Conditions d'utilisation du produit
Dernière mise à jour : 10 Octobre 2024
Les présentes conditions d’utilisation (« Conditions »)
s’appliquent à votre accès, utilisation, téléchargement ou installation des produits et services Kauza pour créer, gérer, former et optimiser les assistants IA (tels que définis ci-dessous).
Conditions d'utilisation
Les Conditions sont conclues entre vous, la personne accédant ou utilisant les Produits et Services Kauza (« vous » ; « votre »), et l'Entité Kauza (« Kauza », « nous »).
L'Entité Kauza désigne la société de notre groupe qui contracte avec vous, en fonction de votre localisation au moment où vous concluez les Conditions :
- Si vous êtes situé n'importe où dans le monde : Kauza Sarl, avec une adresse enregistrée à Lomé, Adidogome Yokoe Rue la pampa complexe Scolaire Grand Défi 04BP789.
Pour accéder aux produits et services Kauza et les utiliser, vous devez accepter les conditions. Si vous n'êtes pas d'accord avec les conditions ou les modifications que nous y apportons, vous ne pouvez pas utiliser les produits et services Kauza. Les conditions entrent en vigueur dès que vous les acceptez et restent en vigueur tant que vous accédez à nos produits ou services et les utilisez.
Accès au Service
L’accès à la plateforme Kauza est soumis à une inscription préalable ainsi qu’à la création d’un compte utilisateur. Lors de l’inscription, vous vous engagez à fournir des informations exactes, complètes et à jour. Il est de votre responsabilité de maintenir ces informations exactes durant toute la période d’utilisation du Service.
Kauza se réserve le droit, à sa discrétion, de restreindre, suspendre ou résilier votre accès au Service en cas de non-respect des présentes Conditions Générales d'Utilisation (CGU), d’utilisation abusive du Service, ou pour des raisons de sécurité (ex : tentative d’accès non autorisé, détection de comportement anormal). Vous acceptez également que Kauza puisse restreindre votre accès en cas de violation de la loi applicable ou des droits des tiers.
Modèle de Tarification
La plateforme Kauza propose différents plans tarifaires en fonction des besoins des utilisateurs :
- Plan Gratuit : Ce plan permet d’accéder à un nombre limité d’interactions avec les agents conversationnels et à certaines fonctionnalités de base. Si vous dépassez les limites d’utilisation spécifiées pour ce plan, votre compte sera automatiquement migré vers un plan payant afin d’assurer la continuité de votre accès aux services.
- Plan Prépayé : Avec ce plan, les frais sont facturés à l’avance soit sur une base mensuelle, soit sur une base annuelle, selon la formule choisie. Vous avez accès à un quota déterminé de requêtes API ainsi qu’à des fonctionnalités avancées.
- Plan Postpayé (paiement à l'usage) : Ce plan est basé sur un modèle de paiement à l’utilisation. Les frais sont calculés sur la base de votre consommation réelle, en tenant compte principalement du nombre de requêtes API traitées par vos agents conversationnels. Vous serez facturé en fonction de la quantité d’interactions et des ressources utilisées, sans limite prédéfinie.
Kauza peut introduire de nouveaux plans tarifaires ou modifier les plans existants. Toute modification des prix sera communiquée avec un préavis de 30 jours, sauf pour les utilisateurs du Plan Gratuit, pour qui les changements de plan peuvent être appliqués immédiatement après notification.
Facturation et Paiement
Vous acceptez de payer tous les frais applicables liés à votre utilisation du Service, conformément au plan tarifaire que vous avez choisi lors de l’inscription. Les paiements sont automatiquement prélevés via le mode de paiement que vous avez enregistré sur votre compte.
En cas d’échec de paiement (ex : carte de crédit expirée, solde insuffisant), Kauza se réserve le droit de suspendre temporairement ou de résilier votre accès au Service jusqu’à ce que la situation soit régularisée.
En cas de retard de paiement, des frais supplémentaires peuvent être appliqués, et Kauza peut entamer des démarches pour recouvrer les sommes dues, y compris par voie légale si nécessaire. Toute modification des tarifs sera notifiée au moins 30 jours avant l'entrée en vigueur des nouveaux tarifs.
