Les essentiels de la confidentialité et de la sécurité des données dans ComplyAdvantage Mesh

Aucun professionnel de la conformité ne se lève le matin en ayant pour objectif d’évaluer les références de ses fournisseurs RegTech en termes de confidentialité et de sécurité. Et pourtant, s’assurer du stockage correct des données et de l’application de procédures de gouvernance des données à la fois claires et efficaces est une condition sine qua non avant de pouvoir entamer un partenariat de gestion des risques de criminalité financière.

Cet article décrit l’impératif de confidentialité et de sécurité des données qui est au cœur de la plateforme ComplyAdvantage Mesh. Il donne une vue d’ensemble de nos références en matière de sécurité que les responsables de la conformité peuvent partager avec les parties prenantes impliquées dans la sécurité IT et de l’information. Ces mêmes responsables pourront ainsi se concentrer sur les principales fonctionnalités et la valeur ajoutée offertes par ComplyAdvantage pour les aider à renforcer l’efficacité et l’efficience de leur programme de conformité. 

Ce contenu s’inscrit dans le cadre d’une série d’articles sur les fonctionnalités de la plateforme ComplyAdvantage Mesh. Plutôt qu’une simple solution dédiée à la confidentialité et à la sécurité des données, Mesh fournit une vue à 360 degrés des risques depuis une seule et même plateforme. Les liens vers les autres articles de cette série sont disponibles en fin d’article.

Le rôle de la confidentialité et de la sécurité des données pour la conformité financière

Même si un fournisseur RegTech devra satisfaire à des contraintes majeures en matière de confidentialité et de sécurité des données afin de pouvoir proposer des services crédibles à ses clients, la nature et l’historique de sa pile technologique jouent également un rôle important pour garantir une protection optimale des données.

Concernant la pile logicielle native Cloud de ComplyAdvantage, elle s’exécute essentiellement dans des conteneurs éphémères qui sont régulièrement recyclés et mis à jour, ce qui les rend plus difficiles à attaquer. Outre des procédures d’automatisation efficaces, nous disposons d’une équipe InfoSec dédiée qui dispense des formations à la sécurité à nos ingénieurs et qui passe régulièrement nos processus en revue.

Réglementations LCB concernant la confidentialité et la sécurité des données 

Tandis que les réglementations pour lutter contre le blanchiment d’argent (LCB) sont généralement définies au niveau national ou par une entité régionale telle que l’Union européenne, les normes en matière de sécurité et de confidentialité des données ont souvent une envergure internationale. Les principales normes auxquelles de nombreux établissements chercheront à se conformer sont les suivantes :

• ISO 27001 : Cette norme de sécurité internationale fournit un cadre pour « établir, mettre en œuvre, exploiter, surveiller, passer en revue, maintenir et améliorer un système de gestion de la sécurité de l’information ». Elle est destinée à aider les entreprises à protéger leurs principaux actifs informationnels et à se conformer aux exigences légales et réglementaires.
• SOC 2 : Même si les normes ISO 27001 et SOC 2 se recoupent, certains analystes estiment que SOC 2 adopte une approche plus souple qui s’articule autour des cinq critères majeurs que sont la sécurité, la disponibilité, l’intégrité du traitement, la confidentialité et la protection de la vie privée. 
• RGPD : Le Règlement général sur la protection des données (RGPD) est une loi édictée par l’UE, même si son champ d’application et l’étendue de la couverture de l’Union impactent les entreprises du monde entier. Ce règlement s’applique aussi aux entreprises qui traitent les données des citoyens de l’UE, même si le processeur des données n’est pas implanté en Europe. Le RGPD fournit des recommandations complètes sur la manière de traiter les données personnelles et sur le consentement que les entreprises doivent obtenir avant d’utiliser ces données. Il faut garder à l’esprit que les amendes infligées pour non-conformité peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise, le montant le plus élevé étant retenu pour infliger la pénalité.
• OAuth 2.0 : Abréviation de « Open Authorization », cette norme autorise un site Web ou une application à accéder à des ressources hébergées par d’autres applications Web pour le compte d’un utilisateur. Il s’agit de la norme du marché pour la délégation d’autorisation.
  

Comment ComplyAdvantage Mesh gère la sécurité et confidentialité des données

La plateforme Mesh satisfait à ces normes de sécurité majeures et d’envergure mondiale, ce qui fournit un certain nombre de certifications et de fonctionnalités parmi lesquelles :

• La conformité à ISO27001
• La conformité à SOCII
• L’intégration d’OAuth2 à notre API REST
• Des solutions et des pratiques de traitement des données conformes au RGPD
• Le chiffrement des données au repos
• Le chiffrement des données en transit
• La possibilité de séparer et d’isoler les données par région
• L’authentification de l’identité
• L’authentification unique (SSO) via différents fournisseurs d’identité
• Des mots de passe configurables
• Des permissions selon le profil qui sont configurables

Découvrez-en plus sur ComplyAdvantage Mesh en lisant les autres articles de la série :

• Gestion des dossiers
• Renseignements et données
• Évaluation des risques
• Intégration du logiciel