absentify nécessite une authentification auprès des banques de données de production pour utiliser des mécanismes d'authentification sécurisés autorisés, tels qu'une clé SSH unique.

absentify restreint l'accès privilégié aux clés de chiffrement aux utilisateurs autorisés ayant des besoins professionnels.

La politique de contrôle d'accès de l'entreprise décrit les exigences relatives aux fonctions de contrôle d'accès suivantes : ajout de nouveaux utilisateurs, modification d'utilisateurs et/ou suppression de l'accès d'un utilisateur existant.

absentify restreint l'accès privilégié aux bases de données aux utilisateurs autorisés ayant des besoins professionnels.

absentify restreint l'accès privilégié au pare-feu aux utilisateurs autorisés ayant des besoins professionnels.

absentify restreint l'accès privilégié au réseau de production aux utilisateurs autorisés ayant des besoins professionnels.

absentify complète les listes de contrôle des licenciements pour s'assurer que l'accès est révoqué pour les employés licenciés dans le cadre des SLA.

absentify nécessite une authentification auprès du « réseau de production » pour utiliser des noms d'utilisateur et des mots de passe uniques ou des clés Secure Socket Shell (SSH) autorisées.

Les systèmes de production d'absentify ne sont accessibles à distance que par les employés autorisés possédant une méthode d'authentification multifacteur (MFA) valide.

Les systèmes de production d'absentify ne sont accessibles à distance que par les employés autorisés via une connexion cryptée approuvée.

absentify utilise Microsoft Defender pour garantir une protection continue de son réseau, de ses ressources cloud et de ses terminaux. La solution fournit des fonctionnalités avancées de détection des menaces et des mesures proactives pour prévenir les attaques potentielles.

absentify utilise un outil de gestion des journaux pour identifier les événements susceptibles d'avoir un impact potentiel sur la capacité de l'entreprise à atteindre ses objectifs de sécurité.

Le réseau d'absentify est segmenté pour empêcher tout accès non autorisé aux données des clients.

absentify révise ses règles de pare-feu au moins une fois par an. Les modifications requises sont suivies jusqu'à leur achèvement.

absentify utilise des pare-feux et les configure pour empêcher tout accès non autorisé.

absentify exploite les services entièrement gérés d'Azure, qui respectent les normes de sécurité et de renforcement des systèmes de pointe de Microsoft. Ces normes sont documentées, mises à jour en permanence par Microsoft et alignées sur les meilleures pratiques afin de garantir une infrastructure sécurisée et fiable.

absentify s'appuie exclusivement sur des services Azure entièrement gérés pour son infrastructure. Ces services sont gérés et mis à jour automatiquement par Microsoft pour corriger les vulnérabilités identifiées et garantir que les systèmes supportant Absentify restent sécurisés et résilients face aux menaces potentielles.

absentify fait purger ou détruire les supports électroniques contenant des informations confidentielles conformément aux meilleures pratiques, et des certificats de destruction sont émis pour chaque appareil détruit.

absentify tient un inventaire officiel des actifs du système de production.

Absentify chiffre les périphériques portables et amovibles lorsqu'ils sont utilisés.

absentify déploie une technologie anti-malware dans des environnements généralement sensibles aux attaques malveillantes et la configure pour qu'elle soit mise à jour régulièrement, enregistrée et installée sur tous les systèmes concernés.

Absentify oblige les contractants à signer un accord de confidentialité au moment de l'engagement.

absentify oblige les employés à signer un accord de confidentialité lors de l'intégration.

les gestionnaires absentifiés sont tenus de réaliser des évaluations des performances pour les subordonnés directs au moins une fois par an.

absentify exige que les mots de passe des composants du système concernés soient configurés conformément à la politique de l'entreprise.

Absentify oblige les employés à suivre une formation de sensibilisation à la sécurité dans les trente jours suivant l'embauche et au moins une fois par an par la suite.

Les banques de données d'Absentify hébergeant des données clients sensibles sont cryptées au repos.

absentify effectue des auto-évaluations des contrôles au moins une fois par an pour s'assurer que les contrôles sont en place et fonctionnent efficacement. Des mesures correctives sont prises sur la base des résultats pertinents. Si l'entreprise s'est engagée à respecter un SLA pour un résultat, l'action corrective est exécutée dans le cadre de ce SLA.

les tests d'intrusion d'Absentify sont effectués au moins une fois par an. Un plan de correction est élaboré et des modifications sont mises en œuvre pour corriger les vulnérabilités conformément aux SLA.

absentify utilise des protocoles de transmission de données sécurisés pour crypter les données confidentielles et sensibles lorsqu'elles sont transmises sur les réseaux publics.

