Conformité Foxpass

Foxpass, une société Splashtop, respecte les normes les plus élevées en matière de sécurité de l’information et de protection de la vie privée.

Nos solutions sont développées et exploitées dans le cadre du système de management de la sécurité de l'information (ISMS) certifié de Splashtop et d'un cadre de contrôles audités, aidant les clients à répondre à leurs propres exigences de conformité dans divers secteurs.

Certifié selon : ISO/IEC 27001:2022 | SOC 2 Type 2
Conforme à : RGPD | CCPA
Prend en charge la conformité client avec : ISO/IEC 27001 | SOC 2 | RGPD | AU Privacy Act (APPs) | CCPA | HIPAA | PCI DSS | FERPA

Les solutions Foxpass aident les clients à mettre en place des contrôles d’identité et d’accès, une segmentation du réseau, une gestion des clés SSH et des accès privilégiés, une journalisation détaillée et des mesures de chiffrement conformes à ces cadres réglementaires et aux principes de sécurité Zero Trust.

Splashtop est certifié ISO/IEC 27001:2022, la principale norme mondiale pour les systèmes de gestion de la sécurité de l’information (ISMS). Cette certification confirme que Splashtop — ainsi que tous les services Foxpass exploités dans le cadre de son ISMS — maintiennent un programme de sécurité complet, audité de manière indépendante, couvrant les personnes, les processus et la technologie.

Périmètre de certification : Développement, maintenance et exploitation de services SaaS, y compris Foxpass Cloud RADIUS, PKI, Cloud LDAP et SSH Key Management.

La mise à jour 2022 de l’ISO 27001 met davantage l’accent sur la sécurité des services cloud, le renseignement sur les menaces, la protection de la vie privée dès la conception, la résilience opérationnelle et la gestion des risques liés aux tiers.

Comment Foxpass soutient votre conformité ISO 27001 :
Foxpass aide les organisations à mettre en œuvre et à maintenir des contrôles alignés sur les exigences de l’annexe A de l’ISO/IEC 27001, en particulier celles liées à la gestion des identités et des accès (A.9), au contrôle des accès privilégiés, à la sécurité réseau et à la journalisation des événements.
En automatisant l’authentification des utilisateurs, en appliquant le principe du moindre privilège et en maintenant des pistes d’audit centralisées, Foxpass simplifie la conformité continue à l’ISMS et la préparation aux audits.

Splashtop a obtenu la certification SOC 2 Type 2, validée par des auditeurs indépendants selon les critères AICPA Trust Services Criteria pour la sécurité, la disponibilité et la confidentialité.
Les clients Foxpass bénéficient du même environnement rigoureusement contrôlé pour la protection des données et la fiabilité des services.

Un rapport SOC 3 public est disponible à titre de référence.
Documentation SOC 2 supplémentaire disponible sur demande et après signature d’un accord de confidentialité.

Comment Foxpass vous aide à respecter la norme SOC 2 :Foxpass aide ses clients à respecter les critères clés SOC 2 Trust Services Criteria, en particulier ceux qui concernent les contrôles d’accès (CC6.x) et les opérations système (CC7.x).
Grâce à une authentification centralisée, à une journalisation détaillée des accès et à une vérification basée sur des certificats, Foxpass permet à ses clients de démontrer l’efficacité de leur gestion et de leur surveillance des accès lors de leurs propres audits SOC 2.

Splashtop a obtenu la certification CSA STAR de niveau 1, ce qui témoigne de notre engagement en faveur de l’excellence en matière de sécurité dans le cloud. En réalisant une auto-évaluation approfondie sur la base de la matrice des contrôles cloud (CCM) et du CAIQ de la CSA, nous respectons les normes de transparence les plus strictes : vous pouvez ainsi avoir l’assurance que vos données sont toujours protégées. Vous pouvez consulter notre évaluation publiée sur le registre CSA STAR ici.

Foxpass et Splashtop se conforment aux principes et obligations du RGPD de l’UE en tant que responsables du traitement et sous-traitants des données.

