Sécurité Iron Mountain InSight® livre blanc

Résumé

À propos de la sécurité Iron Mountain

Iron Mountain adopte une approche approfondie de la sécurité qui couvre l'ingestion de contenu, le stockage et le traitement des documents numériques, ainsi que l'hébergement dans un data center sécurisé. Iron Mountain s'appuie sur l'Institut américain des normes et technologies (NIST) et sur Cyber Security Framework (CSF) comme cadre de sécurité d'entreprise. Nous assurons le déploiement sécurisé des services, le stockage des données avec des mesures de protection de la vie privée des utilisateurs finaux, les communications entre les services et l'assistance administrative avec séparation des tâches.

Formation

Iron Mountain travaille pour des secteurs très réglementés qui demandent une formation en matière de sécurité et de protection de la vie privée de ses collaborateurs. Les collaborateurs suivent divers cours et formations en matière de sécurité tout au long de l'année, conformément à notre programme de formation à l'échelle de l'entreprise. Cette formation comprend une sensibilisation annuelle à la sécurité, une formation à la confidentialité des données, une formation au code de sécurité, un code de conduite et une conduite professionnelle. Nous travaillons en collaboration avec les clients pour que les collaborateurs fassent l'objet de contrôles d'antécédents en bonne et due forme. Le recrutement est subordonné à un contrôle des antécédents, conformément aux exigences locales et à celles des clients.

Produits InSight d'Iron Mountain

I. Programmes de conformité

Iron Mountain InSight a mis en place un programme de conformité à la sécurité à la fois général et spécifique qui s'aligne sur les besoins des clients en matière de secteur et de réglementation. Ce programme comprend la conformité en matière de sécurité et la confidentialité des données.

Attestations de conformité

• Certification ISO-27001 : InSight continue d'être certifié depuis 2020. Il s'agit d'une certification internationale qui aide les entreprises à gérer la sécurité de leurs actifs informationnels. Elle offre un cadre de gestion pour la création d'un système de gestion de la sécurité des informations (ISMS) afin de garantir la confidentialité, l'intégrité et la disponibilité de toutes les données.
• SOC2 Type 2 : Iron Mountain conserve une certification SOC2 de Type 2 pour InSight depuis 2020. Un rapport SOC2 de type 2 est un audit SOC (Service Organization Control) sur la manière dont un prestataire de services basés sur le cloud traite les informations sensibles.

Conformité du secteur

• InSight est en conformité avec la norme 21 CFR Part 11.
• StateRAMP : le statut « prêt » a été donné en janvier 2024.
• FedRAMP (NIST, National Institute of Standards and Technology, 800-53/37) : Tests effectués par une tierce partie sur les contrôles NIST 800-53 révision 4, ainsi que sur les exigences supplémentaires du système FedRAMP. InSight a reçu l'autorisation d'opérer (ATO) ainsi que le statut « Ready » de FedRAMP.

Confidentialité des données

• Règlement général sur la protection des données (RGPD) : InSight a fait l'objet d'une évaluation du RGPD et une copie du rapport est disponible sur demande.
• Loi sur la portabilité et la responsabilité des assurances-maladie(HIPAA) : InSight est conforme à la loi américaine HIPAA et a mis en œuvre des mesures de confidentialité et de sécurité pour protéger la confidentialité et la sécurité des informations personnelles identifiables (PII).

II. Présentation de la sécurité opérationnelle

Gestion des identités et des accès

• Nous mettons en œuvre et appliquons un contrôle d'accès basé sur les rôles pour les utilisateurs privilégiés, ce qui permet de restreindre leur utilisation et leur attribution. L'authentification multifactorielle (AFM) est obligatoire afin de réserver l'accès aux utilisateurs authentifiés. Le principe du moindre privilège est mis en œuvre pour les utilisateurs et les processus autorisés.

Suivi

• Analyse de sécurité : l'environnement InSight comprend un système de suivi qui numérise les images et les systèmes des conteneurs et en détecte les vulnérabilités.
• Tests de sécurité des applications : InSight conduit des analyses statiques du code (SAST),des tests dynamiques de sécurité des applications (DAST) et des tests manuels de pénétration.
• Suivi du système et registres de contrôle : InSight comporte un système de gestion des événements et des informations de sécurité (SIEM) pour la gestion des registres, le suivi en temps réel des événements de sécurité, la corrélation et l'alerte des événements de sécurité, et les registres d'audit.
• Réponse aux incidents : notre équipe de réponse aux incidents de sécurité informatique (CIRT) est chargée de classer les événements d'audit qui présentent un intérêt particulier pour le système d'information Iron Mountain InSight, et de procéder à l'examen et à l'analyse des enregistrements d'audit.
• Gestion des incidents : notre équipe de réponse aux incidents de sécurité informatique (CIRT) dispose d'un plan de réaction informatique afin d'identifier, de protéger, de détecter, de répondre et de récupérer en temps réel, ce qui inclut l'enregistrement et le suivi complets de nos produits et de notre infrastructure. Nous avons également mis en place des programmes de sensibilisation et de formation des collaborateurs afin d'inclure les politiques et procédures internes en matière de sécurité de l'information.