Si vous souhaitez contester une facture, vous devez en informer Kauza dans un délai de 10 jours à compter de la réception de la facture concernée. À défaut, vous serez réputé avoir accepté les montants facturés.
Utilisation Acceptable
Vous vous engagez à utiliser la plateforme Kauza de manière légale et respectueuse des présentes CGU. Les comportements suivants sont strictement interdits :
- Dépasser les Limites d’Utilisation : Vous ne devez en aucun cas tenter de contourner ou de manipuler les limites d’utilisation définies dans votre plan tarifaire. Tout abus ou tentative de contournement entraînera la suspension immédiate de votre compte.
- Contenu Illégal ou Inapproprié : Il est interdit d’utiliser Kauza pour héberger, partager ou diffuser du contenu illégal, diffamatoire, obscène, haineux, ou portant atteinte aux droits de propriété intellectuelle d’autrui. Tout contenu jugé inapproprié sera immédiatement retiré et pourra entraîner des sanctions, y compris la résiliation de votre compte.
- Accès Non Autorisé : Vous ne devez en aucun cas tenter d'accéder à des parties du Service, des systèmes ou des données de Kauza sans autorisation expresse. Cela inclut, sans s’y limiter, toute tentative de piratage, d’interception des communications ou de manipulation des fonctionnalités techniques de la plateforme.
- Utilisation Abusive des Ressources : L’utilisation excessive des ressources de la plateforme (API, bande passante, stockage de données) sans respecter les limites convenues dans votre plan peut entraîner des restrictions temporaires ou une facturation supplémentaire. Il est de votre responsabilité de surveiller et de gérer votre consommation afin de rester en conformité avec les limites de votre plan.
Avis d'arbitrage
Les présentes Conditions contiennent une clause d'arbitrage obligatoire et une renonciation aux recours collectifs. En acceptant les présentes Conditions, vous acceptez également de résoudre tout litige par arbitrage individuel et vous renoncez à votre droit de soumettre les litiges à un juge ou à un jury, ou de participer à un recours collectif, à un arbitrage collectif ou à une action représentative.
Contactez-nous
Si vous avez des questions sur les Conditions, ou si vous souhaitez nous fournir des avis juridiques, vous pouvez nous contacter à l'adresse email management@kauzaafrica.com, ou par courrier à :
Kauza Sarl.Attention : Conseiller juridique
Adidogome Yokoe Rue la pampa complexe Scolaire Grand Défi 04BP789.
Lomé, Togo
Tout avis que nous vous envoyons entrera en vigueur dès qu'il sera envoyé à votre adresse e-mail ou publié dans les Produits. Tout avis qui nous est adressé ne prendra effet qu'une fois reçu par notre conseiller juridique.
Définitions
Sauf définition contraire dans les présentes Conditions, les termes en majuscules sont définis ci-dessous.
- « Assistant IA » désigne l'assistant virtuel développé et configuré à l'aide du logiciel Kauza...
- « Données d’assistant IA » désigne toutes les données traitées par un assistant IA...
- « Conditions commerciales » désigne les conditions commerciales applicables à la licence des Produits...
- « Contenu » désigne toutes les données, bibliothèques, contenus, matériels...
- « Documentation » désigne la documentation que nous mettons à disposition en ligne...
- « Pertes » désigne les réclamations, pénalités, frais, dommages, amendes...
- « PI » désigne tous les droits, titres et intérêts relatifs à toute propriété intellectuelle...
- « Produits » désigne tout logiciel Kauza concédé sous licence...
- « Logiciel Kauza » désigne tout logiciel, application et programme sous licence de Kauza...
- « Représentants » désigne nos sociétés affiliées, filiales, employés...
- « Services » désigne les services que nous fournissons à nos clients...
- « Services tiers » désigne tout logiciel, application, site Web, technologie...
- « Utilisateur » désigne une personne qui interagit avec un assistant IA...
- « Données utilisateur » désigne les données de l'assistant IA qui peuvent identifier directement...
Conditions spécifiques
Nonobstant toute disposition contraire, en cas de conflit entre les Conditions et les conditions spécifiques applicables à tout ou partie des Produits et Services Kauza (les « Conditions spécifiques »), les Conditions spécifiques prévaudront...