Nous mettons en œuvre des pratiques de protection des données dès la conception, limitons la collecte de données personnelles à ce qui est nécessaire pour servir nos clients et sécurisons toutes les données en transit et au repos à l’aide d’un chiffrement puissant.

Nous avons conclu des accords de traitement des données (DPA) avec des sous-traitants et répondons aux demandes des clients concernant l’accès, la correction et la suppression des données personnelles.

Nous avons officiellement évalué notre état de préparation au RGPD avec l’aide d’un cabinet professionnel tiers, mis en place des processus supplémentaires et établi des canaux de communication appropriés pour traiter toutes les demandes et tâches liées au RGPD, tant en interne qu’en externe.

Pour plus d’informations, consultez la politique de confidentialité de Splashtop et l’accord sur le traitement des données d’entreprise.

Comment Foxpass vous aide à respecter le RGPD
Foxpass aide les organisations à renforcer leur conformité avec le Règlement général sur la protection des données (RGPD) de l’UE en mettant en place des contrôles techniques et organisationnels clés autour de l’accès aux données, de l’authentification et de la sécurité.

Plus précisément, Foxpass prend en charge les exigences du RGPD grâce à :

• Application de contrôles d’accès basés sur l’identité et les rôles (articles 5 et 32) :
  Garantit que seuls les utilisateurs autorisés et les appareils gérés peuvent accéder aux systèmes qui stockent ou traitent des données personnelles.

• Prise en charge de la protection des données dès la conception (article 25) :
  S’intègre de manière transparente aux fournisseurs d’identité cloud (Entra ID, Okta, Google Workspace) pour appliquer l’accès avec le moins de privilèges possible et sécuriser la segmentation du réseau, réduisant ainsi le risque d’exposition des données.

• Fournir des journaux détaillés et une auditabilité (article 30) :
  Conserve des journaux d’accès complets afin de faciliter la responsabilisation et de contribuer à démontrer la légalité et la sécurité du traitement des données.

• Protection des données en transit (article 32) :
  Utilise des méthodes d’authentification basées sur des certificats et de chiffrement (EAP-TLS, LDAPS, HTTPS) pour empêcher l’interception des données personnelles.

• Simplification des preuves de conformité :
  Permet aux équipes informatiques et de sécurité de démontrer les mesures de contrôle d’accès et de sécurité lors d’audits internes ou d’examens réglementaires.

La loi australienne Privacy Act 1988 (Cth) et les principes australiens de protection de la vie privée (APPs) régissent la manière dont les organisations collectent, utilisent et sécurisent les informations personnelles. Foxpass aide ses clients à renforcer leur conformité à ces obligations en fournissant des garanties techniques et organisationnelles solides.

Foxpass contribue à la conformité alignée sur l’APP en :

• APP 1 – Gestion des informations personnelles

  • Permet une gouvernance transparente des accès grâce à des journaux détaillés d’authentification et d’accès

  • Prend en charge les politiques organisationnelles exigeant un accès contrôlé aux informations personnelles

• APP 6 – Utilisation ou divulgation des informations personnelles

  • Applique le principe du moindre privilège et un accès aux systèmes basé sur l’identité pour les systèmes traitant des informations personnelles

  • Limite la divulgation non autorisée en garantissant que seuls les utilisateurs et appareils vérifiés peuvent se connecter

• APP 11 – Sécurité des informations personnelles
  Foxpass permet de mettre en place des mesures de sécurité conformes à l’APP 11, notamment :

  • Authentification basée sur des certificats (EAP-TLS)

  • Accès au répertoire chiffré (LDAPS)

  • Gestion des accès privilégiés et des clés SSH

  • Segmentation dynamique du réseau basée sur les VLAN

  • Journalisation d’audit complète et immuable

• APP 12 – Accès aux informations personnelles

  • Garantit une vérification sécurisée de l’identité du personnel accédant à des informations personnelles

  • Prend en charge des workflows d’accès administratif sécurisés

Conformément à la loi CCPA, les résidents californiens peuvent demander à accéder à leurs informations personnelles, à les supprimer ou à refuser leur vente ou leur partage.

