Chez Plume, nous nous engageons à offrir à nos clients des expériences fiables en protégeant la sécurité, la confidentialité et la disponibilité de leurs données.
La sécurité de nos produits et services nous tient à cœur. Nous mettons l’accent sur la sécurité afin que nos clients puissent se concentrer sur la croissance et l’innovation de leurs services tout en permettant aux consommateurs d’améliorer leur expérience de maison intelligente. Plume a obtenu deux certifications de l’Organisation internationale de normalisation (ISO) : ISO27001 et ISO27701. Les certifications ISO sont largement considérées comme les certifications de référence en matière de protection des informations et des systèmes par lesquels ces informations sont traitées. Si vous avez des questions sur les programmes de protection des informations de Plume ou si vous avez eu un problème de sécurité des informations lié aux services de Plume, contactez-nous à l’adresse security@plume.com.
Sécurité des appareils et des applications
Plume intègre la sécurité dans le cycle de développement des produits, en suivant des cadres reconnus par le secteur tels que OWASP SAMM. Les évaluations de sécurité sont effectuées dans le cadre du processus de publication. L’objectif de Plume est de s’assurer que nos logiciels et micrologiciels sont conçus et fabriqués en toute sécurité.
La formation en matière de sécurité est conçue pour permettre à nos employés d’identifier, de traiter et d’atténuer les menaces de sécurité.
Les fournisseurs de services de Plume sont soumis à une évaluation des risques de sécurité dans le cadre du programme de gestion des risques tiers de Plume. Ce programme comprend l’examen de conformité à la loi de chaque tiers.
Sécurité des données
Plume utilise les cadres de meilleures pratiques NIST pour protéger les services et les normes NIST pour chiffrer les données clients dans le stockage et la communication entre l’équipement des locaux du consommateur et les applications mobiles/Web vers le cloud.
La séparation du réseau et le contrôle d’accès basé sur les rôles sont utilisés pour éviter l’accès non autorisé aux données.
Les autorisations liées aux données sont configurées à l’aide du principe du moindre privilège pour limiter l’accès uniquement aux personnes qui en ont besoin dans un objectif commercial spécifique.
L’accès aux données de production est surveillé, enregistré et audité.
Déclaration de vulnérabilité
Si vous avez des questions sur les programmes de protection des informations de Plume, si vous avez eu un problème de sécurité des informations lié aux services de Plume ou si vous souhaitez envoyer une déclaration de vulnérabilité, contactez-nous à l’adresse security@plume.com. Vous pouvez également utiliser ce formulaire pour envoyer une déclaration de vulnérabilité.
Vous recevrez un accusé de réception dans un délai de 5 jours ouvrés. Des mises à jour périodiques sur les problèmes signalés seront envoyées.
Dans la mesure du possible, nous confirmerons l’existence de la vulnérabilité et nous ferons preuve de la plus grande transparence tout au long du processus.
Confidentialité
Plume s’engage à protéger la vie privée des individus. L’engagement de Plume est rendu possible par un programme de gouvernance de la confidentialité régi par les principes fondamentaux de confidentialité suivants :
Légalité, équité et transparence : le traitement des informations personnelles est transparent et équitable.
Limitation de la finalité : les informations personnelles sont traitées à des finalités spécifiques, explicites et légitimes divulguées aux personnes et ne sont pas traitées d’une manière contraire aux finalités divulguées.
Minimisation des données : les informations personnelles sont traitées de manière raisonnable et nécessaire en accord avec les finalités pour lesquelles elles ont été recueillies.
Précision : Plume s’efforce de maintenir les informations personnelles exactes, à jour et complètes.
Limite de stockage : les informations personnelles sont stockées aussi longtemps que nécessaire aux finalités pour lesquelles elles ont été collectées.
Intégrité et confidentialité : Plume protège la sécurité et la confidentialité des informations personnelles à l’aide de mesures techniques et organisationnelles appropriées.
Programme de gouvernance de la confidentialité
Le programme de gouvernance de la confidentialité de Plume comprend les pratiques clés suivantes :
Plume décrit dans ses politiques de confidentialité les droits et les choix dont les individus disposent en ce qui concerne les informations personnelles et la manière d’exercer ces droits.
Les employés de Plume participent à une formation de sensibilisation à la confidentialité conçue autour des exigences organisationnelles, contractuelles et réglementaires.
Plume intègre des contrôles de confidentialité dès la conception, et de confidentialité par défaut dans le cycle de vie du développement des produits.
Plume dispose de procédures pour empêcher, détecter et corriger tout accès, utilisation, indisponibilité ou divulgation non autorisés des informations personnelles.
Les fournisseurs et prestataires de Plume qui traitent des informations personnelles sont soumis à des engagements contraignants qui établissent leurs rôles et leurs limites dans le traitement de ces informations personnelles.
Plume réalise des auto-évaluations périodiques pour identifier les lacunes dans son programme de gouvernance de la confidentialité, mettre en place des mesures pour éliminer les lacunes identifiées et établir les meilleures pratiques.
