Skip To Content

Accord de niveau de service

La présente annexe (« Annexe ANS ») est soumise aux dispositions des sections 2.2 (Prestation de services) et 2.3 (Protection des données client).

Résumé des niveaux de gravité et du temps de réponse

ClassificationDescription de la panneRéponse
Niveau 1Fatal, aucun travail utile ne peut être fait.Résolu dans les 2 heures, 90 % du temps.
Niveau 2Impact grave, fonctionnalité majeure désactivée. Les erreurs provoquent une défaillance intermittente du système. Problèmes de performance.Si le problème n’est pas résolu dans les 24 heures, le statut est mis à jour avec le délai prévu pour la résolution ou la prochaine mise à jour.
Niveau 3Opérations dégradées/impact minimal, erreurs causant un dysfonctionnement des fonctionnalités non critiques.Statut mis à jour périodiquement jusqu’à résolution.

Disponibilité

Heures planifiées7 jours sur 7, 24 heures sur 24.
Temps de disponibilité programmé99,5 % des heures planifiées.
Temps d’arrêt planifiéToute indisponibilité pour laquelle le Client est informé à l’avance.

La maintenance programmée sera programmée pour éviter tout impact sur la prestation des services, généralement le samedi, pendant une période commençant à 2 h, heure de l’Est, et d’une durée de 4 heures.

Les services seront disponibles 99,5 % du temps au cours d’un mois donné pendant la Durée, à l’exclusion de la maintenance programmée coordonnée avec le Client.

Addendum relatif à la sécurité et à la reprise après sinistre

A. Dispositions générales. ServiceChannel.com, Inc. (« Société » « nous » ou « notre ») estime que les informations sont un actif extrêmement précieux qui doit être protégé. Par conséquent, nous avons créé et mis en œuvre un Programme de sécurité des informations (le « Programme »), tel que décrit plus en détail dans le présent Addendum relatif à la sécurité et à la récupération des données (l’« Addendum »). L’objectif du Programme est la protection efficace des informations personnellement identifiables et autres informations sensibles relatives à la Société, aux clients et aux partenaires commerciaux de la Société (collectivement, les « Informations sensibles »).

B. Définitions. Aux fins du présent Addendum, les termes ci-dessous ont les significations suivantes chaque fois qu’ils commencent par une majuscule :

  1. « Incident lié aux données » désigne tout accès non autorisé à, ou toute acquisition, divulgation, utilisation ou perte d’Informations sensibles résultant d’une violation ou d’une compromission des Systèmes de la société.
  2. « Exigences de confidentialité et de sécurité » désigne, dans la mesure applicable : (i) les exigences légales (lois, règles et réglementations fédérales, étatiques, locales et internationales, et exigences gouvernementales) liées au stockage et à la collecte d’Informations sensibles ; et (ii) les normes généralement acceptées du secteur concernant la confidentialité, la protection des données, la confidentialité ou la sécurité des Informations sensibles.
  3. « Coordinateur de la sécurité » désigne un employé de niveau responsable qui est en charge de la mise en œuvre, de la coordination et de la maintenance du Programme, y compris notamment la formation du personnel, les tests réguliers des garanties du Programme et l’évaluation des prestataires de services tiers.
  4. « Systèmes de la société » désigne les systèmes et appareils informatiques de la Société qui stockent, traitent ou transmettent des Informations sensibles, y compris notamment le réseau, les bases de données, les ordinateurs et les appareils mobiles de la Société, dans la mesure applicable.

C. Informations sensibles. Pour plus de clarté, les informations sensibles comprennent :

  1. Toute information qui identifie personnellement une personne (y compris notamment le nom, l’adresse postale, l’adresse e-mail, le numéro de téléphone, la date de naissance, le numéro de sécurité sociale, le numéro de permis de conduire, tout autre numéro d’identification émis par le gouvernement, le numéro de compte financier ou le numéro de carte de crédit ou de débit).
  2. Toutes les informations financières, commerciales, juridiques et techniques qui sont développées, collectées, apprises ou obtenues par la Société dans le cadre de ses activités commerciales qui seraient raisonnablement considérées comme confidentielles, y compris les informations appartenant aux clients de la Société ou se rapportant à ceux-ci.