Propriété intellectuelle
Vous acceptez de ne pas supprimer les mentions d'attribution, les droits d'auteur ou autres mentions de propriété intellectuelle dans les produits...
Vous pouvez nous fournir ou nous pouvons vous demander de nous fournir des suggestions, des commentaires, des suggestions ou d'autres retours concernant les produits et services Kauza (« Commentaires »)...
Règles de ménage
Lorsque vous utilisez les produits et services Kauza, vous acceptez de vous conformer à nos règles de gestion...
- Discrimination : Vous ne pouvez pas utiliser les produits et services Kauza pour menacer des personnes...
- Fraude ou responsabilité : Vous ne pouvez pas accéder aux Produits et Services Kauza ni les utiliser pour vous engager dans des activités frauduleuses...
- Extraction de données : Vous ne pouvez pas accéder, rechercher ou créer des comptes...
- Aucune violation de sécurité : Vous ne pouvez pas tenter d'obtenir un accès non autorisé...
- Violation de la propriété intellectuelle : Vous ne pouvez pas utiliser les produits et services Kauza, ni l'assistant IA...
- Ingénierie inverse : Vous ne pouvez pas décompiler, désassembler, procéder à une ingénierie inverse...
- Concurrence : Vous ne pouvez pas accéder aux produits et services Kauza ni les utiliser dans le but de créer un produit ou un service similaire...
Abus/Limitation de la bande passante
Vous ne pouvez utiliser notre bande passante que pour votre Contenu, conformément à la Documentation.
Respect des lois
Vous devez vous conformer à toutes les lois applicables, y compris celles applicables à l'importation ou à l'exportation du logiciel Kauza...
Version anticipée du logiciel
Nous pouvons vous fournir un accès ou des licences d'essai gratuits, des accès bêta ou alpha...
Données confidentielles
Lorsque vous accédez aux produits et services Kauza et les utilisez, vous pouvez accéder à certaines de nos données confidentielles...
Avis de non-responsabilité
DANS LA MESURE MAXIMALE PERMITE PAR LA LOI, ET SAUF MENTION EXPRESSE DANS LES PRÉSENTES CONDITIONS...
Limitation de responsabilité
Dans la mesure maximale autorisée par la loi, vous acceptez et reconnaissez que ni Kauza ni ses représentants n'ont aucune responsabilité envers vous...
Indemnité
Vous acceptez de nous indemniser et de nous dégager, ainsi que nos représentants, de toute responsabilité en cas de perte...
Suspension; Résiliation
Nous pouvons résilier ou suspendre votre droit d'accès et d'utilisation des produits et services Kauza si vous ne respectez pas les conditions...
Résolution des litiges
Les lois applicables aux Conditions varient en fonction de votre situation géographique au moment où vous concluez les Conditions :
- Si vous résidez dans l'Union européenne : les lois allemandes s'appliqueront à l'interprétation des Conditions (sans égard aux règles ou principes de conflit de lois), et sous réserve des dispositions ci-dessous, vous acceptez que les litiges soient résolus dans les tribunaux compétents d'Allemagne.
- Si vous êtes au Royaume-Uni : les lois du Royaume-Uni s'appliqueront à l'interprétation des Conditions (sans égard aux règles ou principes de conflit de lois), et sous réserve des dispositions ci-dessous, vous acceptez que les litiges soient résolus dans les tribunaux compétents du Royaume-Uni.
- Si vous êtes situé n'importe où ailleurs dans le monde : les lois de Californie, États-Unis s'appliqueront à l'interprétation des Conditions (sans égard aux règles ou principes de conflit de lois), et sous réserve des dispositions ci-dessous, vous acceptez que les litiges soient résolus dans les tribunaux compétents de San Francisco, Californie.
