CETTE PAGE A FAIT L'OBJET D'UNE TRADUCTION AUTOMATIQUE. ELLE EST FOURNIE À DES FINS DE COMMODITÉ UNIQUEMENT, ET POURRAIT NE PAS REFLÉTER AVEC EXACTITUDE LE SENS DU DOCUMENT ORIGINAL EN ANGLAIS. LA SIGNIFICATION DES TERMES, CONDITIONS ET DÉCLARATIONS ÉNONCÉS AUX PRÉSENTES EST SOUMISE À LEURS DÉFINITIONS ET INTERPRÉTATIONS EN LANGUE ANGLAISE. EN CAS DE DIVERGENCE OU DE CONFLIT ENTRE LA VERSION ANGLAISE DE CE TEXTE ET TOUTE TRADUCTION, LA VERSION ANGLAISE PRÉVAUDRA.
A partir du 16 juin 2021
Le présent addendum sur la sécurité de l'information ("addendum") décrit les exigences de sécurité que Cloudflare maintiendra dans le cadre du service ("exigences de sécurité") et est incorporé dans les conditions de service de l'abonnement Enterprise ("accord") par et entre Cloudflare et le client. Les termes en majuscules utilisés dans le présent addendum sans définition ont la signification qui leur est donnée dans l'accord.
1.1 Cloudflare (i) mettra en œuvre et maintiendra un programme écrit complet de sécurité de l'information ; (ii) mettra à jour et révisera ce programme, si nécessaire, sur une base régulière ou lors d'un changement important dans la fourniture du Service ; et (iii) s'assurera que ce programme (x) est conforme aux Lois applicables et aux normes industrielles applicables (y compris ISO/IEC 27001:2013, PCI DSS, SOC 2 Type II), (y) comprend des protections administratives, logiques, techniques et physiques appropriées qui sont conformes à cet Addendum, et (z) est raisonnablement conçu pour atteindre les objectifs suivants :
(A) assurer la sécurité, la confidentialité, l'intégrité et la disponibilité des données du client ;
(B) protéger la sécurité et l'intégrité des données relatives aux clients contre toute menace ou tout risque ; et
(C) empêcher l'accès, l'acquisition, la destruction, la perte, la suppression, la divulgation, l'altération ou l'utilisation non autorisés ou accidentels des données relatives aux clients.
1.2 Les dispositions du présent addenda prévaudront en cas de conflit entre l'accord (y compris toute autre pièce jointe, annexe ou appendice) et le présent addenda.
2.1 Cloudflare réexaminera au moins une fois par an les politiques relatives à la sécurité de l'information, notamment : la gestion de l'accès et de l'authentification, la gestion des actifs, la gestion du changement, le chiffrement, la réponse aux incidents en matière de sécurité et de protection de la vie privée, le cycle de vie du développement des logiciels et la politique de gestion des risques liés aux tiers.
2.2 Cloudflare fournira une formation de sensibilisation à la sécurité aux employés de Cloudflare au moment de l'embauche et chaque année par la suite. La formation sera régulièrement mise à jour afin d'inclure des informations pertinentes sur des sujets liés à la sécurité, notamment les responsabilités en matière de protection des données et des systèmes, ainsi que les menaces et les tendances émergentes.
3.1 Cloudflare n'autorisera que le personnel de Cloudflare et les tiers autorisés conformément à l'Accord (collectivement, les "Utilisateurs autorisés") à accéder aux Données du Client. Le personnel autorisé de Cloudflare et les tiers autorisés utiliseront les Données du Client uniquement dans le cadre de l'Accord et du présent Addendum.
3.2 Cloudflare suivra les normes de l'industrie pour authentifier et autoriser les utilisateurs.
3.3 Les utilisateurs autorisés n'utiliseront pas d'identifiants partagés ou génériques pour accéder aux données du client.
3.4 Cloudflare demandera aux Utilisateurs autorisés d'utiliser une authentification à deux facteurs pour accéder aux systèmes où résident les Données Client.
3.5 Cloudflare maintiendra un répertoire centralisé de toutes les références d'identification utilisées pour accéder au réseau de Cloudflare où résident les Données du Client.
3.6 Cloudflare révoquera l'accès des Utilisateurs autorisés qui n'ont plus besoin d'accéder aux Données client.
3.7 Cloudflare examinera et révoquera périodiquement les droits d'accès des utilisateurs autorisés, si nécessaire.
3.8 L'authentification aux ressources, plates-formes, dispositifs, serveurs, postes de travail, applications et dispositifs du réseau de Cloudflarene sera pas autorisée avec des mots de passe par défaut.
3.9 Cloudflare s'assurera que les connexions externes au réseau de Cloudflare sont sécurisées.
3.10 Cloudflare modifiera les mots de passe par défaut des serveurs avant de mettre l'appareil ou le système en production.
3.11 Les postes de travail inactifs depuis un certain temps sont automatiquement verrouillés.
4.1 Cloudflare cryptera les données du client au repos, en transit et en cours d'utilisation via un cryptage AES minimum de 128 bits et une longueur de clé de chiffrement de 1024 bits.
4.2 Cloudflare appliquera et maintiendra un chiffrement complet du disque de toutes les données du client au repos sur tous les systèmes de Cloudflarequi accèdent, transmettent ou stockent les données du client.
4.3 les clés symétriques de chiffrement et les clés privées asymétriques seront chiffrées en transit et en stockage, protégées contre tout accès non autorisé et sécurisées. Les procédures de gestion et de rotation de la clé cryptographique seront documentées. L'accès aux clés de chiffrement sera limité aux dépositaires des clés. Cloudflare suivra les normes de l'industrie pour générer, stocker et gérer la clé cryptographique utilisée pour crypter les données des clients.
