Sécurité, confidentialité et conformité de niveau entreprise
Certifications, contrôles documentés et documentation de support pour les revues de sécurité et les processus de diligence raisonnable.
Dernière mise à jour : mars 2026
Synthèse des garanties
27001
Certification ISO/IEC
RGPD
Conformité en matière de protection des données
AWS
Infrastructure certifiée
2011
Année de lancement de la plateforme
Vue d'ensemble
Vue d'ensemble du Trust Center
Le Trust Center de Peopleware couvre la conformité, la sécurité du produit et de l'infrastructure, la fiabilité, la gouvernance, la confidentialité et l'accès à la documentation de support.
Conformité
Sécurité
Fiabilité
Gouvernance
Conformité
Principales garanties de conformité
Les principales certifications, obligations réglementaires et garanties contractuelles sont disponibles pour examen.
| Domaine | Statut |
|---|---|
| ISO/IEC 27001 | Certifié Certification ISO/IEC 27001:2022 pour la fourniture, l'exploitation, la maintenance et la gestion de la plateforme Peopleware. La certification fait l'objet d'un audit annuel par un organisme de certification externe accrédité. Voir le certificat → |
| RGPD | Conforme Les obligations au titre du RGPD de l'Union européenne et du Royaume-Uni sont encadrées par un Data Processing Agreement. Un Data Protection Officer dédié est désigné et joignable à l'adresse privacy@peopleware.com. Les droits des personnes concernées et la suppression sur demande sont pris en charge. Le DPA est disponible en EN / DE / FR. Des revues annuelles de conformité sont réalisées et des audits indépendants font partie du programme de conformité. privacy@peopleware.com |
| Infrastructure AWS | Environnement d'hébergement certifié Hébergé dans des centres de données AWS certifiés ISO 27001, PCI DSS Service Provider Level 1 et SOC 2, avec redondance intégrée et contrôles de sécurité physique. |
| Sous-traitants | Contrôlés et publiés Un ensemble contrôlé de sous-traitants tiers soutient les opérations de la plateforme. Tous les fournisseurs sont soumis à des obligations de sécurité définies, à des accords de confidentialité et à des revues régulières conformément à la Supplier Security Policy. La liste complète des sous-traitants est publiée. Voir les sous-traitants → |
| Mesures techniques et organisationnelles | Documentées Les mesures techniques et organisationnelles décrivent les garanties appliquées par Peopleware pour protéger les données des clients, issues de son système de management de la sécurité de l'information certifié ISO 27001:2022. Les 93 contrôles ISO 27001:2022 ont été évalués et les contrôles applicables ont été mis en œuvre. Les TOM sont publiées à l'Annexe 2 du Data Processing Agreement. Voir les TOM → |
| Assurance cyber | Disponible sur demande L'assurance responsabilité inclut une couverture des sinistres cyber. Le certificat est fourni dans le cadre du processus de demande de documentation de sécurité. |
Sécurité
Principaux contrôles de sécurité
Peopleware applique des contrôles documentés de sécurité du produit, de la plateforme et des opérations afin de protéger les données des clients.
Gestion des identités et des accès
L'accès à tous les systèmes et à toutes les informations est interdit sauf autorisation expresse. Le contrôle d'accès fondé sur les rôles applique des profils utilisateur définis afin de régir l'accès aux systèmes. Le SSO est la méthode d'authentification privilégiée ; la 2FA ou les passkeys sont obligatoires lorsque le SSO n'est pas disponible.
Cryptographie
Toutes les données des clients sont chiffrées au repos et en transit. AWS KMS gère toutes les clés de chiffrement symétriques pour les services AWS qui stockent des données. Les données en transit sont protégées par TLS/SSL. Les sauvegardes sont chiffrées lorsque cela est possible.
Cycle de développement sécurisé
Un Secure Product Development Lifecycle encadre la sécurité tout au long du processus de développement logiciel. Les changements en production nécessitent une approbation en plusieurs étapes ; aucune personne seule ne peut effectuer un changement en production sans revue. Des contrôles automatisés de Static Application Security Testing (SAST), de Software Composition Analysis (SCA) et de Dynamic Application Security Testing (DAST) sont appliqués. La revue de code par pull request est obligatoire. Des tests d'intrusion annuels sont réalisés par des tiers.
Supervision et gestion des incidents
Les clients sont informés des violations de données à caractère personnel conformément aux obligations prévues par le RGPD.