Tous les litiges découlant du présent contrat ou en rapport avec celui-ci seront définitivement réglés conformément au Règlement d'arbitrage de la Chambre de commerce internationale (« CCI ») par un arbitre nommé conformément audit Règlement, en utilisant ICC Case Connect, la plateforme numérique de gestion des dossiers de la CCI reliant les parties, les tribunaux arbitraux et le Secrétariat de la CCI. L'arbitrage se déroulera en anglais, en Californie, aux États-Unis ou en Allemagne, à votre discrétion. Aucune sentence ou ordonnance de procédure rendue dans le cadre de l'arbitrage ne sera publiée. Afin d'éviter tout doute, les parties renoncent à tout droit de faire valoir des réclamations contre l'autre partie en tant que représentant ou membre d'une action collective ou représentative, sauf si une telle renonciation est interdite par la loi ou jugée contraire à l'ordre public par un tribunal.
Changements
Sous réserve des Conditions commerciales, nous pouvons apporter des modifications (a) aux Conditions sur préavis écrit et (b) aux Produits et services Kauza. Si nous apportons des modifications avec lesquelles vous n'êtes pas d'accord, vous pouvez cesser d'utiliser les Produits et services Kauza à tout moment.
Avis aux utilisateurs finaux
Le logiciel Kauza, y compris la documentation, sont des « articles commerciaux » au sens de ce terme dans le 48 CFR §2.101, et se composent de « logiciels informatiques commerciaux » et de « documentation de logiciels informatiques commerciaux ». Le logiciel informatique commercial et la documentation de logiciels informatiques commerciaux sont concédés sous licence aux utilisateurs finaux :
- uniquement en tant qu'articles commerciaux,
- avec les mêmes droits que tous les autres utilisateurs finaux, et
- conformément aux Conditions.
Les droits de publication et de non-publication sont réservés en vertu des lois sur le droit d'auteur des États-Unis. Le fabricant est Kauza Technologies GmbH.
Généralités
Vous ne pouvez céder aucun de vos droits en vertu des présentes Conditions à quiconque. Nous pouvons céder les présentes Conditions, ainsi que tous nos droits et obligations en vertu de celles-ci, à toute autre personne ou entité, à notre discrétion.
Si une section des présentes Conditions générales s'avère inapplicable, cette section sera supprimée ou modifiée aussi peu que nécessaire, et le reste des Conditions générales restera valide. Les en-têtes et le texte de la barre latérale sont fournis uniquement pour faciliter la lecture et la compréhension des présentes Conditions générales. Le fait que nous ayons rédigé ces Conditions générales n'affectera pas la manière dont elles sont interprétées. Si nous ne prenons pas immédiatement de mesures en cas de violation des présentes Conditions générales, nous ne renonçons à aucun droit en vertu des Conditions générales et nous pouvons toujours prendre des mesures à un moment donné.
Les présentes Conditions, les Conditions spécifiques, le Contrat de licence d'utilisateur final et les autres termes et conditions que vous pouvez accepter en relation avec votre utilisation des Produits et Services Kauza de temps à autre, constituent l'intégralité de l'accord entre nous en relation avec son objet et remplacent tous les accords, représentations et ententes antérieurs.
POLITIQUE DE SÉCURITÉ
Introduction
Nous sommes une entreprise de taille moyenne au service de certaines des plus grandes marques mondiales. Cela signifie que chacun d'entre nous prend ses responsabilités en matière de sécurité au sérieux.
En matière de sécurité de l'information, nous combinons l'approche de défense en profondeur et le principe de Kerckhoff (qui stipule qu'un système de cryptographie doit être sécurisé, même si tout ce qui le concerne, à l'exception de la clé, est de notoriété publique). En d'autres termes, nous pensons que la sécurité de l'information est un domaine vaste qui nécessite de multiples approches, mais qui doit être transparent et simple.
Nous avons créé cette page pour fournir des informations sur les contrôles de sécurité que nous avons mis en place dans le but de garantir la confidentialité, l'intégrité et la disponibilité de nos actifs informationnels. Si vous avez besoin de plus amples informations, n'hésitez pas à nous contacter à l'adresse security@kauza.com.
Bien que nos contrôles soient alignés sur les exigences de la norme ISO 27002, nous avons décomposé les sections ci-dessous pour les aligner sur les domaines de la norme ISO 27001 afin de permettre à nos clients et prospects de se référer facilement à leurs exigences et de démontrer notre engagement à mettre en œuvre les meilleures pratiques du secteur dans l'ensemble de notre organisation.
