background-hero-banner-gray

Le choix le plus sûr que vous puissiez faire

À Benevity, la conformité, la gestion des risques et la sécurité ne sont pas seulement des cases à cocher mais un état d'esprit. 

Security_updated_hero-01

Leader de notre industrie

En tant que société mondiale détenant des clients partout dans le monde, Benevity fournit des produits et des services dont la réglementation s'étend au-delà de l'Amérique du Nord. Nous avons toujours investi considérablement dans nos procédures de sécurité et de conformité. Vous avez ainsi l'assurance que vos données sont protégées et que vous faites affaire avec le leader du secteur.

Forts de nos dix ans d'expérience et parce que nous comptons parmi nos clients certaines des entreprises les plus emblématiques du monde, disposant elles-mêmes de protocoles de sécurité et de protection de la vie privée sophistiqués et de grande envergure, nous avons mené un processus de vérification considérable, qui nous a permis d'acquérir une maturité et une ouverture qui vous apporteront la tranquillité d'esprit dont vous avez besoin.

Confidentialité et RGPD

En mai 2018, les régulateurs européens ont mis en œuvre le règlement général sur la protection des données (RGPD). Cette législation de grande envergure a été conçue pour protéger le droit à la vie privée des personnes dans l'UE et impose des normes strictes sur la manière dont les données à caractère personnel peuvent être utilisées, collectées ou transférées, quel que soit le lieu où elles sont localisées et traitées. Le RGPD exige que les responsables du traitement des données et les sous-traitants mettent en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité approprié aux risques en présence.

Conformité RGPD

En réponse à ces changements dans le paysage de la protection de la vie privée, Benevity a amélioré son programme actuel en matière de protection de la vie privée pour se conformer aux nouvelles exigences. Ce programme est basé sur les réglementations en vigueur, les meilleures pratiques de l'industrie des associations professionnelles comme l'International Association of Privacy Professionals, ainsi que des conseils juridiques de l'UE sur la conformité à la protection des données. Nous avons travaillé avec certains des plus grands employeurs de l'UE, y compris les responsables de la protection de la vie privée, pour répondre aux exigences du RGPD et des comités d'entreprise pour leurs programmes.

Politique de confidentialité de Benevity

Afin de tenir tout le monde informé, nous publions notre politique de confidentialité, qui a été mise à jour en ce qui concerne le RGPD et fournit des informations concernant la collecte, le traitement, le transfert ultérieur, la conservation et la destruction des informations personnelles. Pour plus d'informations, veuillez contacter privacy@benevity.com.

Les entreprise dotée des protocoles de sécurité les plus stricts font confiance à Benevity : 

google-01
prudentiallogo-01
microsoft-01

Équipe d'experts de la sécurité

L'équipe dédiée à la gouvernance et aux contrôles de Benevity supervise nos processus pour s'assurer qu'ils soient toujours en conformité dans environnement en constante évolution et en expansion. Nous disposons également d'une équipe chargée des opérations de sécurité qui passe nuit et jour à réfléchir aux vulnérabilités, aux failles et aux attaques de cybersécurité. En plus d'une vaste expérience dans le secteur, nos employés sont des membres actifs, détiennent des certifications et, dans certains cas, ont occupé des postes de direction dans des organisations telles que : 

  • (ISC)², qui délivre le titre de professionnel certifié de la sécurité des systèmes d'information (CISSP)
  • American Institute of Certified Public Accountants et Canadian Institute of Chartered Accountants
  • Institute of Internal Auditors
  • Information Systems Audit & Control Association (ISACA), qui délivre le titre de Certified Information Systems Auditor (CISA)
  • L'International Association of Privacy Professionals (IAPP), qui délivre le titre de Certified Information Privacy Professional (CIPP)

Certifications et normes à la pointe du secteur

Nous nous engageons à respecter les normes les plus élevées dans les régions où nous exerçons nos activités. Nous sommes conscients que chaque certification que nous obtenons n'est pas une finalité, mais une occasion de continuer à apprendre des meilleures entreprises de sécurité du secteur, ainsi que de nos clients et partenaires commerciaux, et de s'associer avec eux. Si vous souhaitez obtenir des copies de ces certifications, veuillez contacter votre correspondant Benevity et il se fera un plaisir de vous les fournir.