4.4 Cloudflare maintiendra des procédures sécurisées d'élimination des données, y compris, mais sans s'y limiter, l'utilisation de commandes d'effacement sécurisées, la démagnétisation et le " crypto-déchiquetage ", le cas échéant, et conformément aux normes de l'industrie.
4.5 Les données des clients seront logiquement séparées de celles des autres clients de Cloudflare.
5.1 Cloudflare installera, configurera et maintiendra des contrôles de sécurité du périmètre et du réseau afin d'empêcher tout accès non autorisé aux Données Client.
5.2 Cloudflare effectuera une surveillance et un enregistrement continus, ainsi que des alertes pertinentes pour les événements de sécurité, y compris les tentatives d'accès et les accès réussis, les changements non autorisés sur le point de terminaison, les dispositifs de réseau et les systèmes de serveur qui contiennent les données du client, ainsi que d'autres indicateurs de compromission. Tous les journaux seront protégés contre tout accès ou modification non autorisé.
5.3 Cloudflare mettra en œuvre et maintiendra des normes de sécurité et de renforcement pour les périphériques de réseau, basées sur les meilleures pratiques de l'industrie.
5.4 Cloudflare suivra des procédures documentées de gestion des changements.
Cloudflare suivra les pratiques de codage sécurisé du cycle de vie du développement logiciel, telles que celles développées par l'Open web application Security Project (OWASP) Top 10 (disponible à l'adresse https://www.owasp.org/), afin de s'assurer qu'aucun code nuisible n'est livré et que les meilleures pratiques sont respectées. Les pratiques de codage comprendront (i) des environnements de développement, de test et de production séparés ; (ii) des examens réguliers du code de sécurité ; (iii) l'analyse de tous les logiciels et/ou applications Cloudflare qui stockent, traitent ou transmettent des données relatives aux clients ; et (iv) l'utilisation exclusive de données non productives, obscurcies ou dépersonnalisées dans des environnements non productifs (par exemple, le développement ou le test).
7.1 Cloudflare maintiendra un programme de gestion des risques des tiers qui comprend (i) le maintien d'accords de sécurité de l'information pour garantir que les tiers de Cloudflare ayant accès aux Données Client sont liés à des exigences de sécurité des données au moins aussi restrictives que celles énoncées dans le présent Addenda ; et (ii) le contrôle et l'audit de la conformité des tiers ayant accès aux Données Client avec les exigences énoncées dans le présent Addenda.
7.2 La gestion des risques comprendra la correction par Cloudflare de toute constatation identifiée en fonction du risque et la preuve de l'achèvement.
7.3 Cloudflare maintiendra un programme d'évaluation des risques, qui définit les rôles et les responsabilités pour effectuer l'évaluation des risques et répondre aux résultats. Cloudflare effectuera des évaluations régulières des risques afin de vérifier la conception des contrôles qui protègent les opérations commerciales et les technologies de l'information.
8.1 Cloudflare effectuera des analyses de routine au niveau du réseau et de applicationpour détecter les vulnérabilités et y remédier conformément aux normes de l'industrie (par ex. PCI DSS).
8.2 Au moins une fois par an, Cloudflare engagera une société de sécurité tierce indépendante pour effectuer un test de pénétration du réseau et de l'application web. Sur demande, Cloudflare fournira un résumé des résultats des tests de pénétration.
8.3 Cloudflare appliquera les correctifs de sécurité et les mises à jour des systèmes aux logiciels et applications gérés par Cloudflare, aux appareils et aux systèmes d'exploitation conformément aux normes industrielles (par ex. PCI DSS).
Cloudflare maintiendra un programme de continuité d’activité et de reprise après sinistre documenté et opérationnel (« CA&RS »). Cloudflare testera et mettra à jour ses plans du programme CA&RS au moins une fois par an.
10.1 Cloudflare conservera et mettra à jour chaque année une offre documentée d'action et de réaction en cas de violation des données.
10.2 Si Cloudflare découvre ou est informé d'une violation de la sécurité qui entraîne un accès, une acquisition, une divulgation ou une utilisation non autorisés de toute donnée du client ("violation de données"), Cloudflare doit rapidement et à ses frais : (i) informer le client de la violation de données sans retard injustifié ; (ii) enquêter sur la violation de données ; (iii) atténuer les effets de la violation de données ; et (iv) effectuer des évaluations post-incident et rendre compte des résultats de cette (ces) évaluation(s) au client.
11.1 Au moins une fois par an, Cloudflare s'engagera auprès d'un évaluateur indépendant pour : (i) effectuer une évaluation de la conformité et fournir une attestation, un examen ou un rapport complet dans le cadre de (A) Service Organization Control (SOC 2 Type II) ou (B) une autre évaluation de la conformité indépendante similaire reconnue par l'industrie.
11.2 Sur demande, Cloudflare fournira une copie du dernier rapport SOC 2 Type II de Cloudflare.
11.3 Cloudflare coopérera avec le Client dans le cadre de toute enquête raisonnable sur une éventuelle utilisation frauduleuse ou non autorisée des Données du Client ou sur l'accès à celles-ci par les employés de Cloudflare ou des tiers. Cloudflare accepte de discuter avec le client des conclusions applicables et de toute offre de remédiation associée.
Si vous avez des questions sur les présentes conditions générales ou sur tout autre sujet concernant Cloudflare, n'hésitez pas à nous contacter :
+1 (650) 319-8930
Cloudflare France SAS
6 Place DE LA MADELEINE,
75008 PARIS,
France