Merrill Corporation

Sécurité

L’application DatasiteOne offre-t-elle des contrôles "IRM" (Information Rights Management) pour une sécurité accrue des documents ?

Oui. La technologie IRM intégrée permet aux administrateurs de projet d'accorder le téléchargement sur les documents avec une révocation d'accès possible (fichiers Microsoft Office et PDF) en fonction des rôles. Les autres types de fichiers seront chargés sous forme de PDF avec filigrane si l’option filigrane est activée pour le projet.

Puis-je ajouter une clause de non-responsabilité pour le projet ?

Oui. Les administrateurs de projets DatasiteOne peuvent soit utiliser la clause de non-responsabilité standard pour le projet, soit la personnaliser pour répondre à des exigences spécifiques. Les paramètres de fréquence incluent First Login (À la première connexion) ou Every Login (À chaque connexion).

Comment puis-je m’assurer que tous les documents confidentiels sont sécurisés dans Merrill DatasiteOne ?

En tant qu’application de cloud multiclients, Merrill DatasiteOne applique les meilleures pratiques actuelles en matière de sécurité dans le cloud.

  • Les informations utilisateur, données d’application et journaux sont stockés et tenus à jour séparément.
  • Les mots de passe sont traités avec des algorithmes de hachage cryptographiques.
  • Les fichiers fournis par le client sont cryptés pour les données au repos avec un cryptage AES 256 bits et sauvegardés conformément à un calendrier prédéfini.
  • Les données en transit sont sécurisées via le protocole TLS 1.2 (Transport Layer Security).
  • Les événements sont capturés, analysés et traités en temps réel.
  • Les fichiers des clients sont uniquement accessibles sur demande et pris en charge par des processus documentés de vérification des accès et de gestion des changements.
  • Une fois le projet clôturé, les données sont détruites après 30 jours.

Comment l’application DatasiteOne atténue-t-elle les risques au regard du RGPD (Règlement général sur la protection des données) ?

Merrill respectait déjà la Directive sur la protection des données 95/46/EC et a entrepris de façon proactive les démarches nécessaires pour assurer une conformité continue dès la mise en application du RGPD le 25 mai 2018. Merrill s’est doté d’un groupe de travail qui examine, met à jour et améliore régulièrement sa politique de protection des données.

  • Merrill est certifié ISO/IEC 27001 - Ses processus sont vérifiés par rapport aux normes internationales exigées pour préserver la confidentialité, la sécurité et l'intégrité de toutes les données traitées.
  • Les plates-formes de Merrill (Merrill DataSite, Merrill DatasiteOne) offrent aux clients la possibilité de gérer les données chargées et de choisir le niveau d'accès de tout utilisateur. Merrill est là pour faciliter les choses mais le client est TOUJOURS en contrôle de ses données.
  • Merrill a investi dans des installations de support et d'hébergement pour les clients européens afin de conserver les données dans l'UE.
  • L’entité américaine de Merrill est certifiée conforme au bouclier de protection des données pour les clients ayant des exigences transfrontalières.
  • Afin d’assurer le respect des meilleures pratiques et la mise en œuvre de solutions innovantes pour la protection des renseignements personnels, Merrill réalise régulièrement des évaluations d'impact sur la confidentialité et dispense une formation sur les obligations en matière de protection des données.

Comment Merrill protège les données d'un projet ?

Notre équipe de sécurité dédiée, dirigée par notre responsable sécurité, favorise l’alignement au sein de Merrill pour une gestion en profondeur du risque et une gouvernance efficace.  Les mesures de sécurité incluent ce qui suit :

  • Toutes les offres produits de Merrill ont la certification ISO 27001 depuis 2008.
  • Merrill DatasiteOne a déjà reçu l’attestation SSAE 16 SOC 2 Type II.
  • Merrill est certifié conforme au bouclier de protection des données dans l’UE et aux É.U. et conforme au RGPD.
  • Notre fournisseur d’infrastructure respecte les normes ISO 27001 et SSAE 16 SOC 2 Type II et dispose de la certification FedRAMP.
  • Là où la loi l’autorise, les employés de Merrill font l’objet de vérifications des antécédents ce qui inclut le dépistage des drogues, l’examen des qualifications et le contrôle des emplois précédents.
  • Toutes les équipes Merrill doivent suivre une formation annuelle sur la sécurité, incluant une acceptation de nos codes de sécurité et de conduite, ainsi qu'un engagement de confidentialité.
  • Un plan d’intervention en cas d’incident de sécurité est testé tous les ans et inclut des notifications internes et externes, des procédures d'escalade et des critères de communication.
  • Un plan de reprise d'activité est testé selon des intervalles prévus pour garantir la conformité avec les délais et les objectifs de qualité de l’entreprise.