SÉCURITÉ

To view this page in English, visit www.3playmedia.com/security.

VUE D’ENSEMBLE

La sécurité est un élément essentiel de notre activité et nous nous efforçons d’atteindre les objectifs suivants :

  • Assurer que les données de la clientèle sont chiffrées et inaccessibles pour les autres clients et le grand public.
  • Assurer que, seul du personnel de 3Play Media a accès aux données de la clientèle, et uniquement pour effectuer le travail requis.
  • Prévenir la perte ou la corruption des données de la clientèle.
  • Maintien d’une infrastructure « redondante », avec 99,9 % de temps exploitable.
  • Fournir des notifications rapides pendant les moments d’inactivités.
  • Fournir à notre personnel la formation continue qui convient sur le bon fonctionnement de nos systèmes et les meilleures pratiques en matière de sécurité et de confidentialité.

En réalisant un rapport d’audit SOC 2, 3Play Media démontre que nous sommes capables d’atteindre les normes de sécurité que nos clients ont besoin de voir pour transférer leurs données en toute confiance toute confiance, pour le traitement.

Nous sommes désormais conformes à la norme :

  • SÉCURITÉ : Nos informations et systèmes sont protégés contre l’accès non autorisé, la divulgation non autorisée d’informations et les dommages aux systèmes qui pourraient compromettre la disponibilité, l’intégrité, la confidentialité et le caractère des informations ou des systèmes et affecter la capacité de l’entité à atteindre ses objectifs.

Nos politiques et procédures en matière de sécurité sont examinées en permanence par le comité de sécurité de 3Play Media, qui est également chargé de l’application de la loi. L’ensemble du personnel a désormais signé des accords de confidentialité. Consultez ici notre politique en matière de protection de la vie privée.

Stockage, transmission des données et accès aux données

L’ensemble des données est chiffré, tant pendant la phase de repos que lors des sauvegardes. Les données des applications en ligne sont stockées dans une réplique de base de données sur les serveurs d’Amazon Web Services (AWS). Toutes les interactions avec la base de données sont enregistrées et mises à disposition de l’audit pendant 30 jours.

Conservation et élimination des données

Les données de sous-titrage et de transcription sont conservées pour une durée contractuelle minimale de 6 ans. Les clients peuvent nous demander en tout temps de purger de nos systèmes n’importe lesquelles de leurs données : leurs flux vidéo ou audio en continu et leurs données de transcription ou de sous-titrage. Nous prenons également en charge la purge périodique de ces données selon un calendrier précisé par le client. Nous conservons dans notre base certaines métadonnées « patrimoniales » de nos clients, pour des raisons fiscales ou comptables. Nous avons aussi la possibilité de purger les fichiers sources audio et vidéo du système 180 jours après la production du fichier.

Sauvegardes

Nous avons 3 répliques complètes de l’intégralité de notre base de données, à moins d’une seconde de délai de réplication l’une de l’autre sur le plan physique. Cette réplication passe par des canaux chiffrés.

Transmission

Les données audio, vidéo et de transcription/sous-titrage sont transmises dans toute l’application à l’aide des protocoles SSL/TLS, AES-256 ou plus récents. Pour le téléversement FTP, nous utilisons du FTP sur SSL/TLS.

Accès client

Le système 3Play Media prend en charge les privilèges d’administration, de services et d’utilisateurs multiples. L’accès aux données et aux autorisations peut être personnalisé pour chaque utilisateur. Nous prenons en charge également les exigences de complexité de mot de passe indiquées par le client. Tous les mots de passe des utilisateurs sont stockés, cryptés et transmis à l’aide du protocole SSL/TLS. Nous avons un système pour aider les utilisateurs à récupérer les mots de passe perdus.

Accès du personnel de 3Play Media.

Seul le personnel de 3Play Media a accès aux données de la clientèle, et uniquement pour effectuer le travail requis. Notre personnel a accès au support au moment où il travaille dessus Une fois qu’une tâche est terminée, l’accès est retiré. Lorsqu’il travaille sur des données, notre personnel ne copie pas les informations sur son disque dur. Les données sont traitées par une interface Web et envoyées directement au serveur 3Play Media où elles sont stockées sur chaque jeu de sauvegarde.

Redondance et fiabilité du temps exploitable

Fiabilité du temps exploitable

Notre objectif : 99,9 % de temps exploitable, en comptant les interruptions planifiées. Nous avons mis en place une page Web qui affiche le statut du système et son historique de disponibilité.

Redondance géographique

Pour une fiabilité maximale, nous disposons d’une redondance géographique pour nos serveurs, bases de données et stockage de fichiers. Notre environnement de production principal est hébergé sur les serveurs « AWS Région 1 », en Virginie, aux États-Unis. Nous maintenons également un environnement de réplication instantanée chez « AWS Région 2 », dans l’Ohio, aux États-Unis. Si l’environnement de la région 1 devenait indisponible, nous pourrions passer à la région 2 avec très peu d’interruption.