Sauvegardes et résilience
Les sauvegardes sont créées à des intervalles définis, stockées dans plusieurs emplacements et chiffrées lorsque cela est possible. La restauration est testée chaque année pour l'application Peopleware. La Business Continuity Management policy définit le cadre plus large de préparation aux situations d'urgence, couvrant notamment l'indisponibilité du fournisseur cloud, les incidents de cybersécurité et les erreurs humaines.
Gestion des vulnérabilités
Les bases de données CVE et les avis de sécurité sont surveillés régulièrement afin d'identifier les vulnérabilités nouvellement publiées affectant les systèmes compris dans le périmètre du SMSI. Au moins un audit interne du système est réalisé chaque année. L'accès aux comptes privilégiés est revu annuellement dans le cadre du programme d'audit. Les vulnérabilités identifiées sont priorisées selon leur gravité et suivies jusqu'à leur résolution au moyen du processus d'action corrective.
Classification de l'information
Tous les actifs informationnels sont classés dans l'un des quatre niveaux suivants : Public, Interne, Restreint ou Confidentiel. La classification détermine les procédures autorisées de traitement, de stockage, de partage et d'élimination. L'effacement sécurisé est appliqué avant l'élimination d'équipements ou de supports contenant des données Restreintes ou Confidentielles, et des registres d'élimination sont conservés.
Sécurité du personnel
Tous les contrats de travail incluent des clauses de confidentialité et de protection des données. La sélection des candidats comprend la vérification de l'identité personnelle, les contrôles de références et de certificats, ainsi que l'évaluation des qualifications ; des vérifications d'antécédents sont réalisées pour les recrutements dans les régions applicables. Les nouveaux employés reçoivent un accès aux systèmes fondé sur leur rôle avant leur premier jour et doivent signer une déclaration d'acceptation du SMSI au cours de leurs deux premières semaines ouvrables.
Tests d'intrusion
Des tests d'intrusion annuels réalisés par des tiers examinent les systèmes et applications Peopleware afin d'identifier les vulnérabilités. Les résultats sont disponibles sur demande pour les prospects qualifiés et les clients.
Fiabilité
Fiabilité du service et continuité
Les engagements de disponibilité, la posture de sauvegarde, la planification de la reprise et la visibilité sur l'état du service soutiennent la résilience opérationnelle.
Disponibilité
Engagements soutenus par SLA définis dans les GTC
Sauvegardes
Créées à des intervalles définis, chiffrées et testées chaque année
RTO / RPO
Les objectifs de reprise sont définis dans la Business Continuity Management policy
Page de statut
Visibilité publique du service sur status.peopleware.com
Indicateurs opérationnels
Architecture
Architecture de haut niveau de la plateforme
Tous les flux de données sont chiffrés via TLS. Chaque tenant client est isolé logiquement.
Hébergement
La plateforme Peopleware fonctionne sur Amazon Web Services. Les centres de données sont certifiés ISO 27001, PCI DSS Service Provider Level 1 et SOC 2, avec redondance intégrée et contrôles de sécurité physique.
Flux de données et chiffrement
Toutes les données en transit sont chiffrées via TLS/SSL avec des suites de chiffrement robustes et HSTS. Les données au repos, y compris les sauvegardes, sont chiffrées, avec des clés de chiffrement stockées de manière sécurisée dans AWS KMS.
Séparation des clients
Chaque environnement client est isolé logiquement dans une architecture multi-tenant. Un identifiant unique est attribué à chaque tenant, garantissant qu'aucun accès aux données entre clients n'est possible.
Sous-traitants
Un ensemble contrôlé de sous-traitants tiers soutient les opérations de la plateforme. Tous les fournisseurs qui détiennent ou traitent des informations de Peopleware sont soumis à des obligations de sécurité définies et sont revus régulièrement conformément à la Supplier Security Policy. La liste complète est disponible publiquement.
Gouvernance
Gouvernance et supervision de la sécurité
La gouvernance de la sécurité est documentée au moyen du SMSI, de politiques formelles, de revues récurrentes et de responsabilités définies.
SMSI et audits
Le système de management de la sécurité de l'information (SMSI) couvre la fourniture, l'exploitation, la maintenance et la gestion de la plateforme Peopleware. Le SMSI est certifié ISO/IEC 27001:2022 et audité chaque année par un organisme de certification externe accrédité. Tous les documents du SMSI suivent un processus défini de revue et d'approbation. Au moins un audit interne du système est réalisé chaque année, avec une revue annuelle de l'accès aux comptes privilégiés.