Politiques de sécurité de l'information
Objectif : Garantir que nos politiques de sécurité de l’information correspondent aux besoins de notre organisation.
Contrôles : Nous avons mis en place certaines politiques de sécurité des informations ici chez Kauza. Ces politiques de sécurité des informations nous aident à définir notre utilisation des systèmes/applications et sont régulièrement revues et mises à jour à une fréquence d'au moins une fois par an. Les politiques comprennent :
- Contrôle d'accès et politique IAM
- Politique d'utilisation acceptable
- Politique de sécurité des applications
- Politique de gestion des actifs
- Politique de sécurité physique
- Politique de configuration sécurisée
- Politique de gestion des menaces et des vulnérabilités
- Politique d'utilisation de la cryptographie
- Politique de gestion des incidents de sécurité
- Politique de transfert d'informations et de traitement des données
- Politique de sécurité des informations de gestion des fournisseurs
- Politique de gestion du changement
- Politique de conservation des journaux
- Politique relative aux services cloud
Organisation de la sécurité de l'information
Objectif : Assurer que la gestion et la mise en œuvre de nos contrôles de sécurité de l’information correspondent aux besoins de l’organisation.
Contrôles : Les rôles et responsabilités en matière de sécurité des informations sont définis, documentés et communiqués à l'échelle de l'organisation. Chez Kauza, tous les membres de l'équipe sont pleinement engagés dans leur rôle et ont des conversations honnêtes et transparentes en matière de sécurité.
Sécurité des ressources humaines
Objectif : S'assurer que tous les employés (à temps plein, à temps partiel et contractuels) comprennent leurs exigences avant, pendant et après leur période d'emploi. Cela comprend la réalisation de vérifications des antécédents, le respect des politiques de sécurité de l'information et la participation aux formations nécessaires.
Contrôles : Tous les contrats de travail incluent :
- Accords de non-divulgation
- Conditions d'emploi
- Responsabilités après cessation ou changement d'emploi.
De plus, des contrôles de sélection des employés, tels que des vérifications des antécédents et d’autres vérifications, sont effectués pour les employés qui répondent aux critères requis conformément à la loi.
Nous avons également mis en place un programme de sensibilisation à la sécurité afin de proposer des formations régulières en matière de sécurité sous forme de résumés, de déjeuners-conférences, de formations techniques, etc.
Gestion d'actifs
Objectif : Identifier, classer et empêcher la divulgation des informations et des actifs de Kauza.
Contrôles : La gestion des actifs est l'un des contrôles les plus importants et les plus fondamentaux en matière de sécurité des informations. Chez Kauza, nous en sommes conscients et avons mis au point un registre des actifs contenant des informations clés sur les actifs et leurs propriétaires. Ce registre est régulièrement révisé et mis à jour.
Quelques points clés à noter :
- Nous n'avons pas de serveurs sur site. Toutes nos applications sont basées sur le cloud/gérées.
- Nous n'hébergeons aucune donnée, système ou application client.
- Nous sommes une entreprise entièrement à distance.
- Notre parc d'appareils est entièrement constitué d’ordinateurs de dernière génération.
- Nous utilisons Apple Business Manager et un MDM pour gérer les politiques de sécurité sur les appareils.
- Les appareils sont mis à jour régulièrement avec une fréquence automatique pour les versions mineures et micro. Les versions majeures sont examinées et testées avant le déploiement en raison des complications qui accompagnent ces types de versions.
Contrôle d'accès
Objectif : Empêcher la divulgation non autorisée d’informations et garantir la non-répudiation.
Contrôles :
- L’authentification multifacteur est appliquée dans toute l’entreprise.
- Les clés de sécurité matérielles de Yubico sont utilisées comme seule méthode de vérification pour notre service IdP.
- L'authentification unique avec notre fournisseur d'identité est activée sur toutes les principales applications.
- Le principe du moindre privilège est utilisé pour toutes les applications principales.
- L'utilisation de comptes partagés est strictement interdite.
- Les privilèges élevés sont limités et le principe du moindre privilège est toujours appliqué.
- Les comptes de production et de mise en scène sont séparés ; chaque équipe dispose de son propre compte distinct.
