commercetools Technology Trust Center
CENTRE DE CONFIANCE

Notre succès dépend de votre confiance

Nous nous engageons à être des gardiens responsables et dignes de confiance des données de nos clients. Nous estimons que vous avez le droit de savoir où nous stockons vos données, comment nous les gérons et comment nous les utilisons.

Télécharger le livre blanc

Culture de la sécurité

La sécurité de l'information joue un rôle très important pour commercetools, ainsi que pour nos clients et partenaires. En effet, nous dépendons fortement d'un traitement efficace et disponible de l'information.

À cette fin, un cadre de gouvernance, de gestion des risques et de contrôle de la conformité a été mis en place, sur la base des normes industrielles et des lois applicables en matière de protection des données. La sécurité de l'information fait donc partie intégrante de la stratégie d'entreprise de commercetools.

Security Culture

La sécurité

La gestion responsable des données des clients est de la plus haute importance. La plateforme commercetools a été conçue comme une véritable plateforme cloud-native et multi-tenant et fonctionne dans des centres de données certifiés sur plusieurs sites en Europe, aux États-Unis et dans la région APAC. L'ensemble de l'infrastructure, du développement et des processus tire pleinement parti de la fonctionnalité cloud de pointe.

La sécurité physique des centres de données

La plateforme commercetools est hébergée sur Google Cloud Platform (GCP) ou Amazon Web Services (AWS) et garantit la mise en œuvre de mesures conformes au niveau de sécurité rouge. Les deux fournisseurs de services en cloud exploitent des centres de données ultramodernes dont les principaux critères de conception sont la sécurité et la protection des données. Le certificat ISO/IEC 27001 et les rapports SOC II en témoignent.

Bureaux : L'accès aux bureaux de commercetools est limité et surveillé par la réception qui est également responsable de la gestion des visiteurs. Conformément au concept de zone de sécurité, certaines zones sont verrouillées et les visiteurs doivent être guidés par des employés.

La sécurité du réseau

Le trafic dans le cloud est protégé par des règles WAF préconfigurées de nos fournisseurs de services dans le cloud et le trafic vers la plateforme commercetools est uniquement crypté par des codes de chiffrement à la pointe de la technologie.

Tous les accès au réseau des bureaux de commercetools sont contrôlés, limités et surveillés et l'ensemble de la communication est cryptée en utilisant WPA2 avec une clé AES-256 bits. Le pare-feu mis en place permet une gestion évolutive et centralisée de plusieurs points d'extrémité.

La sécurité de la plateforme

Toutes les communications sont uniquement disponibles via HTTPS et sont sécurisées par TLS 1.2. La couche de stockage (disque dur) est cryptée avec AES-256. Tous les mots de passe des utilisateurs sont cryptés en toute sécurité à l'aide d'algorithmes de pointe ; ils ne sont jamais stockés en texte clair. La plateforme est continuellement analysée pour détecter les ports ouverts et les certificats/configurations SSL faibles. L'isolation et la ségrégation complètes des données persistantes sont assurées et vérifiées par des tests de pénétration réguliers.

Formation et sensibilisation

commercetools exige de tous ses employés et sous-traitants qu'ils signent un accord de confidentialité avant de commencer à travailler. Une formation de sensibilisation à la sécurité et à la protection de la vie privée est régulièrement dispensée à tous les membres de commercetools.

Sauvegarde et récupération

commercetools utilise des environnements géographiquement séparés pour assurer la protection contre la perte de données, la fiabilité et la disponibilité constante de nos systèmes. Les sauvegardes sont cryptées et stockées sur des supports différents de ceux de la production.

Sécurité opérationnelle

Nous avons mis en place des politiques et des procédures, gérées par notre système de gestion de la sécurité de l'information (SGSI). Le responsable de la sécurité de l'information coordonne et examine tous les domaines de notre système de gestion de la sécurité de l'information afin d'en améliorer continuellement l'efficacité et l'efficience.

