Pega Trust Center

Ressources

Politiques de sécurité

Déclaration de Veracode

Résumés des tests d’intrusion

Résumé du plan de continuité d’activités

Résultats des tests de reprise après sinistre

Dernière mise à jour

02/12/2023

N/A

03/08/2023

31/03/2023

29/12/2023

Périmètre de l’évaluation

Pega Cloud AWS, GCP

Pega Cloud AWS, GCP

Pega Cloud AWS, GCP

Pega Cloud AWS, GCP

Pega Cloud AWS

APRA

L'Australie, comme d'autres pays, a mis en place des mesures de cybersécurité et des réglementations importantes pour faire face aux défis croissants du piratage, de la fraude et des attaques parrainées par des États étrangers. Comme tout autre ensemble de règles, les organisations qualifiées doivent évaluer ces réglementations afin de comprendre la loi et la manière dont elle s'applique en situation réelle. Le programme d’évaluateurs agréés de la sécurité de l’information (Information Security Registered Assessors Program) est un programme de conformité unique qui atteste de la capacité des organisations privées et publiques à répondre aux exigences en matière de cybersécurité.

CSA STAR

Le registre STAR (Security, Trust, Assurance, and Risk) est un registre accessible au public qui documente les contrôles de sécurité et de confidentialité fournis par les offres de cloud computing les plus répandues.

STAR englobe les principes clés de transparence, d'audit rigoureux et d'harmonisation des normes décrites dans CCM (Cloud Controls Matrix). La publication dans le registre permet aux organisations de montrer à leurs clients actuels et potentiels leur position en matière de sécurité et de conformité, y compris les réglementations, les normes et les cadres auxquels elles adhèrent. Cela permet de réduire la complexité et d'éviter une multitude de questionnaires clients à remplir.

Cyber Essentials

Cyber Essentials est un système de certification soutenu par le gouvernement britannique et le secteur, mis en place au Royaume-Uni pour aider les organisations à démontrer leur sécurité opérationnelle face aux cyber-attaques les plus courantes.

Cyber Essentials Plus

Cyber Essentials Plus est un système de certification soutenu par le gouvernement britannique et le secteur, mis en place au Royaume-Uni pour aider les organisations à démontrer leur sécurité opérationnelle face aux cyber-attaques les plus courantes. Basé sur la certification Cyber Essentials, il intègre en plus une vérification indépendante des contrôles techniques.

Cybervadis

Cybervadis est une plateforme d’évaluation de la cybersécurité conçue pour évaluer le risque cyber associé aux fournisseurs tiers d’une entreprise. En tant qu’entreprise technologique internationale, Pegasystems utilise Cybervadis pour évaluer la position de ses fournisseurs et partenaires en matière de cybersécurité. Grâce à l’évaluation des risques cyber associés à ses fournisseurs, Pegasystems peut prendre des décisions éclairées concernant la sécurité et la résilience de sa chaîne d’approvisionnement.

Cybervadis propose une évaluation complète des risques basée sur divers facteurs, notamment la sécurité des données, la sécurité de l’infrastructure et la conformité réglementaire. Pegasystems utilise ces évaluations pour identifier les vulnérabilités potentielles au sein de la chaîne d’approvisionnement et prendre des mesures efficaces pour atténuer les risques associés.

En s’appuyant sur Cybervadis, Pegasystems est en mesure d’améliorer sa position face à la sécurité, de renforcer ses processus de gestion des risques et d’assurer la sécurité et l’intégrité de ses opérations.

ENS

L'ENS (Esquema Nacional de Seguridad) est le régime national de sécurité d'Espagne. Il est constitué d'exigences et directives de sécurité obligatoires pour toutes les organisations qui traitent des informations sensibles pour le compte du gouvernement espagnol. L'ENS s'appuie sur les principes de confidentialité, d'intégrité, de disponibilité et de responsabilité. Il a pour but de protéger les informations sensibles contre tout accès, modification ou divulgation non autorisé, et de garantir que ces informations sont utilisées uniquement aux fins autorisées.

Ressources

Certificado ENS Pegasystems Limited

Dernière mise à jour (JJ-MM-AAAA)

24-11-2023

Périmètre de l’évaluation

Pega Cloud AWS & GCP

Produits

Pega Platform
Pega Customer Service Case Management Edition*
Pega Customer Service Enterprise Edition*
Pega Customer Decision Hub
Pega Sales Automation
Pega Cloud SFTP Service
Predictive Diagnostic Cloud

*Statut d'évaluation applicable si VoiceAI, la messagerie numérique/web et la co-navigation (Co-Browse) ne sont pas utilisés

FedRAMP

Le programme fédéral de gestion des risques et des autorisations (Federal Risk and Authorization Management Program, FedRAMP) fournit une approche standardisée des autorisations de sécurité pour les offres de services cloud.

HDS français

La certification Hébergeurs de Données de Santé (HDS) est requise pour les entités telles que les fournisseurs de services cloud qui hébergent des données de santé à caractère personnel régies par les lois françaises, qui sont collectées pour fournir des services de prévention, de diagnostic ou d'autres services de santé. La réglementation HDS a été publiée par l'ASIP SANTÉ qui, sous l'égide du ministère français de la Santé, est responsable de la promotion des solutions de e-santé en France.