Plume prend des mesures pour conserver les informations personnelles pendant la durée nécessaire pour remplir les objectifs divulgués, sauf si une période de conservation différente est requise par les accords avec les clients ou par la loi.
Les services de Plume sont hébergés et exploités dans plusieurs régions géographiques. Dans certains cas, Plume peut transférer des informations personnelles au-delà des frontières. Pour les transferts internationaux d’informations personnelles depuis l’EEE, le Royaume-Uni et la Suisse, les contrats avec les clients et fournisseurs de Plume comprennent les clauses contractuelles types émises par la Commission européenne en vertu de la décision 2010/87/UE (y compris les annexes pour le Royaume-Uni et la Suisse). Plume se conforme aux lois applicables en ce qui concerne les autres transferts d’informations personnelles lorsque la juridiction de destination des informations personnelles ne garantit pas le même niveau de protection des données que la juridiction d’origine.
Cloud
Grâce à la puissance du cloud, les services Plume sont conçus pour être sécurisés, résistants et évolutifs de manière dynamique. L’état opérationnel de notre cloud américain et de notre cloud européen est accessible au public.
Pratiques cloud
L’architecture du cloud Plume lui confère une grande disponibilité et une redondance des données.
L’infrastructure cloud est construite et exploitée selon un modèle de responsabilité partagée qui tire parti des services certifiés des fournisseurs de cloud, complétés par des contrôles organisationnels et techniques.
L’accès aux ressources de l’entreprise est géré à l’aide de différents systèmes tels que l’authentification unique (SSO), l’authentification multifactorielle (MFA) et l’accès à distance basé sur un réseau privé virtuel (VPN).
Les systèmes sont configurés avec le minimum de services nécessaires et les modifications sont enregistrées et surveillées.
Des systèmes de détection des intrusions et des logiciels malveillants sont utilisés pour détecter et répondre aux comportements anormaux et aux activités malveillantes.
Des évaluations périodiques sont effectuées pour détecter les vulnérabilités de l’environnement, qui sont ensuite atténuées en fonction de leurs risques à l’aide de processus de gestion des changements et de réponse aux incidents.
Conformité
Plume travaille en permanence pour respecter et dépasser les obligations de conformité réglementaire. Plume dispose d’un ensemble de certifications de conformité.
ISO27001 : Gestion de la sécurité de l’information
Le système de gestion de la sécurité de l’information (ISMS) ISO 27001 préserve la confidentialité, l’intégrité et la disponibilité des informations en mettant en place un processus de gestion des risques. Il donne confiance aux parties internes et externes intéressées quant à la gestion adéquate des risques.
La norme ISO/IEC 27001:2013 spécifie les exigences relatives à la création, la mise en place, l’entretien et l’amélioration continue d’un système de gestion de la sécurité de l’information dans le contexte de l’entreprise.
Le cloud de production Plume, qui traite les activités commerciales liées aux opérations, à l’entretien et à la gestion de la plateforme cloud d’expérience de la maison intelligente des clients de Plume pour les fournisseurs de services de communication et les consommateurs, est certifié ISO 27001.
ISO27701 : Gestion de la confidentialité de l’information
Le système de gestion de la confidentialité de l’information (PIMS) ISO 27701 s’appuie sur la norme ISO/IEC 27001 et aide les entreprises à respecter les exigences réglementaires en matière de confidentialité. La norme présente un ensemble complet de contrôles opérationnels pouvant être associés à diverses réglementations, notamment le RGPD et la CCPA. Une fois associés, les contrôles opérationnels du PIMS sont mis en place par des professionnels de la confidentialité et audités par des auditeurs internes ou tiers, ce qui se traduit par une certification et une preuve complète de conformité.
Cette norme spécifie les exigences et fournit des directives pour la création, la mise en place, l’entretien et l’amélioration continue d’un système de gestion de la confidentialité de l’information (PIMS) sous la forme d’une extension aux normes ISO/IEC 27001 et ISO/IEC 27002 pour la gestion de la confidentialité dans le contexte de l’entreprise.
Le cloud de production Plume, qui traite les activités commerciales liées aux opérations, à l’entretien et à la gestion de la plateforme cloud d’expérience de la maison intelligente des clients de Plume pour les fournisseurs de services de communication et les consommateurs, est certifié ISO 27701.
Cadre de confidentialité des données
Le cadre de confidentialité des données (DPF) est un ensemble complet de directives et de normes développées pour simplifier et réguler le transfert de données personnelles entre des entreprises opérant dans différents pays. L’International Trade Administration du département du Commerce des États-Unis supervise le DPF.
Le DPF se compose du cadre de confidentialité des données entre l’UE et les États-Unis (EU-U.S. DPF), d’une extension pour le Royaume-Uni à l’EU-U.S. DPF et du cadre de confidentialité des données entre la Suisse et les États-Unis (Swiss-U.S. DPF). Plume dispose de la certification DPF officielle pour les trois.
Vous trouverez les preuves des certifications de Plume en saisissant « Plume Design Inc » dans la barre de recherche du site Web du DPF.