Fiabilité

commercetools est une plateforme visionnaire de commerce composable qui convient parfaitement à l'architecture microservices. commercetools permet aux entreprises de créer des expériences d'achat transparentes sur tous les points de contact numériques, tels que les smartphones, les tablettes et les appareils mobiles comme les montres connectées et les points de vente numériques. La solution SaaS (software-as-a-service) est déployée en conteneur et possède la même structure quel que soit le fournisseur de services cloud (GCP ou AWS). Une mise à l'échelle automatique complète assure une très haute disponibilité.

Gestion de la continuité des activités (BCM)

L'objectif de notre gestion de la continuité des activités est de s'assurer que les services requis peuvent être rétablis dans des délais définis et convenus. Le plan de continuité des activités mis en œuvre identifie l'exposition d'une organisation aux menaces internes et externes et synthétise les actifs matériels et immatériels afin d'assurer une prévention et un rétablissement efficaces de l'organisation. Le plan prévoit des activités dans des circonstances défavorables, telles que les catastrophes naturelles, le crime organisé ou les défaillances humaines, afin de maintenir les activités quotidiennes.

Business Continuity Management (BCM)

Gestion des performances

L'objectif de la gestion des performances est d'optimiser la capacité de l'infrastructure, des services et de l'organisation de soutien à fournir un niveau de disponibilité et de fiabilité rentable et durable qui permette au client d'atteindre ses objectifs commerciaux. Grâce à l'architecture distribuée, cloud-native et asynchrone de la plateforme commercetools, il est possible de procéder à une mise à l'échelle automatique au fur et à mesure que la charge globale de la plateforme augmente pour l'ensemble des clients.

commercetools Technology Trust Center Performance Management

Processus de gestion des changements

Un changement peut être demandé par le client via un ticket de support, initié par l'équipe de support de la plateforme, ou suggéré en interne pour améliorer un composant, un processus, ou pour résoudre un bug. Tous les développements de la plateforme et de l'infrastructure sont poussés à travers des pipelines CI/CD automatisés dans des environnements de développement et de test appropriés. Plusieurs examens et approbations sont nécessaires pour déployer le code dans les environnements jusqu'à la production.

commercetools Technology Trust Center Change Management Process

Conformité

Avant d'intégrer de nouveaux fournisseurs, une vérification du même niveau de protection est effectuée et les mesures techniques et organisationnelles sont documentées. Nos sous-traitants les plus importants sont nos fournisseurs de services en cloud.

Nos fournisseurs de services en cloud font régulièrement l'objet d'une vérification indépendante de leurs contrôles de sécurité, de confidentialité et de conformité, obtenant des certifications, des attestations de conformité ou des rapports d'audit par rapport aux normes en vigueur dans le monde entier.

Conformité Google Cloud

Programme de conformité AWS

Conformité Humio

commercetools Technology Trust Center Compliance

Vous voulez en savoir plus ?

commercetools fait également l'objet d'une vérification indépendante permanente des contrôles de sécurité, de confidentialité et de conformité de ses plateformes. L'importance croissante que nous accordons à la conformité aux normes vous aidera à atteindre vos objectifs en matière de réglementation et de politique. Les rapports d'audit peuvent être demandés moyennant la signature d'un accord de confidentialité.

Veuillez contacter votre interlocuteur commercial ou envoyer votre demande de consultation des rapports d'audit à security@commercetools.com.

Rejoignez la révolution du Composable Commerce



ISO 27001

ISO 27001

ISO 27001 est une norme internationale, développée par l'Organisation internationale de normalisation (ISO), qui définit des exigences rigoureuses pour la gestion des informations et la garantie de leur confidentialité, de leur intégrité et de leur disponibilité. L'auditeur indépendant TÜV Rheinland, a vérifié que notre système de gestion de la sécurité de l'information (SGSI) respecte ou dépasse les exigences de la norme ISO 27001.

commercetools Technology Trust Center Tisax

Tisax

Nous sommes certifiés TISAX pour les modules Traitement des informations à haut niveau de protection" et "Traitement des informations personnellement identifiables conformément à l'article 28 du règlement général sur la protection des données de l'UE".

