Confiance et conformité avec les normes PCI DSS, TISAX, HIPAA, FedRAMP et bien d'autres

C'est un fait avéré : les volumes de données continuent à augmenter et le monde devient de plus en plus interconnecté grâce à la puissance des technologies. De ce fait, le besoin en conseils et en protection des informations confidentielles se fait de plus en plus prégnant.

C'est pourquoi les responsables de la sécurité des informations, tous secteurs confondus, sont en permanence à la recherche de nouveaux moyens pour protéger les clients, les entreprises et les organismes publics à l'aide des réglementations modernes et des normes de conformité. Lorsque les organisations ne sont pas à la hauteur des bonnes pratiques et des mesures de conformité attendues en matière de confidentialité des données, ou qu'elles sous-exploitent ou négligent la protection des informations sensibles, elles encourent clairement des effets préjudiciables : perte de réputation de la marque, diminution de la fidélité des clients, et bien entendu, amendes et pénalités prohibitives.

Qu'il s'agisse de préserver des informations médicales, de protéger l'intégrité financière des clients, de défendre les renseignements gouvernementaux, ou encore de gérer l'échange d'informations dans le domaine automobile, chaque secteur a ses propres spécificités qui nécessitent toutes une attention particulière. Les acteurs des secteurs public et privé évaluent donc les fournisseurs et partenaires à qui ils font appel et choisissent ceux qui répondent ou dépassent les normes de conformité propres à leur secteur.

C'est pourquoi, chez Elastic, nous avons conçu des produits hébergés et autogérés en gardant la sécurité à l'esprit. Nos produits intègrent donc des fonctionnalités qui protègent les informations des clients et des entreprises. Pour cela, nous travaillons en étroite collaboration avec des experts sectoriels et des organismes de réglementation, dans un seul but : respecter les réglementations propres à chaque secteur. Nos services sont audités par des parties indépendantes, qui ont confirmé qu'ils respectaient les normes en matière de confidentialité et de conformité pour la sécurité des données grâce aux certifications et attestations qui nous ont été décernées. Voici quelques normes du secteur qu'Elastic est fière de respecter :

PCI DSS

Elastic est certifiée en tant que Prestataire de services PCI DSS de niveau 1.

La norme de sécurité de l'industrie des cartes de paiement (PCI DSS) est la norme de référence dans le secteur des paiements. Régie par le Conseil des normes de sécurité PCI (PCI SSC), elle fournit un ensemble de règles de sécurité que doivent respecter les organisations qui acceptent, transmettent ou stockent les données de détenteurs de cartes. Conformément au modèle établi, les prestataires doivent administrer un programme de gestion des vulnérabilités, mettre en œuvre des contrôles d'accès robustes, surveiller et tester régulièrement les réseaux, et appliquer d'autres normes concernant les composants techniques et opérationnels. En savoir plus

TISAX

Elastic est certifiée Partenaire de confiance par TISAX avec le niveau "élevé" de protection dans les domaines de la sécurité des informations et de la confidentialité des données.

L'association allemande du secteur de l'automobile (VDA), en collaboration avec l'European Network Exchange (ENX), a créé la certification Trusted Information Security Assessment Exchange (TISAX). TISAX propose une approche courante d'évaluation de la sécurité des informations aux fins d'analyse interne, d'évaluation des fournisseurs et d'échange d'informations. Le but : mettre en place un écosystème fiable de fournisseurs, prestataires, sous-traitants, fournisseurs de solutions, fabricants d'équipement d'origine et constructeurs automobiles dans le secteur. En savoir plus

HIPAA

Elastic se conforme aux normes HIPAA.

La loi Health Insurance Portability and Accountability Act de 1996 (HIPAA) est un ensemble de règles et de normes américaines concernant la confidentialité des données, qui régissent l'utilisation de données sensibles concernant les patients. Cette loi concerne différentes entités, telles que les prestataires de soins de santé, les programmes de santé, les médiateurs en santé et les associés. Pour se conformer aux normes de sécurité de l'HIPAA, les entités concernées doivent garantir la confidentialité, l'intégrité et la disponibilité des différentes informations de santé électroniques protégées. Les données doivent être protégées contre les menaces de sécurité potentielles ou les utilisations non permises, et les membres qui y ont accès doivent en certifier la conformité.

FedRAMP

Elastic Cloud dispose d'une autorisation de niveau d'impact Moyen du Federal Risk and Authorization Management Program.

Le Federal Risk and Authorization Management Program (FedRAMP) propose une approche normalisée concernant les autorisations de sécurité pour les offres de services cloud aux États-Unis. Établi en 2011, le programme se veut être un outil permettant au gouvernement fédéral d'adopter et d'utiliser des services cloud de manière économique tout en gérant les risques. Le FedRAMP normalise les exigences de sécurité concernant l'autorisation et la cybersécurité permanente des services cloud conformément à la loi FISMA, la circulaire A-130 de l'OMB et la politique FedRAMP.

La conformité n'est que la première étape

Notre équipe expérimentée de professionnels de la sécurité travaille de manière interdisciplinaire pour garantir un niveau de sécurité optimal aussi bien pour nos technologies que notre entreprise. Nous procédons à une vérification minutieuse de chacun de nos fournisseurs et de nos projets open source pour nous assurer qu'ils respectent bien les normes et le niveau de sécurité sur lesquels nous nous sommes engagés. Nous collaborons également avec des fournisseurs d'infrastructure en tant que service (IaaS) soigneusement sélectionnés, qui se soumettent régulièrement à des audits indépendants afin de vérifier la sécurité de leurs services.

Envie d'en savoir plus ? Apprenez-en davantage sur la conformité d'Elastic et les normes du secteur sur la sécurité des informations telles que CSA STAR, ISAE 3000, ISO/CEI 27001, ISO/CEI 27017, ISO/CEI 27018, SOC 2 et SOC 3. Autre point : assurez-vous que vos données Elasticsearch respectent le RGPD à l'aide de notre page consacrée à la conformité au RGPD.