Security_Banner

Sécurité

Le Cloud ne vous inspire pas confiance ?
Nous sommes là pour vous rassurer. Voici comment nous protégeons vos données.
services

La confiance est notre première priorité

Nous sommes attentifs à la protection de vos données

En tant que fournisseur leader de solutions SaaS (Software as a Service) depuis plus de 15 ans, nous savons que l'adoption de solutions de type cloud n'est pas sans soulever certaines inquiétudes. Depuis toutes ces années, nous faisons tout pour vous offrir la meilleure qualité de service avec une sécurité optimale. Cela devrait vous rassurer ! Certes, le risque zéro n'existe pas en matière de protection des données, mais nous mettons tout en œuvre chaque jour pour dépasser vos attentes.

Nous sommes convaincus que la confiance passe par la transparence. Aussi, en tant qu'équipe chargée de votre sécurité, c'est avec plaisir que nous acceptons de vous expliquer les mesures de protection que nous avons choisies, comment nous les gérons et comment nous nous conformons aux réglementations internationales. Nous vous invitons à poursuivre la lecture pour en apprendre plus sur nos modèles de sécurité et ce qu'ils peuvent vous apporter. Merci de votre attention !

Modèle de sécurité

La sécurité intégrée à toutes nos activités

Notre modèle de sécurité s'appuie sur la longue expérience de LivePerson : des années d'expérience des opérations SaaS, nos relations étroites avec les équipes de sécurité de nos clients, la fréquentation d'auditeurs lors d'évaluations et nos nombreux contacts dans la communauté de la sécurité. Ces inspirations nous guident dans l'amélioration de notre plate-forme pour offrir systématiquement les plus hauts niveaux de sécurité. Notre modèle nous permet de vous protéger sur plusieurs fronts : sécurité physique, gouvernance, opérations, sécurité applicative, sécurité intégrée et continuité de l'activité.

Voici quelques-unes des fonctions de sécurité intégrées à notre plate-forme:

  • Option de chiffrement AES (Advanced Encryption Standard) des données inutilisées
  • Masquage des données sensibles et obfuscation
  • Politique de connexion contrôlées par le client (complexité des mots de passe, listes des accès autorisés par IP)
  • Visibilité totale des actions et des opérations via des mécanismes de consignation et des pistes d'audit
  • Possibilité de restriction des accès aux données et informations des comptes LivePerson

Programmes de conformité

Venons-en aux détails pratiques. Le programme de conformité est un composant important de notre offre de sécurité qui vous permet de confirmer le niveau de sécurité de l'information en fonction des données fournies par LivePerson. Ce vaste programme ne cesse de se développer pour refléter la diversité des besoins ; les clients de LivePerson venant de nombreux secteurs d’activités et étant soumis à des normes différentes.

SSAE 16 SOC2 (anciennement SAS70)

Depuis 2008, LivePerson se conforme aux obligations de reporting de l'American Institute of Certified Public Accountants (AICPA), l'association professionnelle américaine des experts comptables. Nous nous soumettons à des audits annuels de tous les aspects de nos opérations commerciales et de production, y compris de nos centres informatiques.

ISO 27001

LivePerson est certifié ISO 27001 depuis 2012. C'est la garantie de sécurité informatique la plus haute à ce jour dans le monde et la garantie pour nos clients que LivePerson respecte les normes de sécurité internationales les plus strictes.

PCI DSS 3.0

Dans le cadre de nos efforts pour vous permettre d'obtenir les données de carte de paiement de vos clients en toute sécurité et fiabilité, LivePerson est certifiée PCI-DSS 3.0 pour son système de facturation et son application de chat avec formulaire sécurisé ; certification qui garantit la sécurité de vos pratiques vis-à-vis des titulaires de cartes. L'organisation de standardisation Payment Card Industry Security Standards Council (PCI SSC) vérifie que LivePerson impose des contrôles stricts sur les données des propriétaires de cartes, en tant que commerçant et en tant que fournisseur de services.

Safe Harbor

Puisque nous avons des clients aux États-Unis et dans l'Union européenne, LivePerson détient la certification Safe Harbor du ministère américain du commerce pour l'UE.

SOX

En tant que société cotée au NASDAQ, LivePerson se conforme aux obligations du certificat SOX. Des audits annuels de tous les aspects de notre activité liés à la finance et à la sécurité vérifient que nous remplissons tous les critères, que nous dépassons même souvent.

HIPAA par contrat BAA (Business Associate Agreement)

Nos clients du secteur de la santé doivent se conformer aux lois HIPAA. En tant que fournisseur de services, LivePerson conclut des contrats BAA (business associate agreement) avec les organismes relevant de HIPAA, qui certifient que LivePerson protège les informations personnelles de santé conformément aux directives HIPAA.

