Responsabilité partagée
Responsabilité du contrôle qui s'appliquera à vous comme à Zoho.
Gestion des identités et de l'accès
Nous fournissons une infrastructure pour la gestion des comptes utilisateur via le service de gestion des identités et de l'accès (IAM). Pour ce faire, nous facilitons les tâches suivantes :
- Enregistrement des utilisateurs, options de désenregistrement et spécifications concernant leur utilisation.
- Fonctionnalité de gestion des droits d'accès des utilisateurs de votre cloud.
- Techniques d'authentification renforcées telles que l'authentification multifacteur et la restriction d'adresses IP.
Vous êtes responsable des points suivants :
- Application de contrôles renforcés de gestion de l'accès utilisateur.
- Configuration de mots de passe sécurisés conformément à la stratégie de l'organisation et protection de ces mots de passe.
- Activation de l'authentification multifacteur pour les utilisateurs de votre organisation.
- Administration des comptes et des privilèges d'utilisateur : configuration de rôles utilisateurs conformément aux principes du moindre privilège.
- Définition du ou des administrateurs du compte de l'organisation et adoption d'un processus approprié pour les transferts de propriété. Adoption des mesures nécessaires pour vous assurer que votre organisation conserve le contrôle des comptes d'administrateur.
- Vérification périodique de la liste des utilisateurs ayant accès aux données et suppression de l'accès pour toute personne qui ne devrait pas y avoir droit.
- Examen fréquent des appareils liés aux comptes d'utilisateur de l'organisation et suppression des appareils inutilisés ou non autorisés.
- Surveillance des comptes d'utilisateur de votre organisation pour détecter tout usage ou accès malveillant.
- Notification à Zoho en cas d'utilisation non autorisée des comptes de votre organisation.
- Sensibilisation de vos utilisateurs quant à la nécessité de gérer efficacement leur mot de passe, aux risques de réutilisation des identifiants, aux connexions sociales et aux attaques de phishing.
Gestion des données
Nous vous proposons une plateforme pour gérer vos données grâce aux fonctions suivantes :
- Fonctionnalités de partage de données pour les contrôles aux niveaux administrateur et utilisateur.
- Fonctionnalités d'audit concernant les données clients afin de garantir la transparence des activités importantes et d'effectuer le suivi des changements.
- Interopérabilité des données : possibilité d'effectuer une sauvegarde complète des données et configurations pour migrer tout ou partie de vos données vers un autre fournisseur SaaS.
- Conservation et destruction des données : nous conservons les données dans votre compte tant que vous choisissez d'utiliser Zoho Services. Lorsque vous résiliez votre compte utilisateur Zoho, vos données sont supprimées de la base de données active lors du prochain nettoyage, le nettoyage ayant lieu une fois tous les six mois. Les données supprimées de la base de données active sont supprimées des sauvegardes au bout de trois mois.
- Fonctionnalités de limitation de l'accès pour empêcher les employés d'accéder aux données clients, sauf en cas de raison spécifique.
Vous êtes responsable des points suivants :
- Faire preuve de diligence raisonnable lorsque vous traitez des informations appartenant à des catégories spéciales (par exemple, les données personnelles/sensibles) en appliquant les contrôles appropriés pour vous conformer aux exigences de la loi applicable.
- Configuration appropriée des autorisations de partage et d'affichage.
- Examen régulier des rapports d'audit pour identifier toute activité suspecte.
- Maintenir à jour les informations de contact auprès de Zoho.
- Retirer vos données du système une fois que vous avez cessé d'utiliser nos services. Dans le cas contraire, ces données feront l'objet d'une suppression permanente sans aucune possibilité de récupération.
Gestion des données à d'autres parties
Nous nous efforcerons de mettre en place des intégrations et extensions sécurisées pour nos applications, en procédant comme suit :
- Applications Marketplace : réalisation de tests fonctionnels, de sécurité et de confidentialité lorsqu'une application nous est soumise. Nous passons également en revue les produits et le contenu.
- Sous-processeurs : la société Zoho évalue les pratiques de sécurité et de confidentialité des sous-traitants indirects auxquels elle souhaite faire appel, de façon à garantir leur adéquation aux normes de Zoho en matière de confidentialité et de sécurité des informations. Nous établissons ensuite avec eux des accords de protection des données appropriés.
- Nous étudions la politique de confidentialité et les conditions d'utilisation de service de nos fournisseurs, et nous nous assurons que leurs opérations les respectent.
Voici ce que nous attendons de vous :
- Vous activez ou désactivez les intégrations tierces lorsque vous vous rendez compte des données partagées avec des environnements tiers. Vous étudiez la politique de confidentialité et les conditions d'utilisation de service tiers en matière de collecte, d'utilisation ou de divulgation des données.
- Vous indiquez si vous préférez ou non partager vos coordonnées avec les fournisseurs à chaque fois qu'une extension est installée.
- Vous évaluez la pertinence des applications Marketplace et déterminez si les autorisations demandées avant l'installation sont raisonnables.
- Vous informez Zoho de tout comportement malveillant identifié dans les applications Marketplace.
Droits des titulaires des données
Nous sommes responsables des points suivants :
- Fournir aux clients les fonctionnalités qui leur permettront de satisfaire et de protéger les droits de leurs clients.
- Vous informer des demandes de vos clients lorsqu'ils nous contactent directement pour exercer leurs droits.
Vous êtes tenu :
- d'honorer et de traiter les demandes des clients concernant l'accès aux données, la rectification ou suppression de ces dernières et les restrictions concernant le traitement de leurs informations personnelles.