SSAE18 SOC 1

Depuis plusieurs années, Benevity publie un rapport annuel SSAE18 SOC 1 Type 2. Nous émettons le rapport SOC pour aider nos clients, et les CPA qui les vérifient, à évaluer nos contrôles et à aider les clients à concevoir leurs propres contrôles autour de nos services. Demander à d'autres fournisseurs s'ils émettent leurs propres rapports SOC (en principe, ils ne le font pas). La plupart dépendent de ceux de leurs hébergeurs.

SSAE18-logo
Évaluations partagées SIG (Standardized Information Gathering)

Grâce à notre adhésion au Programme d'évaluations partagées, nous transmettons les avantages d'outils d'évaluation comme l'outil de collecte d'information standard (SIG). De plus, notre participation au programme signifie travailler aux côtés des pairs de l'industrie pour influencer et créer des outils d'évaluation.

SS-SFG
PCI DSS

Benevity et tous les prestataires de services de notre plateforme sont certifiés PCI DSS (Payment Card Industry Data Security Standard).

SS-PCI

Mesures de sécurité

Benevity a développé ses pratiques de sécurité opérationnelle en se basant sur les conseils des principales normes et cadres de l'industrie, notamment : 

  • COBIT publié par l'IT Governance Institute
  • la spécification ISO 27001 pour un système de gestion de la sécurité de l'information (SGSI)
  • Contrôles de sécurité critiques du SANS
  • la matrice des contrôles du Cloud de la Cloud Security Alliance.

Bien que ces normes et cadres soient précieux, ils ne sont qu'un point de départ. Notre équipe des opérations de sécurité utilise des principes tels que la "défense en profondeur" et la "confidentialité par la conception" pour rendre l'environnement de Benevity (y compris tous les sites physiques, l'infrastructure informatique, les applications, les bases de données et les fournisseurs tiers) aussi sûrs que possible.

Sécurité physique

La sécurité physique englobe tous les lieux où nous opérons. Cela inclut les bureaux d'affaires, les centres de données et même nos ordinateurs portables. Dans le cadre du programme de sécurité de Benevity, les points suivants s'appliquent à chacun de nos sites physiques :

  • Des caméras de vidéosurveillance sont en place et les images sont stockées conformément à nos politiques de sécurité.
  • Des serrures électroniques avec des cartes/observateurs de clés attribués selon une procédure stricte de gestion de l'accès pour accorder, révoquer et modifier l'accès.
  • Différentes zones de sécurité avec un accès restreint en fonction du poste occupé.
    Toutes les tentatives d'accès (réussies/échecées) sont enregistrées, et les journaux sont conservés conformément à nos politiques de sécurité.
  • Tous les visiteurs sont enregistrés et escortés, et les registres sont conservés conformément à nos politiques de sécurité.
  • Une politique de nettoyage des bureaux et des tableaux blancs.

La sécurité physique du centre de données (où vos données sont stockées et traitées) va au-delà des normes susmentionnées. Benevity utilise Amazon Web Services (AWS), un leader dans l'espace d'hébergement Cloud, et en tant que tel, les contrôles comprennent :

  • L'accès aux centres de données est limité aux employés et aux sous-traitants d'AWS.
  • Les centres de données sont contrôlés par du personnel de sécurité professionnel.
  • Alimentation électrique et services réseau redondants.
  • Détection et suppression des incendies.
  • Le climat et la température sont strictement contrôlés.
  • Les supports sont traités conformément aux directives de désinfection NIST 800-88.
Réseau d'infrastructure et sécurité

Nous souscrivons au modèle de responsabilité partagée d'AWS, dans lequel AWS exploite, gère et contrôle les composants depuis la couche de virtualisation jusqu'à la sécurité physique des installations où les services fonctionnent. Nos responsabilités se situent en amont du système d'exploitation invité et comprennent la configuration du réseau, les bases de données et les applications. Ce cadre et ce modèle sont clairement expliqués à toutes les équipes de Benevity concernées, y compris la nôtre :

  • Équipe d'ingénierie de la fiabilité des sites
  • Équipe des opérations de sécurité
  • Équipe Gouvernance et Contrôles
  • Équipe chargée du développement des produits

Pour assumer cette responsabilité, Benevity suit les meilleures pratiques du secteur et souscrit au cadre bien architecturé d'AWS pour la conception de tous nos systèmes.

