Les contrôles ISO 27017:2015 sont testés dans le cadre des audits périodiques du rapport SOC 2 Type 2 et de nos audits de certification ISO 27001:2013.

Quel est le public principal ?

Les clients et les tiers concernés qui en ont besoin pour leur activité.

La norme ISO 27001:2013 aide les entreprises à sécuriser leurs actifs informationnels. L’utilisation de cette famille de normes permet à One Identity de gérer la sécurité des actifs tels que les informations financières, la propriété intellectuelle, les coordonnées des collaborateurs et les informations qui lui sont confiées par des tiers. Un organisme indépendant a audité notre conformité à cette norme et nous a délivré notre certificat ISO 27001:2013, dont le maintien nécessite des audits annuels.

Quel est l’objectif principal de cette initiative ?

Assurer une évaluation indépendante et une certification du système de gestion de la sécurité des services d’information (ISMS) de One Identity. Le système ISMS englobe tous les aspects de la sécurité et de la confidentialité qui ont un impact à la fois sur One Identity et sur ses clients.

Quel est le champ d’application ?

Le champ d’application de la certification ISO 27001:2013 est le système ISMS qui assure la gestion de l’infrastructure et des services utilisés pour la solution de gestion des accès et des identités de One Identity.

Quelle est la fréquence de vos évaluations/audits ?

Les audits de certification complets sont effectués tous les trois ans et les audits de surveillance sont réalisés 12 et 24 mois après chaque audit complet. En outre, One Identity effectue un audit interne annuel en faisant appel à un tiers indépendant dans le cadre des exigences de la norme ISO 27001:2013.

Quel est le public principal ?

Les clients et les tiers concernés qui en ont besoin pour leur activité.

Skyhigh Networks procède à des évaluations objectives et approfondies de l’aptitude des services Cloud à être utilisés par les entreprises, en fonction d’un ensemble détaillé de critères élaborés en collaboration avec la Cloud Security Alliance (CSA). Les services désignés comme Skyhigh Enterprise-Ready sont ceux qui se voient attribuer les notes CloudTrust™ les plus élevées, car ils satisfont pleinement aux exigences les plus strictes en matière de protection des données, de vérification des identités, de sécurité des services, de pratiques commerciales et de protection juridique.

Quel est l’objectif principal de cette initiative ?

Assurer une évaluation objective des capacités de sécurité de OneLogin en fonction de critères élaborés en collaboration avec la Cloud Security Alliance.

Quel est le champ d’application ?

Les contrôles de sécurité de OneLogin évalués en fonction d’un ensemble spécifique de critères élaborés par Skyhigh Networks en collaboration avec la Cloud Security Alliance.

Quelle est la fréquence de vos évaluations/audits ?

Une évaluation est effectuée périodiquement à la discrétion de Skyhigh Network et lorsque des modifications sont soumises par OneLogin.

Quel est le public principal ?

Les clients et les tiers concernés qui en ont besoin pour leur activité.

One Identity salue le RGPD comme une évolution importante et nécessaire des lois sur la protection des données dans l’UE. Le programme de protection de la vie privée et de sécurité de One Identity répond aux normes les plus strictes du secteur et les surpasse, notamment en matière de conformité au RGPD.

Le nouveau Règlement général sur la protection des données (« RGPD »), qui a remplacé la directive sur la protection des données de la Commission européenne, est entré en vigueur le 25 mai 2018. Son objectif était d’unifier les réglementations de l’Union européenne (UE) en matière de protection de la vie privée et de mieux protéger les données personnelles des citoyens de l’UE, aussi bien à l’intérieur qu’à l’extérieur de l’UE. En tant que chargé du traitement des données, One Identity vérifie que nous répondons à toutes les exigences du RGPD. Nous continuerons à défendre activement la conformité au RGPD. Nous fournissons également les ressources et la documentation nécessaires pour aider nos clients dans leur rôle de responsables du traitement des données.

Chez One Identity, notre priorité absolue est de veiller à ce que toutes les données des clients soient traitées de manière sûre et responsable. Voici un aperçu de ce qu’implique le RGPD, de la manière dont nous respectons cette nouvelle réglementation et de la façon dont nous aidons nos clients à s’y conformer.

