Conformité
Programme de gestion des risques
Le cadre de gestion des risques de sécurité de Hootsuite définit le mandat et l'engagement généraux, les principes directeurs, ainsi que les rôles et responsabilités établis pour la gestion, le suivi et l'amélioration des pratiques de gestion des risques au sein de l'organisation. Ce programme est adaptable en fonction de l'environnement interne, organisationnel et externe, des avancées technologiques et des changements commerciaux. Le cadre comprend l'évaluation et le traitement des risques liés à la sécurité des informations pour tous les processus de sécurité, y compris l'examen des fournisseurs, les correctifs des applications/serveurs, la gestion des incidents de sécurité et la correction des vulnérabilités.
Hootsuite dispose d'une équipe dédiée dont la mission est de fournir une assurance objective et des activités de conseil conçues pour ajouter de la valeur et renforcer les opérations de Hootsuite. Le champ d'application de son mandat est de déterminer si l'organisation des processus de gestion des risques, de contrôle et de gouvernance de Hootsuite, telle que conçue et représentée par la direction, est adéquate et fonctionne comme prévu pour toutes les unités commerciales, y compris les activités de Hootsuite.
Cela implique :
Veiller à ce que la direction ait mis en place des contrôles internes fiables.
Conseiller les unités opérationnelles en matière de risques et aider la direction à identifier les contrôles visant à atténuer les risques.
Évaluer les contrôles et les opérations au sein des unités commerciales et communiquer les résultats de l'évaluation à la direction.
Il existe un processus structuré d'évaluation des risques pour identifier et gérer les risques susceptibles d'affecter la capacité de Hootsuite à fournir des services à ses clients. L'évaluation est réalisée tous les ans ou lors de changement significatif de l'environnement ou du processus d'entreprise. L'évaluation implique les étapes suivantes : identifier, analyser, évaluer et traiter efficacement les risques.
Politiques de sécurité de l'information
Hootsuite a créé un système de gestion de la sécurité des informations (ISMS) pour guider ses opérations. Des politiques et des processus sont en place pour fournir à la direction des directives et un soutien en matière de sécurité des informations conformément aux exigences commerciales et aux cadres, lois et réglementations pertinentes. Hootsuite dispose d'un ensemble complet de politiques de sécurité de l'information basées sur les normes de sécurité de l'information ISO/CEI 27001/27002, les critères de service de confiance (SOC 2), NIST 800-53 et le RGPD. Voici les politiques incluses :
Utilisation acceptable
Contrôle d'accès
Gestion des ressources
Gestion du changement
Gestion de la configuration
Cryptographie
Reprise après sinistre
Sécurité des terminaux
Classification des informations
Sécurité des ressources humaines
Journalisation et suivi
Sauvegarde des opérations
Mot de passe
Sécurité physique et environnementale
Gestion des incidents de sécurité
Gestion des risques de sécurité
Gestion des vulnérabilités de sécurité
Gestion des risques tiers
Sécurité sans fil
Les politiques de sécurité sont fondées sur les principes clés du moindre privilège, de la nécessité de savoir et de la séparation des tâches. Les politiques sont examinées chaque année ou en cas de changement important de l'environnement ou du processus d'entreprise.
Vérification
Hootsuite teste en interne les principaux contrôles de sécurité et de confidentialité afin de valider le respect des cadres établis. Cela inclut les tests d'intrusion de sécurité tiers sur une base annuelle. Les résultats sont communiqués à la direction générale, les mesures correctives font l'objet d'un suivi et les contrôles sont testés à nouveau si nécessaire pour garantir la conformité.
Les contrôles de sécurité et de protection de la vie privée sont vérifiés chaque année par un tiers indépendant qui s'assure que la technologie, les processus et les procédures sont en place et respectés. Vous pouvez demander un résumé de notre rapport SOC 2 de type II par l'intermédiaire de votre responsable de compte.
Notre rapport SOC 3 présente des informations relatives aux contrôles internes de Hootsuite en matière de sécurité, de disponibilité, d'intégrité du traitement, de confidentialité et de confidentialité. Il est disponible en téléchargement ici.
La stratégie nationale de cybersécurité du gouvernement britannique oblige tous les fournisseurs à se conformer aux mesures de contrôle Cyber Essential lorsqu'ils soumettent des appels d'offres pour des contrats publics impliquant le traitement d'informations sensibles et personnelles. Cyber Essentials a été développé par le gouvernement britannique, en consultation avec le secteur et fournit une base de mesures de cybersécurité de base. Hootsuite est conforme au programme Cyber Essentials.
FedRAMP
Le programme fédéral de gestion des risques et des autorisations, ou FedRAMP, est un programme gouvernemental qui normalise l'évaluation de la sécurité des services cloud utilisés par les agences fédérales américaines. FedRAMP veille à ce que les entreprises répondent à des normes rigoureuses régies par un organisme externe. Les agences fédérales américaines sont encouragées à héberger des données auprès de fournisseurs de services cloud externes disposant d'une autorisation FedRAMP.
L'autorisation FedRAMP est soumise à un processus de certification qui est audité par rapport à la norme NIST SP 800-53. Il existe différents niveaux d'autorisation en fonction du type de données fédérales traitées par le fournisseur. Hootsuite est autorisée conformément à la norme Li-SaaS sur mesure de FedRAMP.
Si vous avez des questions sur le programme de gestion des risques de Hootsuite, les politiques de sécurité de l'information ou le processus de vérification indépendant, demandez à votre représentant de la réussite client ou contactez-nous pour en savoir plus.