Description des mesures techniques et organisationnelles

Description des mesures techniques et organisationnelles

Pour toutes les finalités, la version anglaise de ce Contrat doit être considérée comme la version originale et officielle du contrat qui gouverne et régit les relations entre les parties. Sauf disposition légale contraire, la traduction de ce Contrat est établie pour des raisons de commodité, et en cas de contradiction entre cette version anglaise du Contrat et sa traduction dans toute autre langue, cette version anglaise prévaudra.

Dernière modification le 01 August 2023 / Versions précédentes

Nuance applique des mesures techniques et organisationnelles adéquates, par la mise en œuvre et l'application des politiques suivantes :

Organisation de la sécurité, analyse et gestion des risques

Nuance dispose d'un département sécurité de l'information, dirigé par un Directeur de la Sécurité des Systèmes d’Information, qui s'efforce de fournir des contrôles de sécurité de l'information robustes pour les produits et les environnements Nuance. Nuance procède à des évaluations annuelles de la conformité de ses contrôles de sécurité. Pour plus de détails et plus d’explications sur l'organisation de la sécurité, l'analyse des risques ou les programmes de gestion des risques chez Nuance, veuillez consulter le site internet https://www.nuance.com/about-us/trust-center.html(Ouvrir une nouvelle fenêtre)

Compensation de la main-d'œuvre, formation et sanctions

Tout le personnel de Nuance est soumis à des vérifications d'antécédents avant d'être autorisé à accéder à des données restreintes. Tout le personnel reçoit régulièrement une formation en matière de sécurité. Nuance a adopté des politiques et des procédures pour appliquer des sanctions aux employés qui ne respectent pas les politiques et procédures de sécurité de Nuance.

Contrôles physiques

Centre des données (« Data centers ») de Nuance - Toutes les installations de Nuance sont protégées par des contrôles de sécurité physique, notamment des contrôles de périmètre, des systèmes d'accès électroniques, des serrures et des caméras. Nuance stocke toutes les données de production dans des centres de données physiquement sécurisés qui disposent également de restrictions d'accès supplémentaires, notamment des systèmes de verrouillage en cage, ainsi qu'une authentification et un accès secondaire. Les systèmes d'infrastructure de Nuance ont été conçus pour éliminer les points de défaillance uniques et minimiser l'impact des risques environnementaux anticipés.

Data Center en Cloud - Microsoft Azure fonctionne avec des data centers gérés et exploités par Microsoft. Ces data centers sont dispersés géographiquement et conformes aux principales normes industrielles, telles que ISO/IEC 27001:2013 et NIST SP 800-53, en matière de sécurité et de fiabilité. Les data centers sont gérés, contrôlés et administrés par le personnel d'exploitation de Microsoft. Le personnel d'exploitation a des années d'expérience dans la fourniture des plus grands services en ligne au monde, avec une continuité de 24 heures sur 24 et 7 jours sur 7. Pour plus d'informations, veuillez consulter le site https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility(Ouvrir une nouvelle fenêtre)

Accès

Nuance a localisé tous les équipements qui stockent des Données Personnelles dans des zones à accès contrôlé. Nuance n'autorisera l'accès à ces zones contrôlées qu'aux employés et aux travailleurs occasionnels ayant un motif professionnel.

Points d'accès

Les serveurs web et les points d'accès tiers de Nuance sont configurés de manière sécurisée, notamment (mais pas exclusivement) en mettant en place un pare-feu dédié correctement construit, en exigeant un contrôle de virus avant d'autoriser l'accès à un réseau tiers et en désactivant ou en supprimant le processus d’acheminement pour minimiser l'accès.

Continuité des Activités, Reprise après Sinistre

Nuance a mis en place et documenté des plans appropriés de continuité des activités et de reprise après sinistre pour lui permettre de continuer ou de reprendre la prestation de Services en temps voulu après un événement perturbateur. Nuance teste et contrôle régulièrement l'efficacité de ses plans de continuité des activités et de reprise après sinistre.

Sécurité des réseaux

Nuance a mis en place des mesures complémentaires appropriées pour protéger les Données Personnelles contre les risques spécifiques présentés par les Services. Toutes les données sont protégées par un cryptage lors de leur transit sur les réseaux publics ouverts. Les données inactives sont protégées soit par cryptage, soit par des contrôles de sécurité compensatoires, qui comprennent des pseudonymisation, réseaux segmentés, une architecture à plusieurs niveaux, des pare-feux avec protection contre les intrusions et les logiciels malveillants, et la limitation de l'accès aux ports. Les Données Personnelles ne sont conservées que pour la durée requise à des fins réglementaires, sauf indication contraire des Services.

Dispositifs portables

Nuance ne stockera pas de Données Personnelles sur des dispositifs ou supports informatiques portables (y compris, sans s'y limiter, les ordinateurs portables, les disques durs amovibles, les clés USB ou flash, les assistants numériques personnels (PDA) ou les téléphones portables, les DVDs, les CDs ou les bandes informatiques) à moins qu'ils ne soient cryptés avec un minimum de 128 bits, ou un cryptage plus élevé conformément aux meilleures pratiques en vigueur dans le secteur. Les terminaux Nuance sont fournis avec une configuration par défaut, appliquée au niveau de l'organisation.