Quel est l’objectif du RGPD ?

Le RGPD est une loi complète sur la protection des données qui a deux objectifs :

1. Protéger les données individuelles : le RGPD redonne le contrôle des données personnelles aux résidents de l’UE et interdit aux entreprises d’exploiter ces données.

2. Établir des lignes directrices pour les entreprises : grâce au RGPD, la législation sur la protection des données est identique dans l’ensemble du marché unique. Il fournit aux entreprises des directives juridiques plus simples, qui sont plus facilement appliquées par les organismes gouvernementaux.

À qui s’applique le RGPD ?

Le RGPD s’applique aux entreprises établies dans l’UE, ainsi qu’aux entreprises qui proposent des biens ou des services à des clients ou à d’autres entreprises de l’UE. Cette législation élargit le champ de protection des résidents de l’UE en vue d’un meilleur contrôle de la protection de la vie privée.

En quoi le RGPD me concerne-t-il ?

Si vous résidez dans l’UE, félicitations ! L’Union européenne prend des mesures pour s’assurer que vos données sont utilisées de manière sûre et appropriée.

Si votre entreprise propose des services au sein de l’UE, vous devrez vous conformer au RGPD. Cela aura un impact sur la manière dont vous stockez, traitez et utilisez les données utilisateur, et ce de plusieurs façons. Reportez-vous à cette présentation des principaux changements introduits par le RGPD, qui remplace la directive sur la protection des données de la Commission européenne.

Droit d’accès et de portabilité : les utilisateurs peuvent demander à savoir si leurs données personnelles sont traitées, ainsi que le lieu et le but de ce traitement. De plus, le responsable du traitement des données est tenu de fournir gratuitement une copie des données à caractère personnel dans un format électronique.

Obligation de notification des violations : les violations susceptibles « d’entraîner un risque pour les droits et libertés des personnes » doivent être signalées dans les 72 heures suivant la prise de connaissance de la violation.

Protection de la vie privée dès la conception : les entreprises doivent prendre en compte la protection de la vie privée lors des phases de conception de tous les projets, tout au long du cycle de vie du processus de traitement des données concerné. Les entreprises doivent également tenir compte de la protection des données lors des phases de conception de tous les projets, ainsi que pendant le cycle de vie du traitement des données concernées.

Droit à l’oubli : les entreprises doivent permettre aux utilisateurs d’effacer leurs données personnelles, de cesser la diffusion des données et, éventuellement, de demander à des tiers de cesser le traitement des données.

Cette liste n’est pas exhaustive. Si vous ne respectez pas l’une de ces exigences, vous risquez une amende pouvant atteindre 4 % de votre chiffre d’affaires annuel ou 20 millions d’euros.

Quelles sont les mesures prises par One Identity pour se conformer au RGPD ?

One Identity est une entreprise internationale qui traite et contrôle des données provenant du monde entier, y compris de l’UE. Nos certifications en place et notre engagement de longue date en faveur des cadres de protection de la vie privée nous préparent à bien des égards au RGPD.

• Pour répondre aux exigences du RGPD, les entreprises sont tenues d’articuler les flux de données et de démontrer comment la confidentialité est contrôlée et gérée. Notre approche de la « page blanche » pour redessiner nos flux de données et élaborer des diagrammes de mappages de données très détaillés nous aide à atteindre cet objectif.

• Mise à jour du MSA standard et de l’accord sur le traitement des données : les entreprises sont également tenues de mettre à jour leur langage contractuel pour refléter la responsabilité supplémentaire imposée par le RGPD. À cette fin, One Identity utilise un langage de notification des violations de données, fait appel à des sous-traitants et communique ses responsabilités à ses propres fournisseurs de traitement de données.

• Responsable de la protection des données : One Identity fait appel à un consultant externe indépendant basé dans l’UE pour jouer le rôle de responsable de protection des données.

Comment One Identity aide-t-il ses clients à se mettre en conformité ?

One Identity a pour mission de fournir à ses clients les ressources dont ils ont besoin pour se conformer au RGPD. Voici comment :

Droit d’accès et de portabilité

• Les administrateurs informatiques peuvent facilement trouver un utilisateur dans le système et imprimer ses informations telles qu’elles sont stockées dans l’un des annuaires d’utilisateurs.
• Les privilèges d’utilisateur et l’attribution des rôles dans One Identity indiquent où les métadonnées de l’utilisateur sont utilisées (c’est-à-dire toutes les applications auxquelles il a accès).

