Mesures de sécurité

Algolia implémente et maintient des mesures de sécurité qui atteignent ou dépassent les objectifs de sécurité requis pour la certification SOC2. Algolia peut mettre à jour ou modifier les mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications n’entraînent pas une dégradation de la sécurité globale des services. Ces mesures de sécurité sont en vigueur à la date d’entrée en vigueur du DPA. Les termes en majuscules utilisés dans le présent document mais non définis par ailleurs ont la signification qui leur est donnée dans le DPA.

Programme de sécurité informatique

1. Sécurité des centres de données et des réseaux

   1. Centres de données

      1. Infrastructure. Algolia gère des centres de données géographiquement distribués et stocke toutes les données de production dans des centres de données physiquement sécurisés.
      2. Redondance. L’infrastructure d’Algolia a été conçue pour éliminer les points uniques de défaillance et minimiser l’impact des risques environnementaux anticipés. Cette conception permet à Algolia d’effectuer la maintenance de l’infrastructure et d’y apporter des améliorations tout en ayant un impact minimal sur les systèmes de production. Tous les équipements et installations environnementaux disposent de procédures de maintenance préventive documentées qui détaillent le processus et la fréquence d’exécution conformément aux spécifications du fabricant ou aux spécifications internes.
      3. Alimentation. Tous les centres de données sont équipés d’un système d’alimentation redondant avec différents mécanismes pour fournir une alimentation de secours, comme des onduleurs (UPS) pour les pannes de courte durée, les surtensions, les sous-tensions ou toute autre instabilité de l’alimentation, ainsi que des générateurs diesel pour les pannes durant plus longtemps que quelques minutes, ce qui permet aux centres de données de continuer à fonctionner pendant plusieurs jours.
      4. Système d’exploitation du serveur. Algolia utilise un système d’exploitation basé sur Linux pour l’environnement d’application, avec une configuration gérée de manière centralisée. Algolia a établi une politique visant à maintenir les systèmes à jour avec des mises à jour de sécurité nécessaires.
      5. Continuité des activités. Algolia réplique les données sur plusieurs systèmes afin de participer à la protection contre la destruction accidentelle ou la perte. Algolia a conçu des programmes pour la planification de la continuité des activités et la récupération d’urgence, lesquels sont régulièrement planifiés et testés.

   2. Réseau et transmission

      1. Transmission de données. Algolia utilise des schémas et protocoles de chiffrement conformes aux normes du secteur pour chiffrer les transmissions de données entre les centres de données. Cette mesure vise à empêcher la lecture, la copie ou la modification des données.
      2. Détection d’intrusion. Algolia utilise un système de détection d’intrusion pour fournir un aperçu des activités d’attaque en cours et pour aider à corriger l’attaque plus rapidement.
      3. Réponse aux incidents. Le personnel chargé de la sécurité chez Algolia réagit rapidement aux incidents de sécurité découverts et en informe les parties concernées.
      4. Technologies de chiffrement. Les serveurs d’Algolia prennent en charge le chiffrement HTTPS, l’échange de clés de chiffrement Diffie-Hellman à courbe elliptique éphémère signé avec RSA et ECDSA et, pour les clients pris en charge, les méthodes PFS (Perfect Forward Secrecy) pour aider à protéger le trafic contre une clé compromise ou une percée cryptographique. Algolia n’utilise que des technologies de chiffrement conformes aux normes du secteur.

2. Contrôles d’accès et de site

   1. Contrôles de site

      1. Opérations de sécurité des centres de données. Tous les centres de données utilisés par Algolia gèrent des opérations de sécurité sur site 24 heures sur 24 et 7 jours sur 7, responsables de tous les aspects de la sécurité physique des centres de données.
      2. Procédures d’accès aux centres de données. L’accès aux centres de données est conforme à la politique de sécurité physique d’Algolia, qui permet uniquement au personnel autorisé et pré-approuvé d’accéder aux équipements Algolia.
      3. Sécurité des centres de données. Tous les centres de données respectent ou dépassent les exigences de sécurité de SOC2. Tous les centres de données sont équipés de systèmes de vidéosurveillance, disposent d’un personnel de sécurité sur place et d’un système d’accès par carte-clé.

   2. Contrôle d’accès

      1. Contrôle d’accès et gestion des privilèges. Les administrateurs de l’Abonné doivent s’authentifier via un système d’authentification central ou via un système d’authentification unique afin d’administrer les Services.
      2. Processus et politiques d’accès aux données internes - Politique d’accès. Les processus et politiques d’accès aux données internes d’Algolia sont conçus pour empêcher les personnes ou systèmes non autorisés d’accéder au système utilisé pour traiter les données personnelles. Ces processus sont audités par un auditeur indépendant. Algolia utilise un système de gestion d’accès centralisé pour contrôler l’accès aux systèmes de production et au serveur, et ne donne accès qu’à un nombre limité de personnes autorisées. Les certificats SSO, LDAP et SSH sont utilisés pour fournir des mécanismes d’accès sécurisé. Algolia exige l’utilisation d’identifiants uniques, de mots de passe forts et d’une authentification à deux facteurs. L’octroi de l’accès est guidé par une politique interne. L’accès au système est enregistré afin de fournir une piste d’audit pour les responsabilités.

