Comscore possède une équipe de professionnels spécialisés dans la sécurité détenteurs des certifications Certified Information Security Manager (CISM) et Certified Information Systems Security Professional (CISSP). Les responsabilités de l'équipe comprennent la gestion de la vulnérabilité, la réponse aux incidents de sécurité, ainsi que la mise en œuvre et la gestion des technologies de protection de l'information.
Comscore développe, surveille et améliore les contrôles de sécurité conformément aux meilleures pratiques de la norme ISO 27001 :
Comscore a mis en place et gère plusieurs technologies de protection de l'information, selon les besoins :
Politiques de sécurité de l'information
Mettez-vous en œuvre une politique de sécurité ?
Oui, Comscore applique et met à jour différentes politiques liées à la sécurité, conformes aux meilleures pratiques de la norme ISO 27001, telles qu’indiquées ci-dessous.
Communiquez-vous les politiques de l’entreprise aux employés ?
Oui, Comscore met ses politiques à la disposition de tous les employés et contractuels et organise une formation annuelle à la sécurité qui teste les collaborateurs sur le contenu des politiques mises en œuvre.
Organisation de la sécurité de l'information
Sur quel cadre sécuritaire se fonde votre organisation ?
Comscore base son programme de sécurité sur le cadre de contrôle ISO 27001:2013. Notre programme en matière de sécurité est vérifié dans le cadre de nos audits SOX, MRC, SOC3.
Sécurité des ressources humaines
Effectuez-vous des vérifications des antécédents de vos employés et de vos contractuels ?
Oui, lorsque la loi l'autorise. Dans le cas des contractuels issus de nos agences, nous ne vérifions pas directement leurs antécédents mais nos agences effectuent leurs propres vérifications. Dans le cas des contractuels directs (hors agence) nous procédons nous-mêmes aux vérifications des antécédents.
Exigez-vous de vos employés qu'ils signent des accords de non-divulgation ?
Oui, lorsque la loi le permet et généralement avant l'embauche.
Une formation de sensibilisation à la sécurité est-elle dispensée à vos employés ?
Oui, Comscore a élaboré un programme de formation à la sensibilisation à la sécurité. Comscore sensibilise ses employés à l’importance de la sécurité par une approche multiaxiale. La formation de base est donnée par le biais d'une formation par ordinateur. Les employés suivront une formation initiale lors de leur intégration dans l’entreprise. La formation est dispensée par le système de gestion de l'apprentissage (LMS) de Comscore. Ce travail de sensibilisation est renforcé par des bulletins d'information, des affiches et des courriels. Les politiques mises en œuvre sont publiées sur un site SharePoint interne.
Gestion des actifs
Soutenez-vous un processus de gestion des actifs ?
Qui.
Existe-t-il des procédures pour l'élimination et/ou la destruction des supports physiques (par exemple, documents papier, CD, DVD, cassettes, lecteurs de disques, etc.) ?
Oui, conformément à la politique d'élimination des actifs informatiques et des médias de Comscore, qui est examinée par nos auditeurs externes.
Contrôle d'accès
Utilisez-vous des mots de passe robustes ?
Oui, les politiques appliquées par Comscore déterminent et renforcent la robustesse des mots de passe, l’historique, ainsi que l'interdiction de partager les mots de passe et les accès des utilisateurs.
Quels contrôles d'accès au réseau prenez-vous en charge ?
Nous utilisons une architecture de pare-feu multi-niveaux soutenue par un pare-feu à états. Tous les accès externes sont redirigés vers la DMZ. L'accès aux réseaux internes est restreint en fonction des applications autorisées.
Votre accès VPN à distance est-il soumis à une authentification à deux facteurs ?
Cryptographie
Cryptez-vous les données en transit ?
Oui, TLS ou IPSSEC VPN est utilisé pour protéger les données en transit. Notre politique exige le cryptage des données en transit sur un réseau public.
Cryptez-vous les données statiques ?
Oui, un cryptage complet du disque est requis pour les appareils clients. Le cryptage à partir du serveur est limité aux informations réglementées, personnelles ou sensibles. AES 256 bits crypte les données statiques.
Comment gérez-vous vos clés de chiffrement ?
Nos clés de chiffrement sont stockées dans une chambre forte qui répond aux normes FIPS et bénéficient d'une architecture redondante et assurée contre les défaillances.
Sécurité physique et environnementale
Comment vous assurez-vous que vos centres de données tiers sont sécurisés ?
Comscore effectue des examens de sécurité de ses fournisseurs de Data Centers et s’appuie également sur des audits de tierces parties indépendantes, tels que SOC 1, 2 ou 3, ou ISO 27001.
L'accès aux Data Centers des tierces parties de Comscore est-il restreint et surveillé ?