Cryptographie
Objectif : Maintenir la confidentialité, l’intégrité et l’authenticité des actifs critiques grâce au chiffrement et à la gestion des clés.
Contrôles :
- Sélection du chiffrement : nous n'utiliserons que les chiffrements recommandés par le National Institute of Standards and Technology (NIST). Les chiffrements recommandés incluent AES, RSA et SHA. D'autres sources fiables peuvent être utilisées pour sélectionner des chiffrements à des fins spécifiques, telles que l'OWASP pour sélectionner un algorithme de hachage des mots de passe dans une application.
- Longueurs de clés : nous utiliserons des longueurs de clés adaptées au chiffrement sélectionné. Les longueurs de clés minimales recommandées sont de 128 bits pour AES, 2 048 bits pour RSA et 256 bits pour SHA.
- Gestion des clés : nous mettrons en œuvre des pratiques rigoureuses de gestion des clés pour garantir la confidentialité et l'intégrité de nos clés cryptographiques. Cela comprend l'utilisation de mots de passe forts et la garantie que les clés cryptographiques sont stockées en toute sécurité.
- Configuration de l'algorithme : Nous configurerons nos algorithmes cryptographiques selon les meilleures pratiques recommandées par le Center for Internet Security (CIS) ou l'OWASP en fonction du contexte d'utilisation. Cela comprend la désactivation des algorithmes cryptographiques faibles et l'activation des protocoles cryptographiques forts.
- Utilisation cryptographique : Nous n'utiliserons la cryptographie qu'aux fins prévues et ne l'utiliserons pas pour contourner les contrôles de sécurité ou participer à des activités illégales ou contraires à l'éthique.
Sécurité physique et environnementale
Objectif : Empêcher l’accès non autorisé aux informations pouvant entraîner une perte ou une interruption des opérations.
Contrôles : Comme nous sommes une entreprise physique à proximité des clients, nous disposons de bureaux utilisés de façon hebdomadaire. Les mesures de sécurité suivantes sont en place :
- Les clés physiques 🔑 de l'entrée principale du bâtiment sont limitées et sont réservées uniquement au personnel, à l’équipe de direction et au service d’entretien - cela limite l'accès à l'espace de bureau en dehors des heures de travail.
- L'accès au bureau se fait via une serrure électronique intelligente de pointe. Ses caractéristiques de sécurité comprennent :
- Attribution et contrôle des droits d'entrée dans le bureau par l'administrateur.
- Surveillance à distance de l'activité d'entrée et de sortie.
- Vérification à distance de l'état actuel de la porte à tout moment - si elle est ouverte ou fermée.
- Les visiteurs au bureau ne sont autorisés qu'avec une autorisation préalable.
- Une inspection semestrielle de tous les équipements électriques et électroniques est effectuée pour garantir la sécurité des Mac, des serveurs, des commutateurs et des moniteurs contre les incendies, les surtensions électriques, etc.
- Il existe des équipements de lutte contre les incendies certifiés et du personnel de bureau formé pour gérer les urgences telles que les incendies.
- Des audits de sécurité sont menés pour identifier et traiter toute vulnérabilité par nos agences externes de protection des données.
- Des ordinateurs portables de rechange sont conservés dans ce bureau. Ces appareils :
- sont liés à notre compte professionnel et sont entièrement effacés.
- ont notre MDM installé avec des politiques de sécurité déjà en place.
Acquisition, développement et maintenance de systèmes
Objectif : Garantir que les exigences de sécurité de l’information sont établies tout au long du cycle de vie des systèmes d’information et incluses lors de la mise à jour des systèmes existants ou de la mise en œuvre de nouveaux systèmes.
Contrôles : Nous avons mis en place une politique de sécurité des applications qui fournit des lignes directrices pour :
- Cycle de vie de développement logiciel sécurisé (SDLC)
- Bonnes pratiques au sein de Rasa
- Contrôle d'accès et authentification
- Tests de sécurité et gestion des vulnérabilités
- Réponse aux incidents et récupération
- Sécurité des applications tierces
Quelques points clés à noter :
- Tous les comptes Github ont une MFA appliquée avec l'utilisation de clés de sécurité appliquées dans toute notre organisation.
- Nous n'hébergeons aucune instance client et n'hébergeons aucune donnée client.