TISAX est l'acronyme de Trusted Information Security Assessment Exchange, un mécanisme d'échange pour les évaluations de la sécurité de l'information des entreprises, qui est géré par l'association ENX en tant qu'ancre de confiance commune. La base est une évaluation avec une portée de services clairement définie, qui est également adaptée et contraignante pour toutes les organisations à travers l'ensemble de la chaîne de valeur ajoutée de l'industrie automobile.

SOC II

SOC II

commercetools répond aux normes SOC II, ce qui témoigne de notre engagement en faveur d'un environnement de service sécurisé, fiable et conforme. Un rapport SOC II (System and Organization Controls) traite des contrôles pertinents pour la conformité opérationnelle, sur la base des Trust Services Criteria (TSC) de l'AICPA. Vérifiée par des auditeurs indépendants, notre conformité à cette norme américaine renommée souligne notre engagement à protéger les informations et la vie privée de nos clients au sein de notre infrastructure cloud-native. Notre surveillance continue et nos mesures de contrôle robustes garantissent une disponibilité ininterrompue, l'intégrité du traitement et la confidentialité.

commercetools Technology Trust Center GDPR Logo

GDPR

Nous sommes conformes au GDPR, ce qui a été vérifié par des audits externes. Le règlement général sur la protection des données (GDPR) vise à renforcer la protection des données personnelles en Europe et affecte la façon dont nous faisons tous des affaires. La conformité au GDPR est une priorité absolue pour commercetools et nos clients.

HDS (Hébergeur de Données de Santé)

HDS (Hébergeur de Données de Santé)

En tant que prestataire de services informatiques, commercetools détient la certification HDS pour le périmètre de gestion des données de santé à caractère personnel, exigée par le Code de la Santé Publique pour le traitement des données de santé à caractère personnel (Hébergeur de Données de Santé). Cette certification souligne notre engagement à gérer les données de santé en toute sécurité et affirme notre approche méticuleuse de la protection des données.

commercetools Technology Trust Center Cyber Essentials

Cyber Essentials

commercetools est conforme aux exigences du programme Cyber Essentials. Cyber Essentials est un programme soutenu par le gouvernement britannique qui vise à protéger les organisations de toutes tailles contre les cyberattaques les plus courantes.

Protection de la vie privée

Processus de gestion

Notre système de gestion de la protection des données a été intégré à notre système de gestion de la sécurité de l'information et repose sur les contrôles ISO/IEC 27001 et ISO/IEC 27701. Les deux systèmes de gestion sont gérés de manière centralisée et régulièrement contrôlés dans le cadre d'audits internes et externes.

Sécurité des activités de traitement des données

Le prestataire de services/transformateur mettra en œuvre les mesures techniques et organisationnelles (TOM) appropriées pour sécuriser les informations.

Suppression des données

Les demandes de suppression du responsable du traitement des données sont exécutées sur instruction. Des concepts de suppression pour les données commerciales internes ont été mis en œuvre.

Accord sur le traitement des données

Le GDPR exige que les responsables du traitement des données (tels que les organisations utilisant la plateforme commercetools) n'utilisent que des processeurs de données (commercetools) qui fournissent des garanties suffisantes pour répondre aux exigences de l'article 28 du GDPR. L'accord de traitement des données peut être demandé à l'adresse suivante : privacy@commercetools.com.

Délégué à la protection des données

commercetools a désigné un délégué à la protection des données externe qui travaille en étroite collaboration avec le coordinateur interne de la protection des données. Il peut être contacté par courrier électronique à l'adresse suivante : privacy@commercetools.com.

Transfert international de données

Comme la législation européenne sur la protection des données précédemment applicable, le GDPR exige des entreprises qu'elles utilisent un mécanisme juridique reconnu pour le transfert de données de l'UE vers d'autres pays qui ne fournissent pas un cadre similaire pour la protection des données. Des clauses types de l'UE ont été convenues avec tous les sous-traitants en dehors de l'UE.

Conformité avec le GDPR, le CCPA et l'Australia Privacy Act

La protection de la vie privée est un aspect si important de nos vies et affecte la façon dont nous faisons tous des affaires. La conformité à un certain nombre de lois sur la protection de la vie privée dans le monde entier est une priorité absolue pour commercetools et nos clients.