Oui, pour les Data Centers auxquels Comscore a accès (AWS n'autorise pas l'accès sur site à ses Data Centers), Comscore restreint l'accès au personnel clé et effectue des contrôles d'accès périodiques. Comscore vérifie régulièrement l'accès à ses Data Centers de tierces parties. Les contrôles d'accès physique comprennent, sans s'y limiter : une architecture de sécurité physique multi-niveaux ; un contrôle d'accès par lecteur de carte ; des mantras ; une authentification multifactorielle, y incluant code PIN et biométrie ; un contrôle et une surveillance par télévision en circuit fermé 24h/24 et 7j/7).
Sécurité des opérations
Quelles technologies opérationnelles Comscore déploie-t-il pour protéger les données ?
Nous avons mis en application et gérons plusieurs technologies de protection de l'information :
Procédez-vous à des revues périodiques des registres ?
Oui, Comscore utilise un système de gestion des incidents et des événements relatifs à la sécurité de type SIEM (Security Incident and Event Management) pour regrouper les registres et détecter les menaces et les anomalies en matière de sécurité dans notre environnement.
Sécurité des communications
Les connexions sans fil sont-elles cryptées et authentifiées ?
Oui, seuls les appareils appartenant à l'entreprise et gérés par elle sont autorisés sur le réseau local sans fil de l'entreprise. Tous les autres appareils sont restreints à un réseau invité isolé permettant uniquement l'accès à Internet. Nous utilisons le cryptage sans fil standard mis en place par l'industrie (WPA2).
Les échanges d'e-mails sont-ils cryptés ?
Oui, nos passerelles e-mail utilisent le protocole SMTP sur TLS.
Acquisition, développement et maintenance de systèmes
La sécurité est-elle prise en compte dans les processus SDLC et QA ?
Comscore utilise un processus formel de cycle de développement de la sécurité pour s'assurer que la sécurité est traitée tout au long du processus de développement. Les développeurs de Comscore suivent également une formation à la sûreté spécifique pour développeurs.
Relations avec les fournisseurs
Comment contrôlez-vous vos tierces parties/sous-traitants pour vous assurer qu'ils respectent les normes de sécurité ?
Comscore effectue un contrôle complet de la sécurité et de la confidentialité de tous ses fournisseurs. La surveillance et la vérification sont fondées sur le risque.
Exigez-vous l'utilisation d'accords de confidentialité ou de non-divulgation avec les fournisseurs ?
Gestion des incidents de sécurité
Les politiques et procédures de déclaration des incidents sont-elles en place ?
Oui, la politique et les procédures de réponse aux incidents de Comscore garantissent qu'un incident est rapidement examiné, contenu, corrigé et signalé au niveau interne et externe, selon le cas, y compris les notifications réglementaires requises, sous réserve des approbations requises. Notre processus définit formellement les rôles et responsabilités de chacun, les critères de gravité des incidents, les notifications requises, l'approche adoptée pour utiliser divers outils afin de détecter les indicateurs de compromission. Un coordinateur des incidents supervise le processus de réponse aux incidents. Une équipe de réponse aux incidents de sécurité informatique, composée d'experts en applications techniques et en infrastructure, est chargée de mener l’enquête et de remédier aux incidents.
Continuité des opérations/assistance en cas de désastre
Les services de Comscore peuvent-ils être rétablis en cas de sinistre ?
Les données sont répliquées dans l'installation de secours et/ou sauvegardées sur bande, en fonction du temps de rétablissement et des objectifs de point de reprise. Les plans de rétablissement après sinistre sont documentés et testés périodiquement au moyen d'un exercice de simulation et d'un essai parallèle annuel. Les sauvegardes comprennent une sauvegarde complète hebdomadaire et des incréments quotidiens. Les bandes sont stockées hors site.
Avez-vous un plan BC/DR ?
Oui, il est régulièrement vérifié, mis à jour et approuvé par la direction.
Conformité
Le programme de sécurité des informations de Comscore fait-il l'objet d'une révision indépendante par une tierce partie ?
Comscore certifie que son programme de sécurité est conforme aux normes ISO 27001 (sécurité) et ISO 27701 (protection de la vie privée). Notre certificat ISO est disponible sur demande (un accord mutuel de confidentialité est nécessaire pour le divulguer).
Comscore se conforme-t-il au RGPD et autres réglementations en matière de confidentialité ?
Oui, comme indiqué sur nos pages Confidentialité et RGPD
Comment Comscore protège-t-il les informations personnelles ?
Comscore protège les données IP à l'aide des techniques suivantes, en fonction des besoins de l'application : assainissement, masquage, hachage, anonymisation, pseudonymisation et cryptage (AES 256 bits).
Si vous pensez avoir trouvé une faille de sécurité ou devez signaler un problème de sécurité, veuillez envoyer le formulaire ci-dessous. Un membre de notre équipe de sécurité examinera votre problème et vous contactera. Nous vous demandons de ne pas partager ou divulguer une vulnérabilité non résolue à ou avec des tiers.