1.1. Programme de sécurité de l'information. Koidra doit maintenir un programme écrit complet de sécurité des informations, y compris politiques, Normes, procédures, et les documents connexes régissant le traitement et la sécurité des Customer Data et les systèmes Koidra utilisés pour traiter ou sécuriser les données client dans le cadre de la fourniture du SaaS ("Systèmes d'information Koidra”). Les sous-traitants engagés par Koidra conformément au Contrat maintiendront (au minimum) des niveaux de sécurité sensiblement similaires, tels qu'applicables et requis par les présentes Pratiques de sécurité.

1.2. Contrôles de sécurité. Conformément à son programme de sécurité de l'information, Koidra mettra en œuvre des contrôles physiques, organisationnels et techniques appropriés conçus pour : (a) assurer la sécurité, l'intégrité et la confidentialité des données client consultées, collectées, utilisées, stockées ou transmises à ou par Koidra ; et (b) protéger les données client contre les menaces ou dangers connus ou raisonnablement anticipés pour leur sécurité, leur intégrité, leur perte accidentelle, leur altération, leur divulgation et autres formes de traitement illégales.

Koidra maintiendra (ou, en ce qui concerne les systèmes contrôlés par ses sous-traitants, s'assurera que ces sous-traitants maintiennent) une reprise après sinistre ("DR”) programme destiné à rétablir la disponibilité du Service d'Abonnement suite à un sinistre. Au minimum, un tel programme DR comprendra les éléments suivants : (a) validation de routine des procédures pour créer régulièrement et par programmation des copies de conservation des données client dans le but de récupérer les données perdues ou corrompues ; (b) des inventaires, mis à jour au moins une fois par an, qui répertorient tous les systèmes d'information critiques de Koidra ; (c) l'examen annuel et la mise à jour du programme de reprise après sinistre ; et (d) des tests annuels du programme DR conçus pour valider les procédures DR et la capacité de récupération du service qui y sont détaillées.

3.1. Procédure. Si Koidra prend connaissance d'un accès non autorisé ou illégal confirmé à des données client traitées par Koidra Information Systems (un "Incident de sécurité”), Koidra s'engage à : (a) informer le Client de l'Incident de sécurité ; et (b) prendre des mesures raisonnables pour atténuer les effets et minimiser tout dommage résultant de l'incident de sécurité.

3.2. Tentatives infructueuses. Une attaque ou une intrusion infructueuse n'est pas un incident de sécurité soumis à la présente section 3. Une "attaque ou intrusion infructueuse" est une attaque qui n'entraîne pas un accès non autorisé ou illégal aux données client et peut inclure, sans s'y limiter, des pings et d'autres attaques de diffusion sur pare-feu ou serveurs périphériques, analyses de port, tentatives de connexion infructueuses, attaques par déni de service, reniflage de paquets (ou tout autre accès non autorisé aux données de trafic qui ne se traduit pas par un accès au-delà des adresses IP ou des en-têtes TCP/UDP), ou incidents similaires.

3.3. Implication des utilisateurs. L'accès non autorisé ou illégal aux Données Client résultant de la compromission des identifiants de connexion d'un Utilisateur ou de la divulgation intentionnelle ou par inadvertance des Données Client par un Utilisateur n'est pas un Incident de Sécurité.

3.4 . Notifications. Les notifications d'incidents de sécurité, le cas échéant, seront envoyées à un ou plusieurs utilisateurs SysAdmin du client par tout moyen raisonnable choisi par Koidra, y compris le courrier électronique. Le client est seul responsable du maintien à tout moment des informations de contact exactes dans le service en ligne.

3.5. Avertissement. L'obligation de Koidra de signaler ou de répondre à un incident de sécurité en vertu de la présente section 3 ne constitue pas une reconnaissance par Koidra de toute faute ou responsabilité de Koidra en ce qui concerne l'incident de sécurité.

Dernière mise à jour: Mai 25, 2021