Sécurité de l'information
La protection des données est au coeur de notre métier. Notre politique de sécurité se décline dans 4 dimensions principales :
La sécurité physique : outils et procédures qui protègent physiquement les équipements vis-à-vis des risques exogènes auxquels ils peuvent être exposés.
La sécurité logique : outils et procédures qui protègent les données qui circulent et sont stockées sur les équipements, et qui protègent les logiciels qui activent les fonctions pour les exploiter.
Les procédures d'exploitation : elles modélisent l’ensemble de nos activités de production et nos SLA
Les procédures particulières de continuité de services et de reprise d’activité (dites « de résilience ») qui sont activées lorsqu’un risque survient et provoque des dégâts.
Cette politique est contrôlée et mesurée en permanence.
Elle est attestée chaque année par trois certifications :
- La certification ISO 9001-2015 IAF33 « Datacenter, Hosting et Hébergement » qui examine :
- La certification PCI DSS Level 1 (Payment Card Industry Data Security Standards), chapitres 9 et 12, qui examine :
- La certification ISO/IEC 27001:2017 « Conception, fourniture et gestion de services d'hébergement et d'hébergement de centres de données, et de traitement des données à caractère personnel et données relatives à la santé» qui examine :
RGPD
La Réglementation Générale de Protection des Données est une règlementation de la Communauté Européenne qui s'applique en l'état dans toute l'Europe. Elle concerne la protection des données des citoyens Européens, que les opérateurs concernés soient en Europe ou ailleurs dans le monde.
Les opérateurs concernés sont toutes les organisations qui, à un moment quelconque de leur processus, qu'il soit resté sur papier ou numérisé, collectent, stockent, traitent et restituent des données personnelles. On comprend immédiatement que toutes les entreprises, petites et grandes, sont concernées.
En tant qu'hébergeur de données, la réglementation Européenne nous attribue un rôle de fournisseur "processeur" des données, sous-traitant du client qui reste propiétraire et "responsable du traitement" qu'il applique a ses données.
Concrètement, cela signifie que nos clients doivent établir une cartographie des données personnelles qu'ils collectent, stockent, traitent et restituent. Un registre doit être tenu à jour pour attester de la traçabilité des opérations. L'ensemble des processus de traitement des données personnelles doivent être conçus dès le départ selon un principe de "privacy by design" qui permet de respecter cette réglementation.
De notre côté, nous devons pouvoir attester à tout moment que notre politique de sécurité de l'information est également conforme à cette réglementation. Par exemple nous devons savoir exactement où sont stockées les données que nous hébergeons et nous devons savoir présenter à tout moment nos procédures de protection de l'information, de résilience et de réversibilité.
Le niveau de protection "Tier 4" de notre principal Datacenter de Sophia Antipolis et les procédures de sécurité mises en place chez TAS, notamment pour nos certifications, sont alignées sur les exigences de cette règlementation dans le rôle qui est le nôtre.
Cependant, le partage de responsabilités avec nos clients "responsables du traitement" des données reste un point de vigilance constant, notamment lorsque l'infogérance des serveurs nous est confiée. La protection de l'information est un travail permanent, qui ne peut être décrété une fois pour toutes, notamment compte tenu des erreurs humaines qui peuvent intervenir même dans des processus très automatisés.
Nos services d'hébergement sont formalisés par des contrats personnalisés qui prennent en compte le contexte particulier de chaque client.
Sauvegardes - PRA - PCA
Nous proposons systématiquement à nos clients des procédures de sauvegarde et de restauration des données que nous hébergeons.
Nos solutions permettent également d'inclure dans le périmètre de sauvegarde les données qui ne sont pas stockées chez TAS, par exemple sur des serveurs distants ou des équipements mobiles.
Dans tous les cas, nous incitons nos clients à décider d'une politique de sauvegardes (criticité des données, fréquence des sauvegardes, localisation des sauvegardes, rétention des données, délais acceptables de restauration, etc...) et à s'interroger sur leur niveau d'exigence en matière de continuité d'activité en cas de sinistre.
Nos clients les plus sensibles et les plus exigeants nous demandent des services à très haut débit et très haute disponibilité en toutes circonstances, 24/24 h, 7/7j, 365 jours par an.
Dans ce cas nous construisons des architectures multi serveurs et multi sites avec un niveau de redondance permettant aux utilisateurs de poursuivre une activité normale sans coupure sensible de service alors qu'un incident majeur aura pu survenir sur leur réseau.
