1. Comment empêcher les clients d’accéder aux données d’autres clients ?

Nous appliquons une séparation logique des bases de données pour garantir la confidentialité des clients dans notre architecture à locataires multiples. Ces contrôles stricts de la confidentialité sont inscrits dans le code de notre application pour garantir la confidentialité des données et empêcher un client d’accéder aux données d’un autre client. Pour ce faire, nous utilisons des identifiants de compte uniques, qui attribuent un compte spécifique à chaque utilisateur. De nombreux tests unitaires et d’intégration ont été mis en place pour garantir le bon fonctionnement de ces contrôles de confidentialité. Ces tests sont exécutés à chaque mise à jour de notre base de code. Même un seul échec à ces tests bloque la mise en production du nouveau code.

 

2. À quelle fréquence les sauvegardes sont-elles effectuées ?

Notre infrastructure de sauvegarde et de récupération est hébergée par Amazon Simple Storage Service (Amazon S3) et Amazon Relational Database Service (Amazon RDS) et s'appuie sur ces derniers, il s'agit d'une combinaison nous permettant de bénéficier d’une capacité de base de données redimensionnable et d’un stockage des données à la fois évolutif et performant. Le service Amazon RDS est configuré pour sauvegarder au quotidien les bases de données de production en conservant 35 jours de sauvegarde et stocke les sauvegardes de bases de données chiffrées dans un espace de stockage de données à haute disponibilité. Le service Amazon RDS permet également de restaurer les bases de données à tout point précis dans le temps dans une fenêtre de deux semaines écoulées. Les anciennes copies de sauvegarde sont supprimées conformément à notre calendrier de rétention des données.

 

3. Quels sont l’OPR (objectif de point de récupération) et l’OTR (objectif de temps de reprise) de KnowBe4 ?    

Notre OPR va de quelques minutes à quelques heures, sans dépasser les 72 heures. Notre OTR est de 72 heures. 

 

4. Quelle est la procédure de contrôle/gestion du changement de KnowBe4 ? 

Nous avons mis en place un processus structuré de gestion du changement qui permet au personnel de demander, gérer, approuver et contrôler les changements apportés aux services ou aux systèmes au sein de nos environnements. Ce processus de gestion du changement a été conçu pour mettre en œuvre des contrôles de développement clés chaque fois qu’une modification est effectuée sur le logiciel, qu’il s’agisse de développements ou de correctifs urgents. Le processus de gestion du changement commence par l’identification, l’enregistrement et la classification des modifications nécessaires et se poursuit par l’examen, l’approbation, le test et la mise en œuvre du changement. Une fois l’implémentation terminée, mesurée et signalée, le processus de changement est achevé.

    

5. Les données de production sont-elles utilisées dans votre environnement de test ? 

Les données de production ne sont pas copiées dans les environnements de test. Un processus quotidien anonymise l’intégralité de notre base de données de production. Ce processus est supervisé par nos équipes responsables de la sécurité informatique et de la confidentialité des données. Cette base de données anonymisée comprend des informations anonymisées sur les comptes des clients, comme leur adresse, leur domaine, le nom de leur entreprise, leurs données personnelles et d’autres informations confidentielles. Cette base de données anonymisée est utilisée à des fins de test lorsque cela est requis. Cette base de données est actualisée quotidiennement. De cette manière, lorsque les données d’un compte sont supprimées ou purgées, les données de ce compte sont également purgées de la base de données anonymisée.

    

6. Comment l’accès des employés de KnowBe4 est-il géré et surveillé ? 

KnowBe4 applique le principe de moindre privilège et du contrôle d’accès basé sur le rôle pour ses employés. Tous les accès des employés sont enregistrés et surveillés.

    

7. Quel type de données est collecté ou traité par KnowBe4 ?

 

8. À quel endroit la liste de vos sous-traitants se trouve-t-elle ?

Vous trouverez la liste de nos sous-traitants ici.

 

9. Comment KnowBe4 assure-t-elle la disponibilité de son produit ? 

Nos systèmes sont exécutés dans le cloud et n’utilisent pas leurs propres routeurs, équilibreurs de charge, serveurs DNS ou systèmes virtuels. À l’exception de rares sous-traitants de données, services et données, les données sont principalement hébergées sur les serveurs de données d’Amazon AWS. Pour les clients situés aux États-Unis et ceux qui souhaitent que leurs données restent aux États-Unis, nous disposons de systèmes dans des centres de données AWS situés en Virginie du Nord, aux États-Unis. Pour les clients basés dans l’Union européenne ou l’Espace économique européen (Royaume-Uni et Suisse y compris), nous disposons de systèmes dans des centres de données AWS qui stockent les données de production dans le centre de données de Dublin, en Irlande, avec un basculement sur le centre de données de Francfort. Quelques sous-traitants gèrent cependant un sous-ensemble limité de données aux États-Unis. Consultez notre liste de sous-traitants pour connaître la liste complète des sites de traitement des données.