D. Programme de sécurité. La Société créera, mettra en œuvre et maintiendra le Programme afin d’inclure des mesures de protection administratives, techniques et physiques raisonnablement appropriées pour protéger la confidentialité et la sécurité des Informations sensibles. La Société devra également examiner et mettre à jour périodiquement le Programme, en prêtant attention aux développements technologiques, aux Exigences de confidentialité et de sécurité et aux pratiques standard du secteur. Actuellement, la protection des Systèmes de la société comprend :

  1. Des contrôles d’authentification des utilisateurs, y compris les méthodes sécurisées d’attribution, de sélection et de stockage des informations d’identification d’accès, de restriction de l’accès aux utilisateurs autorisés et de blocage de l’accès après un nombre raisonnable de tentatives d’authentification échouées.
  2. Des contrôles d’accès et des mesures de sécurité des installations physiques, y compris les contrôles qui limitent l’accès aux Informations sensibles aux personnes qui ont un véritable besoin de savoir, soutenu par des politiques, protocoles et contrôles appropriés pour faciliter l’autorisation d’accès, l’établissement, la modification et la résiliation.
  3. La surveillance régulière des Systèmes de la société pour empêcher la perte ou l’accès non autorisé à, ou l’acquisition, l’utilisation ou la divulgation d’Informations sensibles.
  4. Des mesures de sécurité techniques telles que la protection par pare-feu, la protection antivirus, la gestion des correctifs de sécurité et la détection des intrusions.
  5. Des programmes de formation et de sensibilisation continus conçus pour s’assurer que les membres du personnel et les autres personnes agissant au nom de la Société connaissent et respectent les politiques, procédures et protocoles du Programme.
  6. Des ajustements continus du Programme basés sur des évaluations périodiques des risques, des évaluations complètes (telles que des évaluations par des tiers) du Programme, et le suivi et les tests réguliers de l’efficacité des garanties. Cet examen doit avoir lieu au moins une fois par an et un examen supplémentaire doit avoir lieu chaque fois qu’il y a un changement important dans l’environnement technique ou les pratiques commerciales de la Société qui implique la sécurité des Systèmes de la société. Les Systèmes de la société ont été certifiés conformes à la norme SSAE 18 (SOC 1 Type II et SOC 2 Type II).

E. Contrôle d’accès.

  1. La direction de la Société fournit des conseils pour créer un environnement d’accès sécurisé en établissant des politiques de gestion des accès, en approuvant les rôles et responsabilités, et en assurant une coordination cohérente des efforts de sécurité dans l’ensemble de l’entreprise.
  2. Les droits d’utilisation et d’accès aux Systèmes de la société sont basés sur les privilèges d’accès de chaque utilisateur. Les privilèges d’accès sont accordés sur la base d’un besoin professionnel spécifique (c.-à-d. sur la base du « besoin de savoir ») et sont limités au personnel qui a besoin d’un tel accès pour exécuter ses fonctions professionnelles, tel que déterminé par la direction de la Société.
  3. Toutes les ressources, systèmes et applications de la Société disposent de contrôles d’accès, sauf s’ils sont spécifiquement désignés comme ressources d’accès public.
  4. L’accès physique aux lieux où les Informations sensibles sont stockées est limité au personnel et aux prestataires de services qui ont besoin d’y accéder afin d’exécuter leurs fonctions ou services professionnels désignés. Dans la mesure du possible, les zones de stockage contenant des Informations sensibles sont protégées contre toute destruction ou tout dommage potentiel dû à des dangers physiques tels que les incendies ou les inondations.
  5. Les employés, intérimaires, sous-traitants, consultants et autres travailleurs de la Société, y compris tout le personnel affilié à des tiers, sont tenus de participer au maintien d’un accès sécurisé aux Systèmes de la société et de s’assurer que la Société respecte sa Politique de confidentialité publiée.

F. Chiffrement.

  1. La Société utilise des technologies et des techniques de pointe pour sécuriser les Informations sensibles. Toutes les informations sensibles sont chiffrées en transit et au repos. Les informations sensibles au repos sont chiffrées à l’aide d’un chiffrement AES_256 robuste. Toutes les informations sensibles en transit sont chiffrées à l’aide de certificats SSL offrant une clé RSA 2048 bits (« sécurité SSL forte »). Le déploiement par la société d’un chiffrement de bout en bout pour toutes les transactions de service via SSL/TLS représente une bonne pratique du secteur. Le cas échéant, le chiffrement est négocié à l’aide de protocoles modernes tels que TLSv1.2. La Société chiffre les informations de maintenance des installations des clients transmises par le biais du site Web de la Société, y compris les coordonnées de la Société, les demandes de service et l’historique des travaux, les rapports, les propositions et les factures. Les informations sont brouillées puis transmises au navigateur d’un utilisateur où elles sont déchiffrées automatiquement. D’autres méthodes de transmission de données, telles que FTP/sFTP/AS2, peuvent également être chiffrées à l’aide de protocoles sécurisés standard (SSL ou SSH).

