Docusign : réglementation, normes de gouvernance des données, sécurité et confidentialité
Fournir une gouvernance solide des données par le biais de politiques ancrées dans une compréhension des lois et des réglementations.
Chaque fournisseur de signature électronique s'efforce de sécuriser les données confidentielles des clients tout au long du processus de signature électronique et contribue à garantir que les données restent exactes, complètes et constamment disponibles pour les personnes autorisées à y accéder. Mais ce qui les distingue tous, c'est leur approche de la gouvernance des données.
L'engagement de Docusign et son investissement continu et significatif dans la protection des données des clients s'étend à tous les environnements d'exploitation à travers le Cloud d'accord Docusign. En fait, la sécurité de l'information et la protection de la vie privée sont dans notre ADN et sont ancrées dans notre personnel, nos processus et nos technologies - à l'échelle mondiale.
Notre approche est simple : chaque employé est responsable de la sécurité des informations, y compris de leur protection :
Les actifs d'information appartenant à Docusign
Ressources d'information des clients et des partenaires
L'infrastructure technologique sous-jacente et les données générées, traitées et stockées dans les environnements Docusign..
Cet article détaille l'engagement de Docusign à fournir une gouvernance solide des données par le biais de politiques et de capacités spécifiques, ancrées dans une compréhension des lois, des réglementations, des normes et des meilleures pratiques.
Des réglementations mondiales aux engagements contractuels
Des capacités de sécurité efficaces découlent d'un ensemble complet de facteurs qui influencent l'approche de la sécurité, des lois et réglementations gouvernementales les plus larges aux accords contractuels spécifiques. Les normes, politiques et procédures de gouvernance des données de Docusign s'appuient sur une bonne compréhension de ces facteurs, ce qui se traduit par des capacités de sécurité et de confidentialité et un état d'esprit général en matière de sécurité qui sont intégrés dans tout ce que l'entreprise fait pour cultiver la confiance continue des clients.
Normes et lignes directrices mondiales
Docusign travaille avec diligence pour se tenir au courant des réglementations et des cadres de sécurité et de confidentialité dans le monde entier. En surveillant continuellement le paysage de la sécurité et de la vie privée, nous pouvons modifier notre approche de la gouvernance des données pour rester en phase et se conformer aux dernières normes et directives, notamment :
Règlement général sur la protection des données (RGPD)
Le GDPR représente le plus important changement de réglementation en matière de protection des données depuis plus de 20 ans. Il vise à renforcer la protection des données des personnes physiques au sein de l'Union européenne (UE), en leur donnant davantage voix au chapitre sur ce que les entreprises peuvent faire avec les données personnelles qui ont été collectées sur elles et en créant une base uniforme de règles de protection des données pour les entreprises qui traitent des données personnelles de l'UE.
En tant qu'organisation axée sur la confiance et le traitement minutieux des données des clients, Docusign démontre son engagement envers la vie privée de plusieurs façons. Notre forte culture de conformité et nos solides garanties de sécurité, qui se reflètent dans nos certifications ISO 27001, 27017 et 27018, constituent une base solide pour les efforts de conformité actuels de GDPR. En particulier, la norme ISO 27018 démontre l'alignement avec "les objectifs de contrôle, les contrôles et les lignes directrices communément acceptés pour la mise en œuvre de mesures visant à protéger les informations personnellement identifiables (IPI) conformément aux principes de protection de la vie privée de la norme ISO/IEC 29100 pour l'environnement informatique public en nuage". En outre, Docusign fonctionne selon des règles d'entreprise contraignantes (BCR) approuvées par une autorité de protection des données de l'UE, que seul un nombre limité d'entreprises ont atteint.
Loi californienne sur la protection de la vie privée des consommateurs (CCPA)
La CCPA est une loi sur la vie privée spécifique à la Californie qui oblige les organisations à protéger les informations personnelles des résidents californiens et établit des droits individuels et des obligations associées similaires à ceux de la GDPR. Il s'agit de la première législation complète sur la protection de la vie privée spécifique à un État des États-Unis, ce qui témoigne d'une attention réglementaire croissante sur les pratiques de protection des données. L'engagement de Docusign envers la protection de la vie privée conformément à l'ACFPC en tant que capacité critique démontre encore une fois notre engagement envers la protection de la vie privée malgré un paysage réglementaire de protection des données en évolution.
