Nous nous conformons à de nombreuses normes de sécurité internationales reconnues.
Des contrôles proactifs et fondés sur les risques protègent la confidentialité, l'intégrité et la disponibilité des données de nos clients et utilisateurs. Nous respectons les normes actuelles et nouvelles de l'industrie en maintenant des certifications à jour auprès des principaux organismes de réglementation.
Certifications et attestations
FedRAMP
Certification de conformité à l'échelle du gouvernement fédéral des États-Unis pour les fournisseurs de services en nuage
Le Federal Risk and Authorization Management Program (FedRAMP) est un programme du gouvernement fédéral américain qui propose une approche normalisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue des produits et services en nuage. FedRAMP impose un ensemble de processus de base pour assurer une sécurité efficace et reproductible des services en nuage qui contiennent des données du gouvernement fédéral. OCLC dispose d'une autorisation d'exploitation (ATO) FedRAMP Li-SAAS (solutions SaaS à faible impact).
StateRAMP
Certification de conformité à l'échelle des États et local des États-Unis pour les fournisseurs de services en nuage
Le State Risk and Authorization Management Program (StateRAMP) est un programme du gouvernement national et local américain qui propose une approche normalisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue des produits et services en nuage. StateRAMP impose un ensemble de normes de sécurité reposant sur les contrôles de sécurité et de confidentialité des organisations et des systèmes d'information établis par la publication spéciale 800-53 du National Institute of Standards and Technology (NIST). OCLC, membre inscrit sur la liste des fournisseurs autorisés StateRAMP, dispose d'un statut de sécurité « Authorized ».
ISO/IEC 27001
La norme de systèmes de gestion de la sécurité de l'information ISO/IEC 27001 spécifie officiellement les exigences relatives aux systèmes de gestion de la sécurité de l'information (SMSI), qui visent à assurer la sécurité de l'information dans le cadre d'un contrôle de gestion explicite. Elle établit un ensemble d'exigences régissant la mise en œuvre, la surveillance et l'amélioration continue des systèmes SMSI. Cette certification aide OCLC à respecter de nombreuses exigences réglementaires et légales relatives à la sécurité de l'information.
ISO/IEC 27018
La norme de protection des informations personnelles identifiables (PII) ISO/IEC 27018 est un code international de bonnes pratiques pour la protection des renseignements personnels dans le nuage. Basée sur les réglementations européennes de protection des données, cette norme fournit aux fournisseurs de services en nuage, qui agissent en tant que processeurs d'informations personnelles identifiables (PII), des instructions spécifiques en matière d'évaluation des risques et de mise en œuvre de contrôles de pointe pour la protection de ces informations.
ISO/IEC 27701
La norme pour la gestion de la protection des renseignements personnels ISO/IEC 27701 est un cadre international pour la protection des informations personnelles identifiables. Cette norme couvre les exigences en matière de protection des données, comme le Règlement général sur la protection des données (RGPD).
SOC 2
Norme de sécurité, de disponibilité, d'intégrité du traitement et de confidentialité
Le rapport SOC 2 est basé sur les critères de services de confiance (TSC, Trust Services Criteria) établis par l'Auditing Standards Board (ASB) de l'American Institute of Certified Public Accountants (AICPA). Le but de cet audit est d'évaluer les systèmes d'information d'une organisation en termes de sécurité, de disponibilité, d'intégrité du traitement et de confidentialité.
Certification enregistrée
Cloud Security Alliance
Norme de sécurité et de protection des renseignements personnels dans le nuage
Le programme STAR (Security, Trust, Assurance, and Risk) de la Cloud Security Alliance (CSA) encourage l'utilisation de bonnes pratiques pour assurer la sécurité de l'informatique en nuage. OCLC participe à ce programme sur la base du volontariat afin de documenter sa conformité aux contrôles de sécurité et de confidentialité publiés par la CSA.
Règlement européen sur la cybersécurité
Norme de cybersécurité européenne
Le Règlement européen sur la cybersécurité (Cybersecurity Act) établit un cadre de certification de cybersécurité pour les produits et services numériques. Ce cadre de cybersécurité définit les contrôles de sécurité requis que les entreprises doivent appliquer dans leurs activités au sein de l'Union européenne. OCLC se soumet à un audit ISO 27001 chaque année pour démontrer sa conformité à cette réglementation.
Certification enregistrée
AGID, Italie
Certification des fournisseurs italiens de services en nuage
L'Agence pour l'Italie numérique (Agenzia per l'Italia Digitale, AgID) coordonne les politiques dans le domaine de l'innovation et soutient activement la diffusion des technologies de l'information et de la communication en faveur de la numérisation et de la modernisation de l'administration publique. L'ensemble de ses directives et de ses actions sont développées au niveau national et européen, dans une perspective unitaire et cohérente, afin de fédérer l'infrastructure technologique, d'assurer la sécurité et la fiabilité de la conservation et de la gestion des données publiques, et de fournir des services intégrés et partagés de grande qualité.
Certification enregistrée
Esquema Nacional de Seguridad (ENS), Espagne
Norme de cybersécurité de l'Espagne
Le programme d'accréditation de l'ENS a été développé par le ministère des Finances et des Administrations publiques et le CCN (Centro Criptológico Nacional). Ce programme établit des principes de base et des exigences minimales nécessaires à une protection adéquate des informations.
Certification enregistrée
Cyber Essentials, Royaume-Uni
Norme de cybersécurité du Royaume-Uni
Cyber Essentials est un système soutenu par le gouvernement britannique et conçu pour aider les organisations à évaluer et à atténuer les risques liés aux menaces de cybersécurité courantes qui pèsent sur leurs systèmes informatiques. Le programme Cyber Essentials est une norme de cybersécurité qui identifie les contrôles de sécurité qu'une organisation doit mettre en place au sein de ses systèmes informatiques. Tous les fournisseurs du secteur public britannique qui traitent des données à caractère personnel doivent se soumettre à cette norme.
Toutes ces certifications sont régulièrement évaluées par des tiers et/ou des auditeurs indépendants, et donnent lieu à une certification, un rapport d'audit ou une attestation de conformité. Les applications et les cadres de conformité incluent des exigences publiées à des fins spécifiques.
Contactez notre équipe chargée de la sécurité
La protection des renseignements personnels, l'intégrité et la disponibilité de l'information revêtent une importance capitale pour la sécurité des bibliothèques et de leurs utilisateurs, et la protection de leurs données. Notre personnel chargé de la sécurité et de la protection des renseignements personnels est composé de spécialistes de la bibliothéconomie, de l'enseignement supérieur et d'autres secteurs hautement sécurisés tels que les services financiers, l'administration et la défense qui seront ravis de répondre à vos questions.