Mesures de sécurité minimales de Genesys pour la gestion des comptes Google Cloud Dialogflow

Les mesures de sécurité minimales suivantes reflètent une base de référence des contrôles de sécurité dans l'environnement Genesys et les données gérées par Genesys pour les services qui ne relèvent pas de notre programme de certification Genesys Cloud (par exemple, HIPAA, ISO27001, ISO27018, PCI, SOC2). Les sous-traitants secondaires appliquent chacun des contrôles, des audits et des certifications pour les données une fois qu'elles sont sous leur contrôle.

Contrôles de sécurité minimums de Genesys

La présente Annexe décrit les exigences minimales de sécurité généralement applicables à l'utilisation par le Client des Services Genesys. Des contrôles supplémentaires pour des services ou modules spécifiques peuvent être trouvés dans l'accord de licence ou le contrat-cadre applicable. Compte tenu de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le Processeur met en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque. Par conséquent, le Processeur utilisera les mesures techniques, organisationnelles et de sécurité raisonnables nécessaires conçues pour protéger les Données personnelles du Client en possession du Processeur ou autrement traitées par le Processeur contre tout accès, altération, divulgation ou destruction non autorisés, comme décrit plus en détail dans la présente Annexe :

1. Programme de sécurité

Genesys a mis en place et maintiendra un programme de sécurité de l'information qui suit les principes de sécurité des systèmes généralement acceptés et incorporés dans la norme SOC-2, conçu pour protéger les Données du Client comme il convient à la nature et à la portée des Services fournis. Le programme de sécurité des informations comprend au moins les éléments suivants :

a. Sensibilisation et formation à la sécurité

Genesys a mis en place et maintiendra un programme de sécurité et de sensibilisation à l'information qui est remis aux employés et aux contractants appropriés au moment de l'embauche ou du début du contrat, puis chaque année. Le programme de sensibilisation est dispensé par voie électronique et comporte un volet de test avec des exigences minimales à respecter. En outre, les membres du personnel de développement reçoivent une formation sur le développement de codes sécurisés.

b. Politiques et procédures

Genesys maintient des politiques et des procédures pour soutenir le programme de sécurité des informations. Ces politiques et procédures sont revues chaque année et mises à jour si nécessaire.

c. Prévention des logiciels malveillants

Genesys utilise les pratiques standard de l'industrie pour éviter l'inclusion de tout programme, routine, sous-programme ou donnée (y compris les logiciels malveillants ou "malware", les virus, les vers et les chevaux de Troie) dans les applications exécutées dans les services Genesys.

2 Sécurité des réseaux

Genesys utilisera des contrôles de sécurité de réseau efficaces basés sur les normes de l'industrie pour garantir la protection des données du client.

3 Contrôle d'accès des utilisateurs

Genesys mettra en œuvre des contrôles d'accès appropriés pour s'assurer que seuls les utilisateurs autorisés ont accès aux Données du client.

4. Continuité des activités et reprise après sinistre

Genesys maintiendra un plan de continuité des activités de l'entreprise conçu pour garantir la poursuite des services de surveillance et d'assistance en cas de perturbation de l'environnement de l'entreprise.

5. Réponse aux incidents de sécurité

Genesys maintient un programme de réponse aux incidents de sécurité basé sur les normes de l'industrie et conçu pour identifier et répondre aux incidents de sécurité présumés et réels impliquant des données client. Le programme sera examiné, testé et, si nécessaire, mis à jour au moins une fois par an. “Incident de sécurité” désigne un événement confirmé entraînant l’utilisation, la suppression, la modification, la divulgation ou l’accès non autorisé aux Données du client.