HITRUST

Élaboré en collaboration avec des professionnels de la protection des données, le HITRUST CSF rationalise les réglementations et les normes pertinentes en un seul cadre global pour la sécurité et la protection de la vie privée. L'évaluation HITRUST basée sur le risque et validée sur 2 ans (r2) est mondialement reconnue comme une validation de haut niveau montrant qu'une organisation réussit à maîtriser les cyber-risques et respecte voire dépasse les exigences de sécurité de l'information définies et acceptées par le secteur. L'évaluation validée et la certification HITRUST r2 sont considérées comme la référence en matière de garanties de protection de l'information en raison de l'exhaustivité des exigences de contrôle, de la profondeur de l'examen de qualité et de la cohérence de la surveillance.

IL4

L'Agence des systèmes d'information de la défense (Defense Information Systems Agency, DISA) a publié le Guide des exigences de sécurité du cloud computing du ministère de la Défense (DoD CC SRG) qui décrit le modèle et les exigences de sécurité selon lesquels le ministère de la Défense exploitera le cloud computing ainsi que les contrôles et exigences de sécurité nécessaires à l'utilisation de solutions cloud. Les informations IL4 couvrent les informations non classifiées contrôlées (CUI), les informations non-CUI, les informations de mission non critiques et les systèmes ne relevant pas de la sécurité nationale.

IRAP

Le programme d’évaluateurs agréés Infosec (IRAP) garantit aux entités l'accès à des services d'évaluation de la sécurité de haute qualité.

ISO 22301

Publiée par l'Organisation internationale de normalisation, la norme ISO 22301 est conçue pour aider les organisations à prévenir les incidents inattendus et perturbateurs, à s'y préparer, à y répondre et à s'en remettre. Pour ce faire, la norme fournit un cadre pratique pour la mise en place et la gestion d'un système efficace de gestion de la continuité des activités. La norme ISO 22301 vise à protéger une organisation d’un large éventail de menaces et perturbations potentielles.

Cette norme peut convenir à votre organisation si vous devez démontrer aux parties prenantes que votre organisation est capable de surmonter rapidement des perturbations opérationnelles, pour assurer un service continu et efficace.

ISO 27001

La norme ISO/CEI 27001, qui définit les exigences relatives aux systèmes de gestion de la sécurité de l'information (SGSI), est largement connue, mais il existe plus d'une douzaine de normes dans la famille ISO/CEI 27000. Leur utilisation permet aux organisations de toute nature de gérer la sécurité d'actifs tels que les informations financières, la propriété intellectuelle, les coordonnées des employés ou les informations confiées par des tiers.

ISO 27017

ISO 27017 est une norme internationale offrant des directives sur les contrôles de sécurité de l’information pour les services cloud. Ces contrôles complètent les recommandations de la norme ISO 27002 et sont inclus dans la certification ISO 27001 de Pega Cloud. Cette norme aide à relever les défis de la sécurité du cloud en conseillant sur des mesures efficaces, notamment en matière de responsabilités des fournisseurs, partage d’informations, sécurité du personnel et conformité.

ISO 27018

ISO 27018 est une norme qui fournit des directives pour la protection des données personnelles (« Personally Identifiable Information, PII ») dans le cloud. Ces directives complètent les recommandations de la norme ISO 27002 et sont incluses dans la certification ISO 27001 de Pega Cloud.

PCI/DSS

La norme de sécurité des données de l'industrie des cartes de paiement (Payment Card Industry Data Security Standard, PCI DSS) est un ensemble de normes de sécurité conçues pour garantir que TOUTES les entreprises qui acceptent, traitent, stockent ou transmettent des informations de cartes de crédit maintiennent un environnement sécurisé.

SOC 1

Les rapports SOC (Service Organization Controls) de l'American Institute of Certified Public Accountants (AICPA) donnent une assurance sur les environnements de contrôle en ce qui concerne l'extraction, le stockage, le traitement et le transfert des données. Ces rapports couvrent les contrôles généraux informatiques et les contrôles relatifs à la disponibilité, à la confidentialité et à la sécurité des données clients. Les rapports SOC 1 portent principalement sur l'examen des contrôles pertinents pour les informations financières des clients.

SOC 2, type 2

Les rapports SOC (Service Organization Controls) de l'American Institute of Certified Public Accountants (AICPA) donnent une assurance sur les environnements de contrôle en ce qui concerne l'extraction, le stockage, le traitement et le transfert des données. Ces rapports couvrent les contrôles généraux informatiques et les contrôles relatifs à la disponibilité, à la confidentialité et à la sécurité des données clients. Les rapports SOC 2 couvrent les contrôles relatifs à la sécurité, à la disponibilité et à la confidentialité des données clients.

TISAX

TISAX est un mécanisme d'évaluation et d'échange pour la sécurité de l'information des entreprises, qui permet la reconnaissance des résultats d'évaluation entre les participants.