Équipe dédiée aux opérations de sécurité

Benevity dispose d'une équipe dédiée aux opérations de sécurité avec de nombreuses années d'expérience combinée dans la sécurisation des environnements informatiques des entreprises et la réponse aux incidents de sécurité. Nous engageons aussi périodiquement des fournisseurs de services de sécurité gérés par des sociétés réputées et reconnues mondialement. Cette équipe a développé une pratique de sécurité qui comprend :

  • Protection contre les DDOS
  • Surveillance de l'intégrité des fichiers
  • Système de prévention des intrusions Anti-malware
  • Gestion des informations et des événements de sécurité
  • Analyse continue de la sécurité des applications web et évaluations de la logique commerciale effectuées par un tiers indépendant
  • Gestion des vulnérabilités et politique d'application des correctifs
  • Tests de pénétration du réseau réalisés par un tiers indépendant
Gestion des changements pour garantir que seuls les changements autorisés sont effectués

Un comité consultatif formel sur les changements met en œuvre les contrôles de Benevity sur les changements apportés aux systèmes de production, notamment :

  • Maintenance et accès contrôlé à un environnement de production et à plusieurs environnements de non-production (développement, test, staging, etc.)
  • S'assurer que chaque changement apporté au système de Benevity est autorisé de manière appropriée.
  • Test des changements par des personnes dédiées à l'assurance qualité en interne avant la production.
  • Des milliers de tests automatisés avant la mise en production
  • Séparation des tâches (SoD), progression des changements dans les différents environnements.
  • Maintien d'un système de ségrégation des tâches incompatibles.
Logique de sécurité

La sécurité logique consiste à contrôler l'accès aux systèmes informatiques et à s'assurer que les personnes ont une raison valable d'accéder, de lire ou de modifier des informations commerciales. Benevity maintient un système de contrôle d'accès basé sur les rôles, ainsi que les processus nécessaires pour le soutenir :

  • L'accès sur la base du besoin de savoir et du moindre privilège.
  • Les demandes d'accès et les approbations documentées
  • Des révisions périodiques de l'accès pour s'assurer que ceux qui en ont besoin en ont toujours besoin.
  • Les contrôles d'authentification, notamment les mots de passe forts et l'authentification multifactorielle.
La sensibilisation à la sécurité fait partie intégrante de notre culture

Chez Benevity, nous reconnaissons que les risques de sécurité vont au-delà des systèmes informatiques et incluent un élément humain. En tant que tel, nous utilisons des ressources importantes pour maintenir un niveau élevé de sensibilisation à la sécurité parmi notre personnel. Cela les aide à comprendre les exigences de sécurité de nos clients et les réglementations auxquelles nous sommes soumis, ainsi que les menaces de sécurité émergentes. Tout le monde chez Benevity suit une formation formelle de sensibilisation à la sécurité et subit régulièrement des tests de simulation de phishing. De nombreuses possibilités de formation informelle sont également offertes à notre personnel, notamment des séminaires, des activités pratiques et des séances de questions-réponses avec le personnel de sécurité.

Nous avons été impressionnés par les pratiques de sécurité de pointe de Benevity. Cet examen de la sécurité était le meilleur que nous ayons vu.

Responsable de la sécurité dans entreprise manufacturière internationale figurant au classement Fortune 500.

Conformité et partenariats

Le code de conduite et d'éthique commerciale de Benevity nous oblige à respecter les normes les plus strictes en matière de conformité aux lois et règlements de toutes les régions dans lesquelles nous opérons. 