Programme fédéral de gestion des risques et des autorisations (FedRAMP) des États-Unis (U.S.)
FedRAMP est une approche standardisée pour l'évaluation, le contrôle et l'autorisation des produits et services de cloud computing pour les agences fédérales américaines. Docusign a reçu de nombreuses autorisations des agences fédérales américaines et est listé sur la place de marché FedRAMP du gouvernement fédéral américain pour les services de signature électronique Docusign et de gestion du cycle de vie des contrats (CLM).
Département américain de la défense (DoD) Niveau d'impact 4 (IL 4)
Le DoD américain dispose d'un programme équivalent à la FedRAMP, IL4, pour standardiser l'approche d'évaluation, de contrôle et d'autorisation des produits et services de cloud computing pour les agences militaires américaines. Docusign a terminé l'évaluation des services de signature électronique et de CLM Docusign.
Centre japonais pour les systèmes d'information de l'industrie financière (FISC)
Le FISC élabore des directives de sécurité pour les systèmes d'information, qui sont suivies par la plupart des institutions financières au Japon. Ces directives portent notamment sur les mesures de sécurité à mettre en place lors de la création d'architectures de systèmes, l'audit des contrôles des systèmes informatiques, les plans d'urgence et l'élaboration de politiques et de procédures de sécurité. Docusign est membre de la FISC et est conforme aux directives de sécurité de la FISC.
Programme de reconnaissance de la vie privée (PRP) de la Coopération économique Asie-Pacifique (APEC)
Docusign a obtenu la certification du système PRP de l'APEC. L'APEC a établi des règles et un cadre de protection transfrontalière de la vie privée (CBPR) pour protéger la vie privée et la sécurité des informations personnelles au repos et en transit. Un auditeur indépendant, Schellman Group, a évalué nos capacités et nous a accordé cette certification pour démontrer la conformité avec le CBPR et le Framework.
Découvrez aussi notre livre blanc >>> Quatre stratégies pour assurer la confidentialité des données
Normes de meilleures pratiques de l'industrie
Quel que soit le secteur, la nécessité d'une gouvernance des données a conduit à la création de meilleures pratiques et de normes pour guider les entreprises dans leur stratégie et leurs capacités en matière de sécurité et de confidentialité. La preuve de l'engagement de Docusign dans la gouvernance des données à tous les niveaux est fournie par les certifications et attestations de conformité que nous avons obtenues, notamment :
ISO 27001:2013, 27017:2015, 27018:2014
SOC 1:Type 2, SOC 2:Type 2
PCI DSS
Programme CSA STAR
Accords contractuels avec les clients
Docusign fournit une assurance aux clients sur la gouvernance des données pour la confidentialité et la sécurité pour tous nos produits et services, qui sont décrits dans les accords contractuels de Docusign.
Une approche de la protection des données des clients par couches et par défense en profondeur
Pour mettre en œuvre une approche efficace et à plusieurs niveaux de la gouvernance des données, Docusign évalue les exigences collectives du secteur sous de multiples perspectives. Nous avons également des équipes dédiées qui revoient et évaluent continuellement notre position en matière de gouvernance des données afin de s'assurer que les besoins des clients sont satisfaits et que les nouveaux risques sont atténués de manière adéquate. Toutes les équipes collaborent pour assurer l'alignement des pratiques de sécurité et de confidentialité, en fournissant des mises à jour régulières au personnel exécutif de Docusign. Ces équipes sont composées d'experts en la matière provenant de certaines des organisations les plus conscientes de la sécurité dans le monde, y compris des institutions financières multinationales et des agences d'application de la loi aux États-Unis et au Royaume-Uni.
Conclusion
L'examen et l'analyse d'un large éventail de considérations allant des réglementations mondiales aux engagements contractuels contribuent de manière significative à l'approche de Docusign en matière de sécurité et de confidentialité. Des équipes dédiées se concentrent sur la garantie de confidentialité, d'intégrité, de disponibilité et de respect de la vie privée que les réglementations imposent et que les clients attendent, afin que les entreprises puissent s'engager dans la transformation numérique en toute confiance.
Pour en savoir plus, consultez notre livre blanc : How Data Governance Regulations and Standards Shape Docusign’s Rigorous Security and Privacy Practices ou contactez-nous pour parler à un expert.
Article de Stephanie Liais, Senior Product Marketing Manager