Les politiques formelles d'absentify définissent les exigences relatives aux fonctions suivantes liées à l'informatique et à l'ingénierie : gestion des vulnérabilités ; surveillance du système.

absentify a mis en place des plans de continuité des activités et de reprise après sinistre qui décrivent des plans de communication afin de maintenir la continuité de la sécurité des informations en cas d'indisponibilité du personnel clé.

absentify dispose d'un plan de continuité des activités/reprise après sinistre (BC/DR) documenté et le teste au moins une fois par an.

absentify a mis en place une procédure de gestion des configurations pour garantir que les configurations système sont déployées de manière cohérente dans l'environnement.

absentify exige que les modifications apportées aux composants logiciels et d'infrastructure du service soient autorisées, documentées officiellement, testées, révisées et approuvées avant d'être mises en œuvre dans l'environnement de production.

absentify restreint l'accès au personnel autorisé pour migrer les modifications apportées à la production.

absentify dispose d'une méthodologie formelle du cycle de vie du développement des systèmes (SDLC) qui régit le développement, l'acquisition, la mise en œuvre, les modifications (y compris les modifications d'urgence) et la maintenance des systèmes d'information et les exigences technologiques connexes.

La politique de sauvegarde des données d'absentify décrit les exigences en matière de sauvegarde et de restauration des données des clients.

absentify informe les clients des modifications critiques du système susceptibles d'affecter leur traitement.

la direction des absences a défini les rôles et les responsabilités pour superviser la conception et la mise en œuvre des contrôles de sécurité de l'information.

absentify tient à jour un organigramme qui décrit la structure organisationnelle et les lignes hiérarchiques.

Les rôles et responsabilités relatifs à la conception, au développement, à la mise en œuvre, à l'exploitation, à la maintenance et à la surveillance des contrôles de sécurité de l'information sont officiellement attribués dans les descriptions de poste et/ou dans la politique relative aux rôles et responsabilités.

les politiques et procédures de sécurité des informations d'absentify sont documentées et révisées au moins une fois par an.

absentify a mis en place un système de support externe qui permet aux utilisateurs de signaler les informations du système sur les pannes, les incidents, les préoccupations et autres plaintes au personnel approprié.

absentify communique les modifications apportées au système aux utilisateurs internes autorisés.

absentify effectue des contrôles d'accès au moins une fois par trimestre pour les composants du système concernés afin de garantir que l'accès est restreint de manière appropriée. Les modifications requises sont suivies jusqu'à leur achèvement.

absentify garantit que l'accès des utilisateurs aux composants du système concernés est basé sur le rôle et la fonction du poste ou nécessite un formulaire de demande d'accès documenté et l'approbation du responsable avant que l'accès ne soit fourni.

absentify dispose de politiques et de procédures de réponse aux incidents de sécurité et de confidentialité qui sont documentées et communiquées aux utilisateurs autorisés.

Les incidents de sécurité et de confidentialité d'absentify sont enregistrés, suivis, résolus et communiqués aux parties concernées ou concernées par la direction conformément à la politique et aux procédures de réponse aux incidents de sécurité de l'entreprise.

Les engagements de sécurité d'absentify sont communiqués aux clients dans le cadre de contrats-cadres de service (MSA) ou de conditions d'utilisation (TOS).

les évaluations des risques d'absentify sont effectuées au moins une fois par an. Dans le cadre de ce processus, les menaces et les changements (environnementaux, réglementaires et technologiques) affectant les engagements de service sont identifiés et les risques sont formellement évalués. L'évaluation des risques inclut la prise en compte du potentiel de fraude et de la manière dont la fraude peut affecter la réalisation des objectifs.

absentify a mis en place un programme de gestion des risques documenté qui comprend des conseils sur l'identification des menaces potentielles, l'évaluation de l'importance des risques associés aux menaces identifiées et des stratégies d'atténuation de ces risques.

absentify a conclu des accords écrits avec des fournisseurs et des tiers associés. Ces accords incluent des engagements de confidentialité et de confidentialité applicables à cette entité.

absentify a mis en place un programme de gestion des fournisseurs. Les éléments de ce programme incluent : l'inventaire des fournisseurs tiers critiques ; les exigences de sécurité et de confidentialité des fournisseurs ; et l'examen des fournisseurs tiers critiques au moins une fois par an.

Des analyses de vulnérabilité basées sur l'hôte sont effectuées au moins une fois par trimestre sur tous les systèmes externes. Les vulnérabilités critiques et élevées sont suivies jusqu'à la correction.

absentify a mis en place des procédures formelles de conservation et de destruction pour garantir la conservation et la destruction sécurisées des données de l'entreprise et des clients.

absentify purge ou supprime les données clients contenant des informations confidentielles de l'environnement applicatif, conformément aux meilleures pratiques, lorsque les clients quittent le service.

absentify a mis en place une politique de classification des données pour garantir que les données confidentielles sont correctement sécurisées et réservées au personnel autorisé.