Notre équipe de gouvernance et de contrôle travaille avec tous nos secteurs fonctionnels, du marketing aux finances, pour s'assurer que nous sommes conscients des obligations actuelles et émergentes et que nous faisons ce qui est nécessaire pour maintenir notre engagement en matière de conformité.

Ce que représente la conformité dans notre secteur

Benevity est dans le domaine de l'engagement social des entreprises et a des produits et services qui relèvent de l'engagement des employés, de l'engagement des clients et de l'investissement communautaire. Benevity est également une entreprise mondiale et, en tant que telle, nos offres de produits et services sont sous la surveillance de régulateurs au-delà du paysage nord-américain.

Les partenariats avec des tiers nous rendent plus forts

Cloud, APIs, virtualisation, conteneurs, microservices... À l'ère moderne, il est rare de trouver une entreprise qui ne s'appuie pas sur des tiers pour fournir ses produits et services aux clients, et Benevity ne fait pas exception. Nous travaillons avec des tiers qui sont les meilleurs dans leur domaine et nous transmettons cette excellence à nos clients. Tous nos tiers sont soumis à un examen rigoureux avant d'être acceptés dans l'écosystème de Benevity, ainsi qu'à une surveillance continue pour s'assurer que leur gouvernance, leur gestion des risques et leurs contrôles restent conformes aux normes de Benevity. Nous ne travaillons qu'avec des entreprises qui fournissent une assurance indépendante de leur conformité aux normes du secteur telles que SSAE18, ISO 27001, PCI DSS, etc. Nous utilisons ces fournisseurs :

  • Amazon Web Services (AWS) pour l'hébergement en nuage.
  • BlueSnap pour le traitement des paiements
  • CyberSource pour le traitement des paiements
  • Partenaires de la Fondation (AOGF, AUOGF, COGF, IOGF, OGF [Inde], UKOGF) pour le traitement sécurisé des dons.
  • PayPal pour le traitement des paiements

Confiance et sécurité dans la sphère philanthropique

Benevity a le privilège d'être un acteur de premier plan dans le domaine de l'engagement social des entreprises. Par le biais de nos activités dans cet espace, nous rencontrons des organisations caritatives et sans but lucratif, des donateurs individuels et des entreprises, des fournisseurs de services financiers et informatiques, ainsi que des régulateurs. 

Nous rencontrons également des acteurs malveillants. Compte tenu de ces facteurs, nous avons mis en place plusieurs mesures de confiance et de sécurité afin d'assurer un traitement complet et précis des transactions tout en tenant à distance les personnes mal intentionnées.

Contrôle des leaders des organisations caritatives au niveau mondial

Avant qu'une organisation à but non lucratif n'entre dans l'écosystème de Benevity, notre équipe de vérification s'assure qu'elle est en règle avec les autorités de sa région. Nous surveillons ensuite en permanence toutes les organisations dans notre base de données à but non lucratif par rapport aux listes de sanctions, aux mesures d'exécution et aux médias défavorables.

Lutte contre la fraude

L'équipe de Benevity a mis en place plusieurs mesures de détection et de prévention des fraudes. Celles-ci incluent des procédures manuelles et automatisées pour maintenir l'intégrité des transactions dans notre système et minimiser les abus.

Reprise en cas d'incident et continuité des activités

Nous savons tous que de mauvaises choses arrivent parfois aux bonnes personnes, et nous passons beaucoup de temps à réfléchir aux différents types de risques qui menacent notre entreprise et le bon travail de nos clients. Notre comité dédié à la planification de la continuité des activités effectue des évaluations périodiques de l'impact sur les activités et supervise le plan de reprise après sinistre de Benevity, ainsi que les tests de ce plan. Les données sont répliquées sur deux régions d'hébergement AWS, chaque région étant composée de plusieurs "zones de disponibilité" (centres de données indépendants) afin de garantir la redondance et la haute disponibilité. Notre objectif de temps de récupération est de quatre heures.

Hello! Our site uses cookies so we can tailor your experience and serve you relevant content. For more information, check out our privacy policy.