MetCrédit est certifié SOC2
SOC signifie “les contrôles des systèmes et de l’organisation,” et les contrôles sont une série de normes conçues pour aider à mesurer la manière dont un organisme de services conduit et réglemente ses informations. L’objectif des normes SOC est de donner confiance et tranquillité d’esprit aux organisations lorsqu’elles font appel à des fournisseurs tiers. Une organisation certifiée SOC a été auditée par un expert-comptable indépendant qui a déterminé que l’entreprise a mis en place les garanties et les procédures SOC appropriées. L’audit SOC de MetCredit a été réalisé par Auditwerx.
Qu’est-ce que l’audit SOC 2 examine?
SOC 2 examine les systèmes utilisés pour fournir les services et les contrôles de ces systèmes. Ces systèmes comprennent l’infrastructure, les logiciels, les personnes, les données et les procédures. La démonstration de la maîtrise de ces critères est une attestation des contrôles de sécurité et de protection de la vie privée:
- Sécurité: Les systèmes sont protégés contre les accès non autorisés, tant physiques que logiques
- Disponibilité: le système est disponible pour fonctionner et être utilisé conformément aux engagements pris ou aux accords conclu
- Intégrité du traitement: le traitement du système est complet, précis, opportun et autorisé
- Confidentialité: les informations désignées comme confidentielles sont protégées conformément à l’engagement pris ou à l’accord conclu
- Politique de confidentialité: les informations personnelles sont collectées, utilisées, conservées, divulguées et détruites conformément aux engagements pris dans l’avis de confidentialité de l’entité et aux critères énoncés dans les principes généralement acceptés en matière de vie privée (GAPP)
Que signifie la conformité au SOC pour les clients de MetCrédit?
La conformité à SOC 2 Type 2 assure aux clients de MetCrédit que nous avons mis en place les meilleures protections et procédures de leur catégorie pour garantir la sécurité de leurs informations, y compris les politiques, plans et processus suivants.
- Politique de sécurité des employés
- Plan de continuité des activités
- Politique de contrôle des changements
- Politique de contrôle cryptographique
- Plan de gestion des incidents
- Politique de conservation et d’élimination des données
- Politique d’assurance qualité
- Politique en matière de mots de passe
- Gestion des correctifs
- Procédure de traitement des incidents
- Politique d’élimination des équipements technologiques
- Plan de reprise d’activité en cas de catastrophe
- Processus de gestion des fournisseurs
Le processus d’évaluation des risques de MetCrédit
MetCrédit dispose d’un processus d’évaluation des risques inter-fonctionnels qui fait appel à la direction et au personnel pour identifier les risques qui pourraient affecter la capacité de la société à remplir ses obligations contractuelles. Les efforts d’évaluation des risques comprennent des analyses des menaces, des probabilités d’occurrence, des impacts commerciaux potentiels et des plans d’atténuation associés.
MetCrédit utilise un processus formel d’évaluation des risques et une politique établie en matière de risques opérationnels. La politique de risque opérationnel est revue et réévaluée chaque année par l’équipe de direction. Les ressources de l’entreprise comprennent leur responsabilité dans la réduction du risque de compromission et exercent les mesures de sécurité appropriées pour protéger les systèmes et les données. Le processus de gestion des risques repose sur une analyse des risques qui comprend les domaines de risque suivants:
- Conformité
- Réputation
- Transaction
- Environnement
- Réglementation
- Technologie
Critères des services de confiance et contrôles connexes
Les catégories sécurité, disponibilité, confidentialité, intégrité du traitement et respect de la vie privée ainsi que les critères applicables aux services de confiance ont été utilisés pour évaluer l’adéquation de la conception et l’efficacité opérationnelle des contrôles. Les critères et les contrôles conçus, mis en œuvre et exploités pour y répondre garantissent le système:
- Sécurité – est protégé contre les accès non autorisés (tant physiques que logiques).
- La disponibilité – est disponible pour l’exploitation et l’utilisation.
- Confidentialité – désigne les informations personnelles comme étant confidentielles.
- Intégrité du traitement – traite toutes les transactions de manière précise et opportune.
- Confidentialité – protège les informations personnelles contre toute utilisation ou divulgation non autorisée.
Pour plus d’informations sur les services de MetCrédit et sur la manière dont nous protégeons nos clients, veuillez nous contacter.