Obligation de notification des violations

• Le service de streaming d’événements de One Identity aide à identifier les tentatives d’intrusion beaucoup plus rapidement lorsqu’il est mis en corrélation avec d’autres événements de sécurité de l’entreprise.
• Après avoir identifié une violation potentielle, les administrateurs peuvent utiliser le tableau de bord des événements et l’outil de création de rapports de One Identity pour enquêter plus avant.

Droit à l’oubli

• One Identity permet le déprovisioning automatisé des utilisateurs à partir d’autres systèmes et applications externes.
• Les administrateurs peuvent supprimer les utilisateurs immédiatement pour répondre aux exigences de protection des données et de sécurité de l’entreprise.
• Les administrateurs peuvent également auditer manuellement les applications provisionnées.

La protection de la vie privée dès la conception : One Identity est un partenaire de confiance
La protection de la vie privée dès la conception est une exigence particulièrement difficile à satisfaire, mais en tant que fournisseur, nous y sommes bien préparés.

• Le service One Identity a toujours traité des informations qui doivent être protégées, que ce soit en raison des réglementations sur la protection de la vie privée, des réglementations sectorielles des cartes de crédit, de leur désignation de secrets partagés ou encore d’autres exigences en matière de protection des données.
• One Identity intègre des évaluations de l’impact sur la vie privée qui sont réalisées périodiquement et dans le cadre du processus de conception de nouvelles fonctionnalités.

La protection de la vie privée dès la conception : une meilleure architecture avec One Identity
Si vous êtes architecte dans le domaine de l’informatique ou de l’ingénierie, vous vous préoccupez sans doute non seulement de la conformité de vos tiers, mais aussi des défis de conformité de vos propres systèmes. Réfléchissez aux avantages à développer vos intégrations sur la plateforme de One Identity.

La plupart des enjeux de conformité résultent d’anciennes architectures qui ne permettent qu’un contrôle limité du mode de stockage, de gestion et de traitement des données. Par exemple, il était très courant que les applications héritées accèdent directement à l’annuaire de l’entreprise. Elles avaient donc généralement accès à toutes les informations des utilisateurs, avec peu de restrictions quant à ce qu’elles pouvaient modifier, mettre en cache ou stocker.

Nous avons fait du chemin depuis.

Pour comprendre comment, commençons par quelques éléments essentiels. La plateforme de gestion des identités de One Identity repose sur des protocoles modernes, notamment SAML, OpenID Connect et SCIM. Ces protocoles modernes utilisent des jetons sécurisés, des assertions de sécurité et un provisioning automatisé.

• Jetons sécurisés : l’utilisateur ne se connecte jamais directement aux applications. À la place, il se connecte toujours de manière sécurisée à l’aide d’un portail à authentification unique (SSO). Toute application de confiance peut recevoir un jeton sécurisé représentant l’utilisateur.
• Assertions de sécurité : les informations relatives aux identités (nom d’utilisateur, ID de collaborateur, etc.) sont signées numériquement par un tiers de confiance, en l’occurrence un fournisseur d’identités.
• Provisioning/Déprovisioning automatisé : lorsqu’un utilisateur se voit accorder l’accès à une application, ses métadonnées pertinentes sont transmises à l’application. De même, lorsque l’accès d’un utilisateur est révoqué, elles sont supprimées de l’application.

La plateforme de gestion des identités de One Identity vous permet d’utiliser des protocoles modernes pour pratiquement tous les Clouds publics ou applications privées/personnalisées.

Avantages :

• Les applications n’authentifient pas directement les utilisateurs, ce qui renforce la sécurité et la protection des données.
• Les applications n’ont pas d’accès direct à l’annuaire de l’entreprise pour lire ou écrire dans la base d’utilisateurs.
• Les applications n’accèdent qu’aux métadonnées utilisateur dont elles ont besoin, uniquement pour les utilisateurs ayant accès à l’application, et l’accès des utilisateurs peut même être anonyme.
• Les applications peuvent obtenir des informations sur les rôles/privilèges sans avoir d’accès direct aux informations des utilisateurs.

