1. Comment pouvons-nous empêcher les clients d’accéder aux données d’autres clients?

Notre architecture multilocataires est fondée sur la séparation logique des bases de données, afin de garantir la confidentialité et de protéger la vie privée de nos clients. Ces contrôles de sécurité stricts intégrés à notre code nous permettent de garantir la confidentialité des données et d’empêcher qu’un client accède aux données d’un autre. Pour ce faire, nous utilisons des identifiants de compte uniques qui associent chaque utilisateur à un compte. Nous avons mis en place des tests unitaires et d’intégration pour nous nous assurer que ces contrôles de la confidentialité fonctionnent comme il se doit. Nous exécutons ces tests chaque fois que notre code base est mis à jour. Le moindre échec à un test empêche l’envoi en production du nouveau code.

 

2. À quelle fréquence effectuons-nous des copies de sauvegarde?

Notre infrastructure de sauvegarde et de récupération est hébergée et utilise les services Amazon Simple Storage (Amazon S3) et Amazon Relational Database (Amazon RDS) qui fournissent une capacité de base de données modulable avec une infrastructure de stockage de données évolutive et efficace. Le service Amazon RDS est configuré pour créer quotidiennement une copie de sauvegarde de la base de données de production, conserver les copies de sauvegardes des 35 derniers jours et stocker les copies de sauvegarde chiffrées de la base de données dans un emplacement de stockage de données à haute disponibilité. Le service Amazon RDS permet également la restauration ponctuelle de la base de données pour n’importe quel moment au cours des deux dernières semaines. Les anciennes copies de sauvegarde sont supprimées conformément à notre Programme de rétention des données.

 

3. Quels sont les objectifs de point de récupération (RPO) et de délai de récupération (RTO) de KnowBe4?    

Notre RPO peut varier de quelques minutes à quelques heures, mais ne dépassera pas 72 heures. Notre RTO est de 72 heures. 

 

4. Quelle est la procédure de contrôle/gestion des modifications de KnowBe4? 

Nous avons mis en place un processus formel de gestion des modifications qui permet au personnel de demander des modifications, et de gérer, approuver et contrôler les changements qui affectent les services ou les systèmes au sein de nos environnements. Le processus de gestion des modifications est conçu pour renforcer les contrôles clés du développement chaque fois qu’une modification est apportée au logiciel, y compris les modifications liées au développement et les modifications d’urgence. Le processus de gestion des modifications commence avec l’identification de ce qui doit être modifié, puis passe par l’enregistrement et le classement de la modification. La modification demandée est ensuite examinée, approuvée, testée, puis mise en œuvre. Une fois la mise en œuvre achevée, évaluée et signalée, le processus de modification est terminé.

    

5. Les données de production sont-elles utilisées dans votre environnement de test? 

Les données de production ne sont pas copiées dans les environnements de test. Un processus quotidien nous permet d’anonymiser notre base de données de production. Ce processus est supervisé par nos équipes de la sécurité de l’information et de la confidentialité des données. Cette base de données anonymisée comprend les informations anonymisées sur les comptes des clients, comme leur adresse, leur domaine, le nom de leur entreprise et leurs données personnelles, entre autres renseignements confidentiels. Cette base de données anonymisée est utilisée à des fins de tests. Nous actualisons cette base de données quotidiennement. Par conséquent, lorsque les données des comptes sont supprimées ou purgées, les données des comptes sont également purgées de notre base de données anonymisée.

    

6. Comment l’accès du personnel de KnowBe4 est-il géré et surveillé? 

Pour son personnel, KnowBe4 applique le principe du moindre privilège et de l’accès basé sur le rôle. Les accès de tous les membres du personnel sont journalisés et surveillés.

    

7. Quels types de données KnowBe4 collecte et traite-t-elle?

 

8. Où puis-je trouver une liste de vos sous-traitants? 

Vous trouverez ici une liste de nos sous-traitants.

 

9. Comment KnowBe4 garantit-elle la disponibilité de son produit? 

Nos systèmes s’exécutent dans le nuage et n’utilisent pas leurs propres routeurs, équilibreurs de charge, serveurs DNS ni systèmes virtuels. À l’exception de quelques sous-traitants, services et données, les données sont principalement hébergées dans les centres de données d’Amazon AWS. Pour les clients basés aux É.-U. et pour les clients qui souhaitent que leurs données résident aux É.U., nous avons des systèmes dans les centres des données AWS situé en Virginie septentrionale, aux É.-U. Pour les clients basés dans l’UE ou dans l’EEE (y compris le Royaume-Uni et la Suisse), nous avons des systèmes qui stockent les données de production dans les centres de données AWS à Dublin, Irlande, avec un centre de données de secours à Francfort. Cependant, certains sous-traitants de données traitent un sous-ensemble limité de données aux États-Unis. Vous trouverez une liste complète des lieux de traitement des données dans notre liste de sous-traitants.