Si vous souhaitez traiter des informations sensibles provenant de vos clients ou évaluer la sécurité des informations de vos propres fournisseurs, TISAX vous aide à réduire vos efforts.

California Consumer Privacy Act / California Privacy Rights Act

La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, CCPA) a été promulguée le 28 juin 2018. La loi CCPA vise à garantir aux consommateurs californiens un certain niveau de protection de la vie privée. Le respect des lois applicables est une responsabilité partagée. Pega fournit des contrôles de sécurité pertinents, des conseils et des fonctionnalités qui permettent à nos clients de respecter les lois. Pega est conçu pour permettre aux clients de configurer leur propre stratégie de conformité aux lois en vigueur.

Le 3 novembre 2020, la loi californienne sur le droit à la vie privée, California Privacy Rights Act (CPRA), a été adoptée. La loi CPRA modifie la loi CCPA et prévoit une protection supplémentaire de la vie privée pour les consommateurs. La majorité des dispositions de la CPRA sont entrées en vigueur le 1er janvier 2023, avec un effet rétroactif jusqu’en janvier 2022.

FDA

Food Drug Administration CFR Title 21. Le respect des lois applicables est une responsabilité partagée. Pega fournit des contrôles de sécurité pertinents, des conseils et des fonctionnalités qui permettent à nos clients de respecter les lois. Pega est conçu pour permettre aux clients de configurer leur propre stratégie de conformité aux lois en vigueur.

RGPD

Le règlement général sur la protection des données est un règlement du droit européen relatif à la protection des données et de la vie privée dans l'Union européenne et l'Espace économique européen. Le RGPD est un élément important de la législation européenne sur la protection de la vie privée et les droits de l'homme, en particulier l'article 8 de la Charte des droits fondamentaux de l'Union européenne. Le respect des lois applicables est une responsabilité partagée. Le respect des lois applicables est une responsabilité partagée. Pega fournit des contrôles de sécurité pertinents, des conseils et des fonctionnalités qui permettent à nos clients de respecter les lois. Pega est conçu pour permettre aux clients de configurer leur propre stratégie de conformité aux lois en vigueur.

HIPAA

Le Health Insurance Portability and Accountability Act de 1996 (HIPAA) est une loi fédérale qui a exigé la création de normes nationales pour protéger les informations sensibles sur la santé des patients contre leur divulgation à l’insu des patients ou sans leur consentement. Le ministère américain de la Santé et des Services sociaux (Health and Human Services, HHS) a publié la HIPAA Privacy Rule pour mettre en œuvre les exigences de l'HIPAA. La HIPAA Security Rule protège un sous-ensemble d'informations couvertes par la Privacy Rule. Le respect des lois applicables est une responsabilité partagée. Pega fournit des contrôles de sécurité pertinents, des conseils et des fonctionnalités qui permettent à nos clients de respecter les lois. Pega est conçu pour permettre aux clients de configurer leur propre stratégie de conformité aux lois en vigueur.

Data Privacy Framework

Le cadre UE-États-Unis de protection des données (EU-U.S. Data Privacy Framework) (extension britannique du DPF UE-États-Unis) et le cadre Suisse-États-Unis de protection des données (« DPF Suisse-États-Unis ») ont été élaborés respectivement dans le cadre de la promotion du commerce transatlantique par le ministère américain du Commerce et la Commission européenne, le gouvernement britannique et l'administration fédérale suisse, afin de fournir aux organisations américaines des mécanismes fiables pour les transferts vers les États-Unis des données à caractère personnel provenant de l'Union européenne / Espace économique européen, du Royaume-Uni (et de Gibraltar) et de la Suisse, tout en garantissant une protection des données conforme aux lois de l'UE, du Royaume-Uni et de la Suisse.
 
La date d'entrée en vigueur des principes du DPF UE-États-Unis, y compris les principes supplémentaires et l'annexe I des principes, est le 10 juillet 2023, date d'entrée en vigueur de la décision d'adéquation de la Commission européenne pour le DPF UE-États-Unis. La décision d'adéquation permet le transfert de données à caractère personnel de l'UE vers les organisations participantes dans le respect du droit communautaire.

À compter du 17 juillet 2023, les organisations éligibles aux États-Unis qui souhaitent auto-certifier leur conformité en vertu de l'extension britannique du DPF UE-États-Unis peuvent le faire ; toutefois, les données à caractère personnel ne peuvent pas être reçues du Royaume-Uni et de Gibraltar en vertu de l'extension britannique du DPF UE-États-Unis avant la date d'entrée en vigueur des règlements d'adéquation mettant en œuvre la passerelle de données pour l'extension britannique du DPF UE-États-Unis. La passerelle de données permettra le transfert de données personnelles du Royaume-Uni et de Gibraltar aux organisations participantes, conformément à la législation britannique.

Pour en savoir plus sur le programme Data Privacy Framework et sur la manière dont nous nous y conformons, veuillez consulter notre page Confidentialité et Sécurité ici. Pour afficher notre avis sur le Data Privacy Framework et constater notre participation, veuillez consulter le site https://www.dataprivacyframework.gov/s/