Pour en savoir plus sur notre approche du RGPD, consultez notre politique de confidentialité.

Pour toute question, veuillez envoyer un e-mail à privacy@onelogin.com.

Les clauses contractuelles du modèle de l’UE sont conçues pour faciliter les transferts de données à caractère personnel de l’Espace économique européen (EEE) vers d’autres pays, tout en offrant des garanties appropriées pour la protection des données personnelles. Ces clauses font partie de notre Addendum sur le traitement des données et offrent un moyen alternatif de satisfaire aux exigences d’adéquation. Elles constituent donc une alternative au cadre du bouclier de protection des données américain ou aux règles d’entreprise contraignantes.

Quel est l’objectif principal de cette initiative ?

Proposer un mécanisme permettant aux clients de l’EEE, qui sont considérés comme les responsables du traitement des données, d’utiliser One Identity, le responsable du traitement des données, et d’accepter mutuellement de transférer les données à caractère personnel en dehors de l’EEE uniquement avec les garanties appropriées et dans le respect de la législation de l’UE en matière de protection des données.

Quel est le champ d’application ?

Les clauses contractuelles du modèle de l’Union européenne sont standardisées pour tous les fournisseurs de traitement de données et documentent l’engagement du fournisseur à respecter la législation européenne en matière de protection des données.

Quelle est la fréquence de vos évaluations/audits ?

Les clauses contractuelles du modèle de l’Union européenne sont exécutées en fonction des besoins.

Quel est le public principal ?

Les clients qui transfèrent des données personnelles de l’EEE à One Identity.

Des tests d’intrusion des applications sont effectués chaque année par des tiers indépendants. L’objectif de ces tests est de nous faire découvrir les vulnérabilités de sécurité potentielles dans nos applications et d’éviter les failles figurant dans le Top 10 de l’OWASP et le Top 25 du SANS. Les testeurs ont accès à leur propre compte et au code source sous-jacent.

Quel est l’objectif principal de cette initiative ?

Grâce aux tests d’intrusion, One Identity identifie les vulnérabilités de sécurité potentielles dans nos applications, y compris celles figurant dans le Top 10 de l’OWASP et le Top 25 du SANS.

Quel est le champ d’application ?

Les applications de base sont couvertes lors de chaque évaluation et les services supplémentaires, y compris les applications mobiles et les extensions de navigateur, font l’objet d’une attention particulière à tour de rôle.

Quelle est la fréquence de vos évaluations/audits ?

Des tests d’intrusion sont effectués par des tiers chaque année.

Quel est le public principal ?

One Identity (usage interne uniquement)

Les programmes de prime aux bogues constituent un autre moyen pour les entreprises de découvrir les vulnérabilités de leurs systèmes en s’appuyant sur un réseau mondial de chercheurs en sécurité qui sont incités à divulguer de manière responsable les bogues de sécurité par le biais d’un système de récompenses. D’un point de vue opérationnel, les résultats finaux sont très similaires à ceux d’un test d’intrusion effectué par un fournisseur, mais le nombre de chercheurs de bogues est bien plus élevé et n’est pas limité dans le temps, contrairement à un exercice de test d’intrusion typique.

Quel est l’objectif principal de cette initiative ?

Tout comme nos tests d’intrusion planifiés, le programme de prime aux bogues aide OneLogin à identifier les vulnérabilités de sécurité potentielles dans notre application, y compris celles figurant dans le Top 10 de l’OWASP et dans le Top 25 du SANS.

Quelle est la fréquence de vos évaluations/audits ?

Programme permanent.

Quel est le public principal ?

OneLogin (usage interne uniquement)

La loi sur la modernisation des institutions financières (GLBA, Gramm-Leach Bliley Act) de 1999 a établi pour la première fois l’obligation de protéger les informations financières des consommateurs. Les réglementations des services financiers sur la sécurité des systèmes d’information, initiées par la GLBA, imposent que les institutions financières aux États-Unis créent un programme de sécurité des systèmes d’information pour protéger la sécurité, la confidentialité et l’intégrité de ces informations. Le Federal Financial institutions Examination Council (FFIEC) soutient cette mission en fournissant des lignes directrices exhaustives et évolutives en matière de conformité. OneLogin ne stocke pas d’informations financières sur les consommateurs, mais a mis en adéquation son cadre de contrôle avec les directives du FFIEC pour s’assurer de sa conformité avec la GLBA si nécessaire. Ce cadre de contrôle est testé lors des audits SOC 2 Type 2.