Nos systèmes sont conçus en tenant compte à la fois de la continuité des activité et de la reprise après sinistre. Pour des raisons de continuité, notre infrastructure de TI pour l’UE et les É.U., y compris les systèmes et les bases de données, est répartie sur plusieurs centres de données Amazon AWS (zones de disponibilité). Les systèmes sont basés sur notre nuage privé virtuel (VPC) et utilisent des listes de contrôle d’accès (ACL) réseau pour empêcher les requêtes non autorisées d’accéder au réseau interne.

Nous utilisons la plateforme AWS Fargate en service. AWS Fargate est un moteur de calcul sans serveur pour le service Amazon Elastic Container (ECS) qui permet à KnowBe4 d’exécuter des conteneurs sans provisionnement, configuration, ni dimensionnement des grappes de machines virtuelles (VM). AWS Fargate gère l’infrastructure sous-jacente et les grappes. Il dimensionne également l’application en fonction de la demande. AWS Fargate élimine la nécessité de dimensionner, de surveiller, de corriger et de sécuriser les instances EC2.

La communication des données entre nos systèmes dorsaux et les systèmes dorsaux de nos clients est chiffrée, ce qui protège les données en transit. Les données sont conservées dans un service de base de données relationnelle chiffré (Amazon RDS), qui assure la disponibilité et la durabilité des données. Le stockage est fourni par des compartiments du service chiffré Amazon Simple Storage (S3) dédiés à KnowBe4. Le chiffrement est activé pour protéger les données au repos.

 

10. Comment KnowBe4 garantit-elle la confidentialité de nos données? 

Notre réseau interne est protégé du trafic Internet public par des pare-feu dynamiques fournis par Amazon AWS. Un groupe de sécurité agit comme pare-feu et contrôle le trafic autorisé dans un groupe d’instances. Pour chaque groupe de sécurité, des règles personnalisées sont ajoutées. Celles-ci gouvernent le trafic entrant autorisé vers les instances du groupe. Tout autre trafic entrant est refusé.

Une communication chiffrée est utilisée pour protéger les sessions Internet à distance dans nos applications et notre réseau interne. Le chiffrement est utilisé pour assurer la confidentialité et l’intégrité des données qui transitent sur le réseau public.

Toutes les données sont transmises via des canaux sécurisés, y compris le site Web de la console de formation du fournisseur de service, les informations envoyées à des tierces parties pour traitement, et la journalisation. L’envoi de données entre le serveur Web et la base de données se fait à l’intérieur d’un nuage privé virtuel, dans AWS.

Les données qui transitent entre nos applications et celles de nos clients passent obligatoirement et minimalement par une connexion HTTPS TLS 1.2 (par défaut, le niveau le plus élevé de TLS disponible sera utilisé) utilisant le chiffrement moderne. L’instance de la base de données est chiffrée selon la norme de chiffrement AES256.

 

11. Quelle est votre politique de rétention des données? 

Notre politique de rétention des données se trouve ici.

 

12. KnowBe4 signera-t-elle une annexe au contrat partenaire tel que décrit par les dispositions de la loi HIPAA? 

Les annexes au contrat partenaire sont requises pour les organisations qui traitent les renseignements médicaux personnels pour le compte d’une entité couverte. Notre annexe au contrat partenaire est disponible à l’adresse https://www.knowbe4.com/business-associate-agreement . Elle fait partie de nos conditions d’utilisation et autres ententes signées indépendamment, comme le contrat-cadre de services établi entre KnowBe4 et ses clients et couvrant l’utilisation des services de KnowBe4 par ses clients (le « contrat-cadre »), le cas échéant.

 

12. KnowBe4 est-elle certifiée HIPAA? 

Non. La loi HIPAA ne couvre d’ailleurs pas, actuellement, les fournisseurs de services infonuagiques. Cependant, indépendamment de l’applicabilité de l’HIPAA, KnowBe4 aligne son programme de sécurité de l’information sur les exigences FedRAMP, NIST 800-53, et ISO 27001.

 

13. Comment les clients peuvent-ils savoir où leurs données sont stockées et où leur console est hébergée?

En se connectant à leur console, les clients peuvent voir son URL, ce qui leur indique à quel emplacement AWS de KnowBe4 leur console est stockée. Le tableau ci-dessous fournit une correspondance entre les URL des différentes consoles et les sites de stockage AWS.