SkyHigh Enterprise Ready

Depuis peu, LivePerson se conforme à SkyHigh Enterprise Ready. Ce certificat garantit à nos clients que nous leur apportons les meilleurs gages de sécurité en tant que fournisseur de Cloud.

Test de pénétration

LivePerson s'engage à vous faire profiter des meilleures applications, les plus sécurisées. C'est pourquoi LivePerson intègre la sécurité à toutes les étapes du développement de logiciels selon les principes d'un programme SSDLC (Secure Software Development Life Cycle).

Ce programme se décline en plusieurs étapes:

  • Conception et planification: l'équipe de sécurité prend part à tous les projets importants et s'implique activement dans le processus de conception.
  • Formation et sensibilisation: les équipes R&D et QA suivent des formations sur la sécurité de programmation et le piratage éthique dispensées par des experts de la sécurité des applications d'une société tierce spécialisée dans le domaine.
  • Analyse de code statique: des professionnels seniors de R&D opèrent des contrôles du code selon les recommandations OWASP et un scan/une analyse de code statique automatisée est effectuée au moment du processus de contrôle de version, avec l'outil Checkmarx.
  • Analyse dynamique: différents scénarios sont testés au moyen d'outils dynamiques (comme PortSwigger BurpSuite).
  • Contrôles de sécurité de routine: des contrôles de vulnérabilité de la plate-forme sont effectués régulièrement au moyen du service de scan McAfee Secure.
  • Tests de pénétration d'applications: un tiers indépendant teste chaque version importante (généralement deux fois par an). La lettre d'opinion du résumé analytique peut être consultée ici.
  • Tests indépendants des clients: Sous condition d'une coordination appropriée avec LivePerson et d'un accord écrit, , nous invitons les clients à procéder eux-mêmes à des tests de pénétration et à effectuer des analyses de vulnérabilité. Rien que l'an dernier, LivePerson s'est soumis à 30 tests de pénétration provenant d'entreprises clientes et aux évaluations et contrôles raisonnables de plus de 300 clients. Nous suivons une démarche d'amélioration continue et cela se voit.

Infrastructure

Une infrastructure sûre, stable et fiable

En tant que fournisseur de solutions SaaS leader, LivePerson mesure l'importance de protéger l'infrastructure à tous les niveaux, avec les meilleures technologies de pointe.

  • Les données sont stockées dans des partitions de telle façon que chaque client n'a accès qu'à ses propres données
  • Nous utilisons des serveurs à la sécurité renforcée
  • Une équipe dédiée se charge de la surveillance 24h/24 et 7j/7 et peut intervenir à tout moment en cas d'incident
  • Nous mettons en place des mesures de lutte contre les attaques de déni de service distribué (DDoS)
  • Nous effectuons des sauvegardes régulières et l'environnement est entièrement redondant
  • La planification complète de la continuité de l'activité est en place

Locaux

La sécurité physique des locaux est assurée

LivePerson’s datacenter facilities adhere to the highest security standards.

  • Six centres informatiques de pointe aux États-Unis et dans l'UE
    • Trois sites principaux
    • Deux sites de reprise après sinistre
  • Cages privées réservées à LivePerson
  • Contrôle total de LivePerson sur les opérations (le personnel des centres informatiques n'a aucun droit d'accès aux informations)
  • Contrôle d'accès biométrique bifactoriel
  • Locaux banalisés
  • Vidéosurveillance en circuit fermé (CCTV) et gardiens 24h/24 et 7j/7

Conseils et ressources

Voici quelques ressources et conseils utiles pour vous aider à protéger votre compte LivePerson

  • Conseils sur la configuration des comptes : LivePerson recommande d'utiliser l'ensemble complet d'outils de sécurité fourni avec votre compte
  • Stratégie de mot de passe
    • Définir « Nombre minimal de caractères » à 8
    • Définir « Nombre maximal de caractères séquentiels » à 2
    • Définir « Nombre maximal d'occurrences du même caractère » à 2
    • Activer l'obligation de saisir des caractères alphabétiques
    • Activer l'obligation de saisir des caractères numériques
    • Activer l'obligation de saisir des caractères spéciaux
    • Activer la restriction sur les mots de passe les plus fréquemment employés.
  • Éviter la fraude
    • Rechercher un certificat LivePerson valide dans l'URL

LivePerson ne vous demandera jamais de divulguer votre mot de passe par téléphone, e-mail ou tchat.

Security_Nav