Quel est l’objectif principal de cette initiative ?

Vérifier que OneLogin est en mesure de se conformer aux directives du FFIEC conçues selon les exigences de la GLBA pour protéger les informations financières des consommateurs.

Quel est le champ d’application ?

Les contrôles de sécurité de OneLogin sont évalués par rapport aux directives du FFIEC pour tester la conformité avec la GLBA.

Quelle est la fréquence de vos évaluations/audits ?

Les contrôles de sécurité alignés sur les directives du FFIEC pour les tests des exigences de la GLBA sont testés lors des audits périodiques SOC 2 Type 2.

Quel est le public principal ?

Les clients et les tiers concernés qui en ont besoin pour leur activité.

Le National Institute of Standards and Technology (NIST) a élaboré le Framework for Improving Critical Infrastructure Cybersecurity(Cadre de cybersécurité NIST) en réponse à l’Executive Order 13636. Ce cadre, fruit d’une collaboration entre le gouvernement et le secteur privé, utilise un langage commun pour aborder et gérer les risques de cybersécurité de manière économique, en fonction des besoins des entreprises, sans leur imposer d’exigences réglementaires supplémentaires. One Identity a aligné ses contrôles de sécurité en place sur ce cadre afin de renforcer son programme de sécurité. Ces contrôles sont testés dans le cadre de l’audit périodique SOC 2 Type 2.

Quel est l’objectif principal de cette initiative ?

Fournir un point de référence supplémentaire pour l’élaboration et la mise à jour du programme de sécurité de One Identity.

Quel est le champ d’application ?

Ce cadre se compose de trois parties : le cœur (Framework Core), le profil (Framework Profile) et les niveaux de mise en œuvre (Framework Implementation Tiers). Le cœur du cadre est un ensemble d’activités liées à la cybersécurité, de résultats et de références informatives qui sont communs à tous les secteurs d’infrastructures critiques et qui fournissent des orientations détaillées pour l’élaboration de profils organisationnels individuels. En utilisant les profils, le cadre aide l’entreprise à aligner ses activités liées à la cybersécurité sur ses besoins opérationnels, sa tolérance au risque et ses ressources. Les niveaux permettent aux entreprises de visualiser et de comprendre les caractéristiques de leur approche de gestion des risques liés à la cybersécurité.

Quelle est la fréquence de vos évaluations/audits ?

Les contrôles de sécurité alignés sur le cœur du Cadre de cybersécurité NIST sont testés lors des audits périodiques SOC 2 Type 2.

Quel est le public principal ?

Les clients et les tiers concernés qui en ont besoin pour leur activité.

Les organisations du secteur public britannique et les organismes indépendants peuvent utiliser le marché numérique pour acheter des services Cloud. Pour ce faire, les fournisseurs doivent accepter et respecter le cadre du G-Cloud. OneLogin participe à ce programme.

Quel est l’objectif principal de cette initiative ?

Fournir les données du service OneLogin aux organisations du secteur public britannique et aux organismes indépendants conformément aux exigences de la structure G-Cloud.

Quel est le champ d’application ?

La structure G-Cloud requiert une déclaration du fournisseur contenant des éléments de données standard permettant aux organisations d’évaluer les fournisseurs en fonction des mêmes critères. Les éléments de données comprennent des informations sur la prise en charge des standards ouverts, l’intégration et la suppression, le provisioning, le stockage de données, la résilience et la protection des actifs, la gestion des vulnérabilités et des incidents, entre autres.

Quelle est la fréquence de vos évaluations/audits ?

Chaque itération de la structure G-Cloud dure généralement 12 mois, après quoi une nouvelle itération est créée et les fournisseurs doivent soumettre une nouvelle déclaration basée sur les exigences de cette itération.

Quel est le public principal ?

Organisations du secteur public et organismes indépendants du Royaume-Uni.