Centre de confiance Plume

• Plume intègre la sécurité dans le cycle de développement des produits, en suivant des cadres reconnus par le secteur tels que OWASP SAMM. Les évaluations de sécurité sont effectuées dans le cadre du processus de publication. L’objectif de Plume est de s’assurer que nos logiciels et micrologiciels sont conçus et fabriqués en toute sécurité.
• La formation en matière de sécurité est conçue pour permettre à nos employés d’identifier, de traiter et d’atténuer les menaces de sécurité.
• Les fournisseurs de services de Plume sont soumis à une évaluation des risques de sécurité dans le cadre du programme de gestion des risques tiers de Plume. Ce programme comprend l’examen de conformité à la loi de chaque tiers.

• Plume utilise les cadres de meilleures pratiques NIST pour protéger les services et les normes NIST pour chiffrer les données clients dans le stockage et la communication entre l’équipement des locaux du consommateur et les applications mobiles/Web vers le cloud.
• La séparation du réseau et le contrôle d’accès basé sur les rôles sont utilisés pour éviter l’accès non autorisé aux données.
• Les autorisations liées aux données sont configurées à l’aide du principe du moindre privilège pour limiter l’accès uniquement aux personnes qui en ont besoin dans un objectif commercial spécifique.
• L’accès aux données de production est surveillé, enregistré et audité.

• Si vous avez des questions sur les programmes de protection des informations de Plume, si vous avez eu un problème de sécurité des informations lié aux services de Plume ou si vous souhaitez envoyer une déclaration de vulnérabilité, contactez-nous à l’adresse security@plume.com. Vous pouvez également utiliser ce formulaire pour envoyer une déclaration de vulnérabilité.
• Vous recevrez un accusé de réception dans un délai de 5 jours ouvrés. Des mises à jour périodiques sur les problèmes signalés seront envoyées.
• Dans la mesure du possible, nous confirmerons l’existence de la vulnérabilité et nous ferons preuve de la plus grande transparence tout au long du processus.

Le programme de gouvernance de la confidentialité de Plume comprend les pratiques clés suivantes :

• Plume décrit dans ses politiques de confidentialité les droits et les choix dont les individus disposent en ce qui concerne les informations personnelles et la manière d’exercer ces droits.
• Les employés de Plume participent à une formation de sensibilisation à la confidentialité conçue autour des exigences organisationnelles, contractuelles et réglementaires.
• Plume intègre des contrôles de confidentialité dès la conception, et de confidentialité par défaut dans le cycle de vie du développement des produits.
• Plume dispose de procédures pour empêcher, détecter et corriger tout accès, utilisation, indisponibilité ou divulgation non autorisés des informations personnelles.
• Les fournisseurs et prestataires de Plume qui traitent des informations personnelles sont soumis à des engagements contraignants qui établissent leurs rôles et leurs limites dans le traitement de ces informations personnelles.
• Plume réalise des auto-évaluations périodiques pour identifier les lacunes dans son programme de gouvernance de la confidentialité, mettre en place des mesures pour éliminer les lacunes identifiées et établir les meilleures pratiques.
• Plume prend des mesures pour conserver les informations personnelles pendant la durée nécessaire pour remplir les objectifs divulgués, sauf si une période de conservation différente est requise par les accords avec les clients ou par la loi.
• Les services de Plume sont hébergés et exploités dans plusieurs régions géographiques. Dans certains cas, Plume peut transférer des informations personnelles au-delà des frontières. Pour les transferts internationaux d’informations personnelles depuis l’EEE, le Royaume-Uni et la Suisse, les contrats avec les clients et fournisseurs de Plume comprennent les clauses contractuelles types émises par la Commission européenne en vertu de la décision 2010/87/UE (y compris les annexes pour le Royaume-Uni et la Suisse). Plume se conforme aux lois applicables en ce qui concerne les autres transferts d’informations personnelles lorsque la juridiction de destination des informations personnelles ne garantit pas le même niveau de protection des données que la juridiction d’origine.

• L’architecture du cloud Plume lui confère une grande disponibilité et une redondance des données.
• L’infrastructure cloud est construite et exploitée selon un modèle de responsabilité partagée qui tire parti des services certifiés des fournisseurs de cloud, complétés par des contrôles organisationnels et techniques.
• L’accès aux ressources de l’entreprise est géré à l’aide de différents systèmes tels que l’authentification unique (SSO), l’authentification multifactorielle (MFA) et l’accès à distance basé sur un réseau privé virtuel (VPN).
• Les systèmes sont configurés avec le minimum de services nécessaires et les modifications sont enregistrées et surveillées.
• Des systèmes de détection des intrusions et des logiciels malveillants sont utilisés pour détecter et répondre aux comportements anormaux et aux activités malveillantes.
• Des évaluations périodiques sont effectuées pour détecter les vulnérabilités de l’environnement, qui sont ensuite atténuées en fonction de leurs risques à l’aide de processus de gestion des changements et de réponse aux incidents.

• Le système de gestion de la sécurité de l’information (ISMS) ISO 27001 préserve la confidentialité, l’intégrité et la disponibilité des informations en mettant en place un processus de gestion des risques. Il donne confiance aux parties internes et externes intéressées quant à la gestion adéquate des risques.
• La norme ISO/IEC 27001:2013 spécifie les exigences relatives à la création, la mise en place, l’entretien et l’amélioration continue d’un système de gestion de la sécurité de l’information dans le contexte de l’entreprise.

• Le cloud de production Plume, qui traite les activités commerciales liées aux opérations, à l’entretien et à la gestion de la plateforme cloud d’expérience de la maison intelligente des clients de Plume pour les fournisseurs de services de communication et les consommateurs, est certifié ISO 27001.

  

• Le système de gestion de la confidentialité de l’information (PIMS) ISO 27701 s’appuie sur la norme ISO/IEC 27001 et aide les entreprises à respecter les exigences réglementaires en matière de confidentialité. La norme présente un ensemble complet de contrôles opérationnels pouvant être associés à diverses réglementations, notamment le RGPD et la CCPA. Une fois associés, les contrôles opérationnels du PIMS sont mis en place par des professionnels de la confidentialité et audités par des auditeurs internes ou tiers, ce qui se traduit par une certification et une preuve complète de conformité.
• Cette norme spécifie les exigences et fournit des directives pour la création, la mise en place, l’entretien et l’amélioration continue d’un système de gestion de la confidentialité de l’information (PIMS) sous la forme d’une extension aux normes ISO/IEC 27001 et ISO/IEC 27002 pour la gestion de la confidentialité dans le contexte de l’entreprise.
• Le cloud de production Plume, qui traite les activités commerciales liées aux opérations, à l’entretien et à la gestion de la plateforme cloud d’expérience de la maison intelligente des clients de Plume pour les fournisseurs de services de communication et les consommateurs, est certifié ISO 27701.
  

  

• Le cadre de confidentialité des données (DPF) est un ensemble complet de directives et de normes développées pour simplifier et réguler le transfert de données personnelles entre des entreprises opérant dans différents pays. L’International Trade Administration du département du Commerce des États-Unis supervise le DPF.
• Le DPF se compose du cadre de confidentialité des données entre l’UE et les États-Unis (EU-U.S. DPF), d’une extension pour le Royaume-Uni à l’EU-U.S. DPF et du cadre de confidentialité des données entre la Suisse et les États-Unis (Swiss-U.S. DPF). Plume dispose de la certification DPF officielle pour les trois.
• Vous trouverez les preuves des certifications de Plume en saisissant « Plume Design Inc » dans la barre de recherche du site Web du DPF.