   3. Données

      1. Stockage, isolation et journalisation des données. Algolia stocke les données dans une combinaison d’environnement dédié et multi-locataire sur des serveurs contrôlés par Algolia. Les données sont répliquées sur plusieurs systèmes redondants. Algolia isole aussi logiquement les données de l’Abonné. L’Abonné peut activer le partage des données, si la fonctionnalité des Services le permet. L’Abonné peut choisir d’utiliser certaines fonctionnalités de journalisation qu’Algolia peut rendre disponibles via les Services.
      2. Disques désactivés et politique d’effacement des disques. Les disques utilisés dans les serveurs peuvent subir des défaillances matérielles, des problèmes de performance ou des erreurs qui entraînent leur désactivation. Tous les disques désactivés sont effacés de manière sécurisée s’ils sont destinés à être réutilisés, ou détruits de manière sécurisée en cas de dysfonctionnement.

   4. Sécurité du personnel

      Le personnel d’Algolia est tenu de se comporter d’une manière conforme aux directives de l’entreprise en matière de confidentialité, d’éthique commerciale, d’usage approprié et de normes professionnelles. Algolia procède à des vérifications appropriées des antécédents dans la mesure où la loi et les règlements applicables le permettent.

      Le personnel est tenu de signer un accord de confidentialité et doit accuser réception et accepter de se conformer aux politiques d’Algolia en matière de confidentialité, de respect de la vie privée et d’utilisation acceptable. Tout le personnel reçoit une formation à la sécurité lors de son embauche, puis régulièrement par la suite. Le personnel d’Algolia ne traitera pas les données de l’Abonné sans autorisation.

   5. Sécurité des sous-traitants ultérieurs

      Algolia effectue un audit des pratiques de sécurité et de confidentialité des sous-traitants ultérieurs avant leur intégration, ceci afin de garantir un niveau de sécurité et de confidentialité adéquat pour les données et la portée des services qu’ils sont engagés à fournir. Une fois l’audit du sous-traitant ultérieur effectué et le risque associé évalué, le sous-traitant ultérieur est intégré selon les termes d’un contrat approprié en matière de vie privée, de confidentialité et de sécurité.

   Certifications et rapports de sécurité

   1. Rapports SOC (Service Organization Control) : Actuellement, l’environnement de contrôle de la sécurité des informations d’Algolia applicable aux Services fait l’objet d’une évaluation indépendante sous la forme d’audits SOC 2 et SOC 3. Pour démontrer sa conformité aux Mesures de sécurité, Algolia mettra à la disposition de l’Abonné, pour examen, ses rapports (i) SOC 2 et (ii) SOC 3 les plus récents, décrits ci-dessous.

      1. « Rapport SOC 2 » désigne un rapport Service Organization Control (SOC) 2 confidentiel sur les systèmes d’Algolia examinant les contrôles de sécurité logique, les contrôles de sécurité physique et la disponibilité du système, tel que produit par l’auditeur tiers indépendant d’Algolia en relation avec les Services.
      2. « Rapport SOC 3 » désigne un rapport Service Organization Control (SOC) 3, tel que produit par l’auditeur tiers indépendant d’Algolia en relation avec les Services.
      3. Algolia mettra à jour le rapport SOC 2 et le rapport SOC 3 au moins une fois tous les 18 mois, ou poursuivra des audits ou certifications comparables pour évaluer et aider à garantir l’efficacité continue des Mesures de sécurité.

   2. Certifications ISO27001 et ISO27017 : En mars 2020, Algolia a reçu ses certifications ISO27001 et ISO27017, qui désignent une famille de normes relatives au système de gestion de la sécurité de l’information. Ces normes fournissent des recommandations de bonnes pratiques sur la gestion de la sécurité de l’information, dont un cadre de politiques et de procédures qui incluent tous les contrôles juridiques, physiques et techniques impliqués dans le processus de gestion de l’information d’une organisation, ainsi que des normes de sécurité particulièrement développées pour les fournisseurs de services cloud et les utilisateurs afin de créer un environnement cloud plus sécurisé et de réduire le risque de problèmes de sécurité, respectivement.

   3. Certification TRUSTe : Algolia a reçu le sceau de certification TRUSTe, ce qui signifie que la déclaration de confidentialité du site web d’Algolia et les pratiques de confidentialité liées aux Services ont été examinées par TRUSTe pour vérifier leur conformité aux normes de certification de TRUSTe.