- Nos pipelines de création de produits sont construits conformément aux meilleures pratiques de sécurité logicielle et incluent plusieurs couches de contrôles de sécurité, notamment l'analyse secrète, l'analyse de code statique et les vérifications des vulnérabilités des dépendances.
Relations avec les fournisseurs
Objectif : Garantir que tous les actifs précieux de Rasa auxquels les fournisseurs peuvent accéder restent protégés et maintenir le niveau requis de sécurité des informations.
Contrôles : Lors de l'intégration de nouveaux fournisseurs, l'équipe de sécurité procède à une évaluation des risques liés aux fournisseurs. Pour ce faire, elle collecte d'abord les informations pertinentes auprès des fournisseurs en effectuant les opérations suivantes :
- Évaluation des risques liés à la sécurité des informations des fournisseurs.
- Exigences de sécurité pour l'accès au cloud client.
- Accord de traitement des données.
- Exigences en matière de cybersécurité des parties externes. Une fois ces documents complétés, l'équipe peut évaluer le paysage des menaces et travailler avec les fournisseurs pour identifier et atténuer les risques élevés ou critiques.
Gestion des incidents de sécurité de l'information
Objectif : Garantir que les incidents de sécurité de l’information sont gérés de manière efficace et cohérente.
Contrôles : Nous avons défini et mis en œuvre un processus détaillé de gestion des incidents de sécurité. Le processus comprend un plan d'action détaillé qui comprend des étapes de détection et d'analyse, la priorisation des incidents, la communication, la notification et l'escalade. Il comprend également une stratégie de confinement détaillée, des directives sur le traitement des preuves et la gestion des crises. Une copie peut être fournie sur demande.
Quelques points clés à noter :
- Nous avons déployé et configuré une plateforme de gestion des incidents et des événements de sécurité (SIEM). Tous les journaux de sécurité sont transmis à cette plateforme avec des alertes configurées selon les cas d'utilisation pertinents pour Rasa.
- Notre processus de gestion des incidents de sécurité est conforme à la norme NIST SP 800-61.
Planification de la continuité des activités
Objectif : Assurer la continuité de la sécurité de l’information dans le cadre de nos plans de continuité des activités/reprise après sinistre (BC/DR).
Contrôles : Nous avons mis en place un plan de continuité des activités et de reprise après sinistre (BC/DR). Au cours de la mise en œuvre, nous avons réalisé une évaluation de l'impact sur l'activité et identifié les principaux domaines de risque ainsi que les principales parties prenantes. Toutes les parties concernées ont été informées de leurs rôles et responsabilités dans le cadre du plan et un plan de communication a été élaboré et diffusé en conséquence.
Quelques points clés à noter :
- Tout notre code est hébergé par GitHub.
- Nous ne sommes pas une application SaaS. Aucune instance client n'est hébergée dans nos environnements cloud.
- Nous n'hébergeons aucune donnée client.
- Nous n'avons aucune instance sur site. Toutes nos applications sont basées sur le cloud et chaque fournisseur se conforme aux exigences légales et/ou réglementaires nécessaires en matière de sécurité, de confidentialité et de résilience.
Conformité
Objectif : Éviter les violations de la sécurité de l'information de nature légale, statutaire, réglementaire ou contractuelle et garantir que la sécurité de l'information soit réalisée conformément aux besoins de Kauza.
Contrôles : Nous avons veillé à ce que nos contrôles de sécurité soient conformes à la norme ISO 27002 et nous appliquons les meilleures pratiques du secteur dans la mesure du possible. Nous sommes toujours heureux de fournir des preuves au dossier, sur tous les contrôles qui nous concernent. N'hésitez pas à nous contacter !
Divulgation responsable
La sécurité est un processus continu et nous cherchons toujours des moyens de l'améliorer, c'est pourquoi les commentaires sont très importants pour nous. Bien que nous n'ayons pas de programme de primes aux bugs en place, nous avons une politique de divulgation responsable. Veuillez consulter cette page et n'hésitez pas à nous contacter si vous avez d'autres questions.
Des questions ?
Contactez management@kauzaafrica.com ou visitez kauzaafrica.com pour plus d'informations.