G. Surveillance, protection et sauvegarde du système.

  1. La Société surveille raisonnablement les Systèmes de la société pour détecter toute utilisation non autorisée ou tout accès non autorisé à des Informations sensibles.
  2. La Société engage, en interne ou sur la base d’un consultant, au moins un technicien pour fournir une assistance et la maintenance de routine des Systèmes de la société et pour signaler toute attaque ou intrusion réelle ou tentée à la Société.
  3. Un logiciel de protection contre les logiciels malveillants est installé sur tous les ordinateurs stockant des Informations sensibles. Au moins une fois par an, tous les systèmes d’exploitation et applications sont mis à niveau avec les correctifs de sécurité actuellement disponibles ou d’autres améliorations liées à la sécurité disponibles auprès de leurs fournisseurs. Dans la mesure où un membre du personnel utilise des ordinateurs à domicile ou des dispositifs d’accès à distance pour mener ses activités, un logiciel de protection contre les logiciels malveillants est installé sur ces ordinateurs à domicile ou dispositifs d’accès à distance.
  4. Dans la mesure où le personnel reçoit des dispositifs d’accès à distance tels que des ordinateurs portables et des dispositifs d’accès sans fil portables, la Société les étiquette et effectue l’inventaire au moins une fois par an.
  5. Les Informations sensibles stockées sur les Systèmes de la société sont sauvegardées régulièrement. Toutes les informations sensibles sont stockées et distribuées de manière redondante dans des centres de données sur plusieurs sites physiques. Les systèmes de base de la Société sont déployés de sorte qu’en cas de défaillance d’un centre de données ou d’un équipement individuel, la capacité soit suffisante pour permettre l’équilibrage de la charge et le réacheminement du trafic vers les sites restants. En utilisant un déploiement basé sur le cloud, la Société isole son application des serveurs internes de ses clients afin de réduire le risque d’accès non autorisé aux systèmes internes des clients de la Société.
  6. La Société maintient des systèmes de télécommunications redondants basés sur la PI dans le cloud. Cela inclut le téléphone, le centre d’appels et les systèmes IVR de la Société. En cas de problème lors de la livraison d’appels au système de télécommunications principal de la Société, les appels sont automatiquement réacheminés vers d’autres systèmes.

H. Évaluation et ajustement du Programme.

  1. La direction de la Société réévaluera périodiquement les risques internes et externes raisonnablement prévisibles pour la sécurité et la confidentialité des Informations sensibles.
  2. La Société se réserve le droit de réviser les conditions de ce Programme à tout moment. Une notification adéquate des mises à jour sera fournie à tout le personnel. Il incombe au Personnel de comprendre ou de demander des éclaircissements sur les règles décrites dans ce document et de se familiariser avec la version la plus récente de ce Programme.
  3. La direction de la Société évaluera et ajustera périodiquement le Programme, le cas échéant, pour traiter : (a) les activités actuelles d’évaluation, de gestion et de contrôle des risques ; (b) les nouveaux risques ou vulnérabilités identifiés par la direction de la Société en utilisant les normes énoncées ci-dessus ; (c) les changements technologiques susceptibles d’affecter la protection des Informations sensibles ; (d) des changements importants dans les activités de la Société, y compris à la taille, la portée et le type d’activité de la Société ; (v) la quantité de ressources à la disposition de la Société ; (vi) la quantité d’Informations sensibles stockées ou détenues par la Société ; (vii) tout besoin accru de sécurité et de confidentialité des Informations sensibles ; et (viii) toute autre circonstance que la direction de la Société estime avoir un impact important sur le Programme.

I. Personnel et prestataires de services.

  1. La Société exercera une supervision nécessaire et raisonnablement appropriée sur ses employés et autres personnes agissant en son nom afin de préserver la confidentialité et la sécurité des Informations sensibles.
  2. Avant d’engager un prestataire de services tiers susceptible de recevoir des Informations sensibles, la Société prendra des mesures raisonnables pour sélectionner et retenir des prestataires de services tiers capables de maintenir des mesures de sécurité appropriées pour protéger les Informations sensibles.
  3. La Société mettra fin à l’accès d’une personne aux Systèmes de la société dès que raisonnablement possible après que cette personne n’est plus employée ou engagée par la Société. Le personnel licencié est tenu de restituer toutes les clés, identifiants, codes d’accès, badges, cartes de visite et autres qui permettent l’accès aux locaux ou systèmes de la Société.

J. Incidents liés aux données.

  1. En cas d’Incident lié aux données, le Coordinateur de la sécurité effectuera un examen post-incident des événements et décidera des mesures appropriées à prendre pour minimiser l’Incident lié aux données et en atténuer les conséquences.
  2. Le Coordinateur de la sécurité sera chargé de constituer une équipe qualifiée de réponse aux incidents, qui sera responsable du traitement des questions relatives à l’Incident lié aux données.
  3. Si nécessaire, le Coordinateur de la sécurité apportera des modifications aux pratiques commerciales relatives à la protection des Informations sensibles suite à un Incident lié aux données.
  4. Le Coordinateur de la sécurité doit documenter ce qui précède et fournir un rapport à la direction.

K. Retour ou élimination sécurisée. La Société devra retourner ou éliminer les Informations sensibles, que ce soit sous forme papier ou électronique, de manière sécurisée

English           Deutsch         Español         Français (France)    中文(简体)