Gestion des risques
Les risques sont identifiés, évalués et traités dans le cadre du SMSI. Un processus d'action corrective en neuf étapes garantit que les non-conformités sont formellement suivies, attribuées et résolues. Les bases de données CVE sont consultées régulièrement afin d'identifier les nouvelles vulnérabilités, et les décisions de traitement des risques sont documentées pour tous les contrôles ISO 27001:2022 applicables. Les propriétaires des risques sont responsables de veiller à la mise en œuvre et à la revue des plans de traitement.
Politiques et contrôles opérationnels
Peopleware maintient un ensemble formel de politiques couvrant tous les principaux domaines du SMSI. Le cadre inclut des politiques relatives au contrôle des accès, à la cryptographie, au développement sécurisé, à la gestion des incidents, à la continuité d'activité, à la sécurité des fournisseurs, à la classification de l'information, aux appareils mobiles, à l'utilisation acceptable et à la sécurité physique, entre autres.
Formation et responsabilité
Tous les employés de Peopleware doivent suivre une formation de sensibilisation à la sécurité au moins une fois par an. Les nouveaux arrivants doivent suivre le programme complet dans le cadre de leur intégration dans l'entreprise. L'achèvement est suivi de manière centralisée, un taux de complétion de 100 % est requis dans toute l'organisation et les registres de formation sont conservés dans la documentation du SMSI.
Supervision des fournisseurs
Tous les fournisseurs tiers qui créent, maintiennent, stockent, consultent, traitent ou transmettent des informations de Peopleware sont soumis à des exigences de sécurité définies. Les fournisseurs sont classés par niveau de risque (Élevé, Moyen, Faible). Tous les fournisseurs sont revus chaque année ; les fournisseurs à haut risque sont revus tous les six mois. Les exigences de sécurité sont intégrées dans les accords conclus avec les fournisseurs.
Suivi de la conformité
Peopleware réalise des revues annuelles de conformité couvrant ses obligations légales, réglementaires et contractuelles. Les audits indépendants, y compris les tests d'intrusion réalisés par des tiers, font partie du programme de conformité. Les non-conformités identifiées lors d'audits ou de revues sont traitées au moyen du processus d'action corrective.
Amélioration continue
L'amélioration continue est une exigence formelle du SMSI au titre de la norme ISO/IEC 27001:2022. Les contributions incluent les actions correctives post-incident, les constats d'audit, les revues post-urgence, les revues annuelles des politiques et les résultats des revues de direction. Les plans d'urgence sont révisés au moins une fois par an et mis à jour après tout exercice ou incident.
Confidentialité et utilisation des données
Vos données vous appartiennent
Propriété des données
Les données des clients appartiennent entièrement au client. Peopleware les traite exclusivement afin de fournir les services de la plateforme conformément au Data Processing Agreement.
Aucune IA ni entraînement de modèles
Les données des clients ne sont jamais utilisées pour entraîner des modèles de machine learning ou des systèmes d'IA. Le traitement des données est strictement limité aux finalités contractuelles de fourniture du service.
Conservation et suppression
Les procédures de conservation et de suppression respectent les exigences du RGPD. L'effacement sécurisé est appliqué avant l'élimination d'équipements ou de supports. Les revues annuelles de conformité couvrent les obligations en matière de protection des données.
Accès à la documentation
Documentation de sécurité et éléments justificatifs
La documentation de support est disponible via un processus de demande contrôlé. Les documents détaillés destinés à la diligence raisonnable sont généralement fournis dans un délai d'un jour ouvrable.
Pour les clients existants : contactez directement votre Customer Success Manager. Pour signaler un incident de sécurité présumé, ouvrez un ticket de support haute priorité via le processus de support habituel.
Certificat ISO 27001
Document de certification ISO/IEC 27001:2022 en vigueur
Voir le certificat →Liste des sous-traitants
Liste complète des sous-traitants tiers
Voir les sous-traitants →Conditions générales
Engagements contractuels et objectif de disponibilité
Voir les GTC →Synthèse du test d'intrusion
Résultats annuels des tests d'intrusion réalisés par des tiers
Vue d'ensemble de la continuité d'activité
Synthèse de la Business Continuity Management policy et des plans d'urgence
Certificat d'assurance cyber
Certificat de couverture en vigueur
Statement of Applicability
Liste complète des contrôles ISO/IEC 27001:2022 avec statut de mise en œuvre
Information Security Policy
Politique SMSI de haut niveau couvrant le périmètre, les objectifs et l'engagement de la direction
Incident Management Policy
Vue d'ensemble des procédures de classification, d'escalade et de notification des incidents