La continuité des opérations et la reprise après sinistre sont des éléments que nous prenons en compte lors de la conception de nos systèmes. Notre infrastructure informatique, y compris nos systèmes et nos bases de données, sont répartis dans différents centres de données Amazon AWS (zones de disponibilité) à la fois pour les régions de l’UE et des États-Unis, et ce, à des fins de continuité. Nos systèmes sont hébergés dans notre propre cloud privé virtuel (VPC) avec des listes de contrôle d’accès au réseau (ACL) pour empêcher toute demande non autorisée d’accéder au réseau interne.

Nous utilisons la plateforme AWS Fargate en tant que service. AWS Fargate est un moteur de calcul sans serveur pour Amazon Elastic Container Service (Amazon ECS) qui permet à KnowBe4 d’exécuter des conteneurs sans avoir à provisionner, configurer et dimensionner les clusters de machines virtuelles (VM). AWS Fargate gère l’infrastructure sous-jacente et les clusters. Cette solution permet également de faire évoluer automatiquement l’application en fonction de la demande. AWS Fargate élimine la nécessité d’adapter, de surveiller, de corriger et de sécuriser les instances EC2.

La communication des données entre nos systèmes dorsaux et ceux de nos clients est chiffrée, ce qui protège les données en transit. Les données sont conservées dans une base de données Amazon Relational Database Service (Amazon RDS) chiffrée, qui assure la disponibilité et la durabilité des données. Le stockage est fourni par des compartiments Amazon Simple Storage Service (S3) chiffrés dédiés à KnowBe4. Le chiffrement est activé pour protéger les données au repos.

 

10. Comment KnowBe4 assure-t-elle la confidentialité de nos données ? 

Notre réseau interne est protégé du trafic Internet public par des pare-feu d’inspection avec état fournis par Amazon AWS. Un groupe de sécurité agit comme pare-feu et contrôle le trafic autorisé dans un groupe d’instances. Pour chaque groupe de sécurité, des règles personnalisées sont ajoutées et régissent le trafic entrant autorisé vers les instances du groupe. Tout autre trafic entrant est refusé.

Une communication chiffrée est utilisée pour protéger les sessions Internet à distance vers nos applications et notre réseau interne. Le chiffrement est utilisé pour garantir la confidentialité et l’intégrité des données transmises via le réseau public.

Toutes les données sont transmises par des canaux sécurisés. Cela inclut l’accès au site Web de la console de formation du prestataire de services, l’envoi d'informations à des tiers pour traitement et la journalisation. Les données échangées entre le serveur Web et la base de données sont envoyées dans un cloud virtuel privé au sein d’AWS.

Les données échangées entre nos applications et celles de nos clients sont forcées de passer par une connexion HTTPS TLS 1.2 au minimum (le niveau le plus élevé disponible de TLS étant utilisé par défaut) à l’aide d’algorithmes de chiffrement modernes. L’instance de la base de données est chiffrée selon la norme AES256.

 

11. Quelle est votre politique de rétention des données ? 

Vous trouverez notre politique de rétention des données ici.

 

12. KnowBe4 signera-t-elle un accord de partenariat commercial, conformément aux réglementations HIPAA ? 

Les accords de partenariat commercial (BAA) sont requis pour les organisations qui traitent des informations médicales protégées pour le compte d’une entité couverte. Notre BAA est disponible à l’adresse https://www.knowbe4.com/business-associate-agreement et fait partie de nos Conditions générales d’utilisation ou de tout autre accord signé séparément, tel qu’un accord-cadre de services (« MSA »), en place entre les Clients et KnowBe4 couvrant l’utilisation par le Client des Services de KnowBe4 (« Accord »), le cas échéant.

 

12. KnowBe4 est-elle certifiée HIPAA ? 

Non, et il n’existe actuellement pas de HIPAA spécifique pour les fournisseurs de services cloud. Que la réglementation HIPAA s’applique ou non, KnowBe4 aligne son programme de sécurité de l’information sur les exigences FedRAMP, NIST 800-53 et ISO 27001.

 

13. Comment un client peut-il vérifier l’emplacement où sont stockées ses données ou sa console ?

Une fois connecté à sa console, un client peut examiner son URL afin de vérifier sur quel site AWS de KnowBe4 sa console est stockée. Le tableau ci-dessous fournit des informations sur l’URL de la console et le site de stockage AWS correspondant :