Chiffrement
Nous protégeons vos données à l'aide du chiffrement en transit et au repos, en procédant comme suit :
- Données en transit : les données clients transmises à nos serveurs sur les réseaux publics sont protégées grâce à de puissants protocoles de chiffrement. Nous exigeons que toute connexion à nos serveurs utilise le chiffrement Transport Layer Security (TLS 1.2/1.3) avec des chiffres forts. Cela est valable pour toutes les connexions, y compris l'accès Web, l'accès aux API, nos applications mobiles et l'accès IMAP/POP/SMTP.
- Données au repos : les données clients sensibles sont chiffrées au repos à l'aide de l'algorithme AES (Advanced Encryption Standard) de 256 bits. Les données qui sont chiffrées au repos varient en fonction des services que vous choisissez. Nous possédons et gérons les clés à l'aide de notre service de gestion des clés (KMS) interne.
Nous vous suggérons de procéder ainsi :
- Déterminez vos besoins en matière de chiffrement. Pour les données au repos, dans de nombreux cas, lorsque vous utilisez nos services, la responsabilité d'identifier les champs à chiffrer peut vous incomber.
- Lorsque des données sont téléchargées ou exportées de notre cloud vers votre environnement ou lorsqu'elles sont synchronisées dans le cadre d'intégrations dans Zoho ou de toute autre intégration tierce, vous devez vous assurer que les contrôles de chiffrement appropriés sont appliqués. Par exemple, activez le chiffrement de disque sur vos appareils et utilisez la fonction d'exportation en veillant à activer la protection par mot de passe, etc.
Sauvegardes
Notre système fiable permet :
- de gérer les sauvegardes au niveau système qui sont chiffrées à l'aide de l'algorithme AES de 256 bits et stockées en toute sécurité ; d'exécuter automatiquement des contrôles d'intégrité et de validation des sauvegardes complètes ;
- d'autoriser les demandes de restauration des données et de fournir un accès sécurisé à celles-ci pendant la période de conservation ; de fournir aux clients une fonctionnalité leur permettant d'exporter et de sauvegarder leurs données.
De votre côté, vous pouvez :
- planifier une sauvegarde de vos données, les exporter depuis leurs services Zoho respectifs et les stocker localement dans votre infrastructure, si nécessaire. Leur stockage sécurisé relève de votre responsabilité.
Gestion des incidents
De notre côté, nous veillons aux points suivants :
- Nous signalons tous les incidents de violation dont nous avons connaissance et qui vous concernent, ainsi que des détails de l'impact et les actions appropriées Pour les incidents spécifiques à un utilisateur ou à une organisation, nous informerons la partie concernée en la notifiant via l'adresse e-mail enregistrée auprès de nos services.
- Nous effectuons le suivi des incidents de ce type, et nous y mettons fin.
- Nous appliquons des contrôles pour éviter la récurrence de situations similaires
- Sur demande, nous fournirons des preuves supplémentaires au sujet de l'incident dans lequel vous êtes impliqué.
Voici ce que nous attendons de vous :
- Vous prenez les mesures suggérées par Zoho en cas de violation.
- Vous respectez vos exigences en matière de divulgation et de notification en cas de violation de données, par exemple en notifiant vos utilisateurs finaux et les autorités de protection des données, lorsque cela se révèle pertinent.
- Vous nous signalez les incidents liés à la sécurité et la confidentialité dont vous avez connaissance à l'adresse suivante : incidents@zohocorp.com.
Sensibilisation et formation
Nous assumons l'entière responsabilité des points suivants :
- Formation de nos employés afin de leur faire prendre conscience des enjeux de sécurité et leur faire comprendre comment adhérer à une norme de développement sécurisé. En plus de recevoir régulièrement des formations de sensibilisation à la sécurité par le biais d'e-mails d'information, de présentations et de ressources disponibles sur notre Intranet, les employés que nous venons d'embaucher participent à une formation obligatoire sur la sécurité et la confidentialité.
- Formation de nos employés sur la gestion appropriée des données clients sur le service cloud.
Vous êtes responsable de la formation des utilisateurs du cloud à propos des points suivants :
- Normes et procédures concernant l'utilisation de nos services.
- Gestion des risques liés à nos services.
- Risques pour le système général et l'environnement réseau.
- Considérations juridiques et réglementaires applicables.
Politique et conformité
Nous respectons les directives suivantes :
- Nous avons mis en place un programme complet dédié à la gestion des risques, et nous appliquons les contrôles avec efficacité.
- Nous respectons la loi des différentes juridictions d'où nous opérons.
- Nous fournissons des preuves de conformité avec les lois applicables, et répondons à nos engagements contractuels.
- Nous apportons notre aide pour procéder aux évaluations DPIA de nos clients, dans la mesure où cela est autorisé par les lois applicables.
Voici ce que nous attendons de vous :
- Vous évaluez les réglementations et les lois s'appliquant à votre cas, et vous vérifiez si nous respectons les réglementations et normes requises pour votre entreprise. Vous pouvez demander des informations supplémentaires pour avoir la preuve de notre conformité.
- Vous comprenez nos stratégies, nos méthodes d'évaluation des stratégies et la façon dont nous traitons les données.
- Vous procédez à des évaluations DPIA conformément aux lois sur la protection des données applicables à votre entreprise avant ou pendant le traitement des données.
- Avant de traiter la moindre donnée personnelle/sensible, vous vous interrogez sur la base juridique de ce traitement. Si cette base juridique repose sur le consentement, vous vous assurez d'obtenir le consentement de vos clients.
- Vous évaluez l'adéquation de nos services cloud d'après les informations que nous fournissons et vous vous assurez que ces dernières sont suffisantes pour répondre à vos besoins en matière de conformité.
- Vous comprenez le profil de risque et le caractère sensible des données hébergées sur les services Zoho et vous appliquez les contrôles appropriés.