Suivi

Nuance prend les mesures appropriées pour surveiller la sécurité des Données Personnelles et (le cas échéant) pour identifier les modèles d'activités suspectes. Nuance conçoit des applications et des services permettant de supprimer les données sensibles stockées par Nuance. Pour chaque changement hébergé identifié, les équipes de sécurité et d'assurance qualité examinent les exigences de cartographie des données pour valider les champs prévus qui continuent à être supprimés. Nuance surveille également les événements de journalisation de la sécurité qui incluent les violations ou tentatives de connexion. Les données conservées dans les journaux comprennent, sans s'y limiter, l'horodatage, le nom d'hôte et le nom d'utilisateur pour la responsabilité.

Demandes des Personnes Concernées

Nuance met en œuvre un processus documenté pour aider la société à répondre aux demandes des Personnes Concernées.

Demandes gouvernementales

Nuance ne divulguera pas et ne donnera pas accès aux Données Personnelles Traitées en vertu du présent ATDP aux forces de l'ordre, à moins que la loi ne l'exige, et uniquement sur présentation d'une demande ou d'un ordre juridiquement contraignant émanant d'une autorité gouvernementale.

Si Nuance est contrainte de divulguer ou de donner accès à des Données de la Société à une autorité gouvernementale, elle en informera rapidement la Société et lui fournira une copie de la demande, sauf si la loi l'interdit.

Description of technical and organizational measures

Last Modified August 1, 2023 / Previous Versions

Nuance maintains appropriate technical and organizational measures, through the implementation and enforcement of the following policies:

Security Organization, Risk Analysis and Risk Management
Nuance has a professional information security organization, headed by a Chief Information Security Officer, that works to provide robust information security controls for Nuance products and environments. Nuance performs annual assessments of the compliance of Nuance security controls with current certifications and industry standard controls. For further, and more explicit, details on the Security Organization, Risk Analysis, or Risk Management programs at Nuance, please refer to https://www.nuance.com/about-us/trust-center.html.

Workforce Clearing, Training and Sanctions
All Nuance personnel are subject to background checks before access to restricted data is permitted. All personnel receive regular security training. Nuance has adopted policies and procedures to apply workforce sanctions to employees who fail to comply with Nuance security policies and procedures.

Physical Controls
Nuance Data Centers - All Nuance facilities are protected by physical security controls including perimeter controls, electronic access systems, locks and cameras. Nuance stores all production data in physically secure data centers that also maintain additional access restrictions, including: caged, locking racks along with secondary authentication and access. Nuance’s infrastructure systems have been designed to eliminate single points of failure and minimize the impact of anticipated environmental risks.

Cloud Data Center - Microsoft Azure runs in data centers managed and operated by Microsoft. These geographically dispersed data centers comply with key industry standards, such as ISO/IEC 27001:2013 and NIST SP 800-53, for security and reliability. The data centers are managed, monitored, and administered by Microsoft operations staff. The operations staff has years of experience in delivering the world’s largest online services with 24 x 7 continuity. For additional information, please refer to https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility.

Access
Nuance has located all equipment that stores Personal Data in controlled access areas. Nuance will only allow employees and contingent workers with a business purpose to have access to such controlled areas.

Access Points
Nuance’s externally-facing web servers and third-party access points are configured securely, including (but not limited to) implementing a properly constructed dedicated firewall, requiring a virus check before granting access to any third-party network, and disabling or removing routing processes to minimize access.

Business Continuity, Disaster Recovery
Nuance has implemented and documented appropriate business continuity and disaster recovery plans to enable it to continue or resume providing Services in a timely manner after a disruptive event. Nuance regularly tests and monitors the effectiveness of its business continuity and disaster recovery plans.

Network Security
Nuance has implemented appropriate supplementary measures to protect Personal Data against the specific risks presented by the Services. All data is protected by encryption in transit over open, public networks. Data at rest is protected either by encryption or compensating security controls, which include pseudonymization, segmented networks, tiered architecture, firewalls with intrusion protection and anti-malware protections, and limiting of port access. Personal Data is only retained for the duration required for regulatory purposes, unless otherwise outlined by the Services.

Portable Devices
Nuance will not store Personal Data on any portable computer devices or media (including, without limitation, laptop computers, removable hard disks, USB or flash drives, personal digital assistants (PDAs) or mobile phones, DVDs, CDs or computer tapes) unless it is encrypted with a minimum of 128-bit, or such higher bit encryption in accordance with then current industry best practice. Nuance endpoints are provisioned with a default configuration, enforced at the organizational level.

Monitoring
Nuance takes appropriate steps to monitor the security of Personal Data and (if appropriate) to identify patterns of suspect activity. Nuance designs applications and services to suppress sensitive data being stored by Nuance. For every identified hosted change, security and QA teams review the data mapping requirements to validate the intended fields continue to be suppressed. Nuance also monitors security logging events which include log-on violations or attempts. Data retained from logs includes, but is not limited to, timestamp, hostname, and username for accountability.

Data Subject Requests
Nuance implements a documented process for assisting Company in responding to Data Subject Requests.

Governmental Requests
Nuance will not disclose or provide access to Personal Data being Processed under this DPA to law enforcement, unless required to by law, and only upon service of a legally‑binding request or order from a governmental authority.

If compelled to disclose or provide access to any Company Data to law enforcement, Nuance will promptly notify Company and provide a copy of the demand unless legally prohibited from doing so.