SÉCURITÉ CHEZ VIRTA
La fiabilité et la confiance dans nos systèmes et services sont nos priorités
Chez Virta, nous adoptons une approche à 360° pour la gestion de la sécurité. Toutes nos activités visent à offrir des services fiables, robustes et sûrs. Ce travail est soutenu et promu par le management. Virta a mis en place un système de gestion de la sécurité de l'information (ISMS) dirigé par l'équipe de gestion de la sécurité de l'information. Les tâches et les activités quotidiennes de sécurité sont dirigées par le responsable de la sécurité de l'information. Le système de gestion de la sécurité de l'information de Virta est certifié ISO 27001:2013.
Assurer la sécurité est un processus continu et Virta a défini un processus de gestion des risques pour s'assurer que la sécurité reste en phase avec l'évolution des menaces. Tous les risques identifiés sont toujours attribués à un propriétaire et traités.
Certification
Certification ISO 27001
Virta est une entreprise de recharge de véhicules électriques certifiée ISO 27001. ISO 27001 est une norme de sécurité de l'information internationalement reconnue qui garantit que des contrôles de sécurité stricts sont en place pour protéger les données des clients et que le fonctionnement des produits et des services est sécurisé.
Certification SOC 2
Virta a obtenu la certification Service Organizations Controls (SOC) 2 Type 2 pour la sécurité et la disponibilité. SOC 2 est une norme d'audit internationalement reconnue, développée par l'American Institute of Certified Public Accountants (AICPA). SOC 2 est une mission d'examen réalisée par un auditeur externe qui examine en profondeur tous les contrôles et processus impliqués dans le stockage, la manipulation et la transmission de données en toute sécurité.
L'obtention de la certification SOC 2 pour la sécurité et la disponibilité renforce l'engagement de Virta à maintenir les contrôles les plus stricts pour protéger et sécuriser les informations des clients.
Sécurité des services en ligne
Les systèmes clients de Virta accessibles au public sont développés conformément aux directives internes de Virta, y compris les exigences en matière de sécurité. Pour le développement d'applications, l'OWASP ASVS est utilisé comme référence et une formation au développement sécurisé est dispensée aux développeurs. Toutes les modifications sont examinées avant d'être déployées et testées dans un environnement d'essai avant d'être mises en production. Toutes les modifications apportées au code peuvent être retracées et il existe une piste d'audit complète des modifications.
Virta effectue régulièrement des analyses de vulnérabilité, des évaluations de sécurité et des tests de pénétration. Les analyses de vulnérabilité sont effectuées automatiquement chaque semaine et des tests de pénétration approfondis sont réalisés régulièrement par des sociétés de cybersécurité indépendantes sur des interfaces publiques. Tous les problèmes détectés sont analysés et les correctifs et mesures d'atténuation appropriés sont déployés.
Les applications et interfaces accessibles au public sont hébergées sur Amazon AWS et l'accès à ces systèmes est strictement limité au personnel nommé et approuvé. AWS offre une grande fiabilité et une grande évolutivité à nos services. Tous les secrets (clés, mots de passe de service et autres informations similaires) sont stockés sous forme cryptée. Seules les solutions cryptographiques standard de l'industrie sont utilisées.
Partage responsable
La sécurité des données des clients est notre priorité absolue. Nous y accordons beaucoup d'attention pendant la phase de développement, mais il arrive que des bugs et des vulnérabilités échappent à notre attention. Si vous pensez avoir découvert une vulnérabilité ou un bug de sécurité dans nos systèmes, nous vous serions très reconnaissants de nous en informer dès que possible. Nous pourrons ainsi y remédier rapidement afin de protéger les données stockées dans notre système.
Pour plus d'informations ou pour signaler un éventuel problème de sécurité, vous pouvez contacter notre équipe de sécurité par courrier électronique à l'adresse responsible-disclosure@virta.global.
Respecter la vie privée. Efforcez-vous de bonne foi de ne pas accéder aux données d'un autre utilisateur ou de ne pas les détruire lorsque vous signalez ou vérifiez votre découverte. N'exploitez jamais pleinement les autres sans leur permission.
Localisation et protection des données
Les données des clients et des utilisateurs sont stockées dans l'UE. Les services en ligne et les bases de données sont stockés dans les régions de l'UE sur le Cloud Amazon AWS. L'accès à ces ressources est strictement limité au personnel spécifique ayant un besoin professionnel direct. Tous les droits d'accès sont demandés et accordés uniquement sur la base de besoins professionnels validés, documentés dans un outil distinct, et les droits d'accès sont révisés chaque année.
Virta ne recueille que les IPI (informations personnelles identifiables) nécessaires à la fourniture des services. Les données collectées sont stockées aussi longtemps qu'elles sont nécessaires. Virta a mis en place des directives de protection des données, y compris une formation interne pour le personnel ayant accès aux données des clients, un manuel interne de protection des données et des pratiques de notification.
Pour plus d'informations sur les droits enregistrés et d'autres détails relatifs à la vie privée, voir la politique de confidentialité.
Une infrastructure moderne et sûre
Tous les services Virta sont exécutés dans des services cloud modernes, protégés et évolutifs avec diverses certifications telles que ISO 27001:2013, SOC 2 et similaires (pour une liste complète, voir ici : https://aws.amazon.com/compliance/programs/). Les systèmes ne dépendent pas d'un seul centre de données. Notre pipeline de déploiement automatisé permet à l'environnement de production de fonctionner en permanence avec les derniers correctifs de sécurité installés et toute déviation est surveillée à l'aide de scans de vulnérabilité continus.
Paiements sécurisés
Les données relatives aux cartes de paiement (carte de crédit/débit) sont traitées et stockées par notre partenaire Payment Highway, certifié PCI-DSS.