Stratégie de défense approfondie

Encore plus de robustesse grâce aux composants suivants :

  • Notre application est configurée avec plusieurs instances de serveur Web dont la charge est équilibrée, et ces serveurs peuvent passer en mode autonome si nécessaire. Les deux instances de l’application se trouvent dans d’autres zones de disponibilité d’AWS.
  • Notre application dispose d’une architecture d’instances de base de données « maître/esclave », l’esclave répliquant instantanément le statut de la base maîtresse. L’instance maîtresse est dans une zone de disponibilité d’AWS différente de celle de l’instance esclave.
  • Toutes les ressources multimédias sont entièrement répliquées dans deux régions d’AWS indépendantes l’une de l’autre avec un basculement instantané et transparent et une granularité en fonction de la ressource.

Plan de continuité de l’activité

Dans l’éventualité peu probable d’une panne grave, nous pouvons lancer un plan de continuité de l’activité. Il est conçu pour restaurer les fonctionnalités de base en moins de 30 minutes et les fonctionnalités complètes en moins de 2 heures.

Notifications des temps d’arrêt

Notre objectif est de fournir des notifications rapides et claires pendant les temps d’arrêt. Nous avisons les clients au moins une semaine avant lorsqu’un temps d’arrêt est programmé. Nous essayons d’être les plus prudents possible lors de l’estimation de la période d’indisponibilité. Si le temps d’arrêt est reporté, annulé ou plus long que prévu, nous en informons immédiatement les clients. Une fois le temps d’arrêt terminé, nous envoyons une notification pour indiquer que « tout est rentré dans l’ordre ».

HIPAA

3Play Media est conforme à la législation « HIPAA » et nous sommes soumis chaque année à des tests d’intrusion. Tout le personnel reste vigilant pour protéger la vie privée et la sécurité sous toutes ses formes, y compris pour les formulaires imprimés, vocaux et électroniques. Tout le personnel reste vigilant pour protéger la vie privée et la sécurité sous toutes ses formes, y compris pour les formulaires imprimés, vocaux et électroniques. Nous veillons à ce que nos partenaires commerciaux et nos sous-traitants chargés des RMP se conforment pleinement à la loi HIPAA et qu’ils passent des accords de partenariat commercial lorsque c’est nécessaire. Nous disposons également d’un plan de continuité des activités. Pour respecter la conformité à l’HIPAA, nous observons les mesures de protection administratives et les pratiques suivantes :

  • Protection des RMP contre une divulgation accidentelle sur internet.
  • Interdiction des divulgations accidentelles de RMP dans les lieux physiques, les discussions à ce sujet dans la cuisine du siège par exemple.
  • En cas de doutes, les employés savent, grâce à la formation, qu’ils doivent poser des questions à l’agent de protection de la vie privée
  • Politiques de sécurité de mots de passe « forts ».
  • Transmission chiffrée des données.
  • Politiques strictes en matière de sécurité du courriel
  • Pratiques sécuritaires de navigation Web 
  • Réseau sécurisé
  • Utilisation de logiciels et de matériels sécurisés.
  • Sécurité de l’immeuble de nos bureaux et de nos locaux physiques.
  • Politiques sur les appareils des employés, avec notamment le verrouillage d’écran.
  • Conformité de la conservation et l’élimination des RMP.
  • L’accès aux transcriptions est réservé aux employés qui en ont besoin.
  • Nous travaillons avec les clients pour restreindre les RMP qu’ils nous transmettent au strict nécessaire.

Collecte et usage des données

Traitement des cartes de crédit

Nos paiements sécurisés par carte de crédit passent par une entreprise externe de traitement des paiements. Nous gardons un numéro de code indépendant qui identifie chaque compte de paiement traité par l’entreprise externe. Ce code ne peut pas être utilisé pour identifier le compte de manière autonome et est envoyé à l’entreprise de paiement pour initialiser le versement. 3Play Media ne voit et ne conserve aucune information de carte de crédit.

Fichiers témoins

Les fichiers témoins sont utilisés pour identifier un utilisateur par les données de sa session de navigation en utilisant une chaîne non identifiable qui n’a de sens que pour le serveur 3Play Media et qui est inintelligible pour un humain qui le lirait. Les informations personnelles en texte clair comme le courriel ou le nom de la personne n’apparaissent pas sur le fichier témoin. Les fichiers témoins d’une session expirent au bout d’un mois au plus tard.

Collecte des données

Nous ne collectons pas d’autres informations que celles téléversées par les utilisateurs sous forme audio/vidéo et transcrites en texte.

Services de marketing externes

Nous ne partageons ni ne vendons aucune des informations que nous recueillons à des spécialistes en marketing externes. Pour de plus amples renseignements, veuillez consulter notre politique de protection de la vie privée.

Gouvernance

Protection de la vie privée et formation du personnel

Les membres de notre personnel sont des résidents des États-Unis ayant signé des accords de confidentialité avec 3Play Media. Notre personnel est éduqué et formé à l’exécution des systèmes et observe des pratiques d’excellence en matière de sécurité et de confidentialité.

Protocole en cas d’infraction en matière de sécurité

En cas de brèche dans la sécurité informatique, nous suivons des procédures pour limiter le préjudice et contacter immédiatement toutes les parties concernées.

Lois applicables

Nous chiffrons les adresses courriel et sommes conformes à la législation CAN-SPAM.