Splashtop — et par extension Foxpass — applique des pratiques transparentes en matière de confidentialité et fournit des mécanismes permettant d’exercer ces droits, comme indiqué dans notre Politique de confidentialité.

Bien que Splashtop et Foxpass ne soient pas des Business Associates au sens de la HIPAA et ne traitent pas de dossiers patients, Foxpass aide ses clients dans leurs initiatives de conformité à la règle de sécurité HIPAA en :

• Application de l’authentification basée sur l’identité et les certificats pour l’accès au réseau et aux serveurs

• Prise en charge de l’MFA et du chiffrement en transit pour protéger les ePHI

• Gestion des clés SSH et des accès privilégiés afin de garantir que seuls les administrateurs autorisés puissent accéder aux systèmes critiques

• Centraliser le contrôle d’accès et conserver des journaux d’audit détaillés

• Simplifier la segmentation réseau grâce à l’attribution dynamique de VLAN, en veillant à ce que seuls les utilisateurs autorisés et les appareils de confiance puissent accéder aux systèmes sensibles

Ces contrôles font partie des mesures de protection techniques requises par la HIPAA, et contribuent à la conformité en matière de gestion des accès, d’authentification et d’exigences d’audit.

La norme PCI DSS (Payment Card Industry Data Security Standard) établit des exigences strictes en matière de protection des données des titulaires de cartes et de sécurisation des réseaux qui traitent ou transmettent des informations de paiement.

Bien que Foxpass ne stocke ni ne traite les données des titulaires de cartes, il prend en charge la conformité PCI DSS en fournissant les contrôles d’identité et d’accès, la journalisation des audits et des capacités de segmentation du réseau nécessaires pour protéger les environnements de données des titulaires de carte (CDE).

Les organisations utilisent Foxpass pour :

• Appliquer le principe du moindre privilège et un accès basé sur l’identité aux systèmes traitant les données de paiement

• Restreindre et surveiller l’accès administrateur à l’aide d’une clé SSH et d’une gestion des accès à privilèges

• Enregistrer et contrôler les événements d’authentification pour la validation des contrôles PCI DSS

• Segmenter les réseaux à l’aide de politiques VLAN basées sur RADIUS afin d’isoler les CDE du trafic utilisateur général.

Splashtop travaille en partenariat exclusif avec des prestataires de paiement conformes à la norme PCI DSS pour garantir la sécurité du traitement des transactions et veiller à ce que toutes les données de carte soient traitées conformément aux exigences PCI.

La loi FERPA protège les informations personnelles identifiables (PII) contenues dans les dossiers scolaires des élèves contre toute divulgation non autorisée.

Foxpass aide les établissements d’enseignement à respecter la loi FERPA en sécurisant l’accès au réseau et aux systèmes grâce à une authentification basée sur l’identité et les certificats. En garantissant que seuls les utilisateurs vérifiés et les appareils gérés peuvent accéder au Wi-Fi, aux serveurs et aux systèmes du campus, Foxpass renforce la protection des données sensibles des étudiants et des établissements.

Foxpass n’accède pas aux dossiers des étudiants et ne les stocke pas. Il respecte les bonnes pratiques du secteur en matière de chiffrement et de confidentialité.

En savoir plus sur Splashtop et la loi FERPA : Fiche d’information Splashtop FERPA

Foxpass s’appuie sur l’infrastructure cloud sécurisée de Splashtop, qui comprend :

• Chiffrement de bout en bout et application de TLS 1.2+

• Surveillance continue et évaluations indépendantes des vulnérabilités

• > Disponibilité de 99,9 % avec redondance mondiale

• Journalisation complète des audits pour les preuves de conformité

Pour plus d’informations, consultez les pages Présentation de la sécurité Splashtop et Mesures techniques et organisationnelles (TOM).

Pour toute question relative à la documentation de conformité, aux questionnaires ou à la sécurité, veuillez nous contacter à l'adresse sales@splashtop.com ou nous appeler au (778) 569-0889.