Continuité des activités

• L'objectif de temps de récupération (RTO/OTR) d'InSight pour les applications d'entreprise de niveau 1 se situe entre 10 et 24 heures et l'objectif de point de récupération (RPO/OPR) a été évalué à 1 heure lors de notre dernier test de plan de continuité des activités (BCP) effectué au quatrième trimestre 2023. L'OTR et l'OPR peuvent être modifiés selon les besoins du client.

Reprise après sinistre

• Le test de reprise après sinistre InSight est conçu de manière à pouvoir récupérer efficacement les objets, les bases de données et les index en cas de suppression ou de mise à jour accidentelle, étant donné qu'il s'agit des sources de données persistantes pour l'application InSight dans le cadre de l'OTR et de l'OPR donnés, comme indiqué dans notre plan de continuité des activités (BCP).

Planification des capacités

• Notre planification des capacités est axée sur le contrôle des performances de la charge de travail et sur l'octroi de capacités permettant de répondre aux demandes actuelles et futures. Il s'agit notamment de mesurer les performances et de les contrôler afin de ne pas atteindre les limites de capacité.

Correction des erreurs et gestion des vulnérabilités

• La correction des erreurs et la gestion des vulnérabilités, la lutte contre les logiciels malveillants, le cryptage des disques d'extrémité et la prévention des intrusions sont gérés par nos solutions de gestion des actifs et des points d'extrémité dans le domaine des technologies de l'information.

Chiffrement

• Toutes les données sont chiffrées à la volée et au repos conformément au Federal Information Processing Standards (FIPS 140-2) en utilisant des normes industrielles telles que l'Advanced Encryption Standard (AES) 256 et des clés gérées par le service.

III. Confidentialité des données

Localisation des données

• La localisation des données décrit l'endroit où les données du client sont conservées. Pour faciliter le respect des exigences en matière de localisation des données, InSight a la possibilité de contrôler l'endroit où les données sont conservées et également de personnaliser et de restreindre la conservation des données à certaines régions.

Protection des données

• InSight applique des mesures techniques, organisationnelles et administratives appropriées, y compris le chiffrement et l'authentification multifactorielle (AFM), afin que les données des clients soient sécurisées à tout moment. InSight peut déployer un « Web Application Firewall », ou pare-feu applicatif (WAF), à la demande d'un client.

Analyse d'impact relative à la protection des données (AIPD)

• Iron Mountain traite des informations privées et personnellement identifiables pour le compte de tiers. En tant que responsable du traitement ou sous-traitant des données, Iron Mountain peut manipuler ou traiter les informations relatives aux clients sans être informé du contenu réel ou de l'origine des données.
• Dans le cas où nous agirions en tant que responsables du traitement ou sous-traitants des données de l'Espace économique européen (EEE) et de la Suisse (ou accédons aux données des États-Unis dans l'EEE ou en Suisse), les données seront traitées conformément aux principes applicables relatifs au bouclier de protection des données (Privacy Shield Principles).
• Nous effectuons des analyses d'impact relatives à la protection des données (AIPD) à intervalles réguliers, conformément au mandat associé au traitement des données à caractère personnel.

REMARQUE: Veuillez consulter la déclaration de protection des données d'Iron Montain pour obtenir des informations sur les types de données personnelles et les raisons pour lesquelles ces données sont transférées et traitées, ainsi que sur les tierces parties avec lesquelles ces données peuvent être partagées.

Élever la valeur de votre travail

Depuis plus de 70 ans, Iron Mountain est un partenaire stratégique qui prend soin de vos informations et de vos actifs. Leader mondial des services de gestion des documents et des informations et approuvé par plus de 225 000 entreprises dans le monde, dont plus de 90 % du classement Fortune 1 000, nous protégeons, libérons et optimisons la valeur de votre travail, quel qu'il soit, où qu’il soit et quel que soit son mode de stockage.