Démo
FR (FR)
FR (FR)
Obtenir une démo

Sécurité

Comment nous sécurisons nos produits et les données qu’ils collectent

Sécurité

Notre engagement envers la sécurité commence par ces principes :

L’approche « à vérification systématique » (Zero Trust) de Verkada pour les appareils IoT (Internet des objets) gérés dans le cloud part fondamentalement du principe que nos systèmes ne doivent faire confiance à aucun utilisateur, réseau ou appareil sans authentification ni autorisation. Cette approche atténue les risques inhérents à la nature étendue et interconnectée des appareils IoT, qui pourraient autrement créer des points d’entrée pour d’éventuelles cyberattaques.

  • Le personnel de Verkada ne peut accéder à l’infrastructure ou au code des produits Verkada qu’en s’authentifiant via l’authentification unique SAML du fournisseur d’identité de Verkada.

  • Le fournisseur d’identité de Verkada pour l’infrastructure des produits est distinct du fournisseur d’identité d’entreprise de Verkada et nécessite une authentification multifacteur, y compris les clés matérielles.

  • Le personnel du service d’assistance Verkada qui accède aux données des clients via ses outils doit d’abord obtenir un consentement limité dans le temps de la part du client concerné via le système d’autorisation d’assistance.

  • Verkada applique un contrôle d’accès en fonction des rôles de moindre privilège pour l’accès à l’infrastructure des produits, aux données client et aux appareils Verkada. Cela signifie que nous basons le niveau d’accès nécessaire sur le rôle d’un utilisateur et fournissons le niveau d’accès le plus bas possible. Les rôles qui nécessitent un accès à haut privilège sont accordés sur demande selon les besoins, et uniquement pendant une période limitée, sous un haut niveau de supervision.

  • Toutes les communications avec les produits et systèmes de Verkada sur les réseaux publics utilisent TLS 1.2 ou une version supérieure avec des configurations de méthodes de chiffrement modernes.

Nous concevons les produits et les interfaces de Verkada de sorte que tout nouveau type de données passe par un ensemble limité d’interfaces dotées d’une sécurité renforcée. Cette approche réduit le nombre de points d’entrée à sécuriser contre les attaques potentielles et nous permet de concentrer nos ressources de sécurité sur chaque point d’entrée.

  • Nous isolons les infrastructures de nos produits du reste de l’entreprise, et jusqu’à un fournisseur d’identité distinct pour l’authentification unique.

  • Nous développons les firmwares de nos appareils avec des systèmes d’exploitation minimisés et le moins de composants possible, afin de limiter les points d’attaque potentiels.

  • Nous utilisons uniquement des canaux sécurisés sur nos appareils, établis par des appels réseau sortants vers une passerelle API sécurisée dans la plateforme Command de Verkada, pour toutes les commandes d’administration.

Nous développons tous les aspects du programme de sécurité de Verkada avec une approche axée sur l’automatisation. Cela nous aide à maintenir l’efficacité du programme de sécurité de Verkada à mesure que nous évoluons, ainsi qu’à minimiser les lacunes dans la mise en œuvre de nos politiques.

  • Notre approche « configuration en tant que code » nous permet d’appliquer systématiquement des modèles de configuration sécurisés alignés sur les critères de référence du secteur en matière de renforcement.

  • Notre approche « configuration en tant que code » définit les politiques de Verkada comme des règles à suivre par les logiciels, ce qui renforce le respect de ces règles par Verkada.

  • Les correctifs pour les vulnérabilités connues sont automatiquement appliqués aux services d’infrastructure au moins toutes les 2 semaines.

  • Notre plateforme d’automatisation de la conformité surveille en permanence la conformité aux normes de sécurité et de confidentialité.

  • Nous effectuons une surveillance continue des journaux de sécurité et une détection automatisée des incidents de sécurité potentiels.

Verkada intègre la sécurité tout au long du cycle de développement logiciel à l’aide d’une approche multicouche et approfondie visant à prévenir les vulnérabilités et à atténuer les effets de l’exploitation.

  • Nos équipes d’ingénierie logicielle collaborent avec un membre de l’équipe de sécurité de Verkada pour s’assurer que les bonnes pratiques en matière de sécurité sont suivies, de la conception des produits et des fonctionnalités jusqu’à leur achèvement.

  • Nous mettons en œuvre le logiciel de Verkada avec des configurations sécurisées et des paramètres par défaut pour prendre les bonnes décisions dès le départ.

  • Nous mettons en place de garde-fous afin de préserver les invariants de sécurité et éviter que des choix non sécurisés ne soient effectués aux étapes de conception et de mise en œuvre.

  • Nous organisons également un programme de chasse aux bugs permanent, dans le cadre duquel nous offrons des récompenses financières aux chasseurs de bugs externes qui détectent et signalent des problèmes de sécurité potentiels.

Nous faisons appel à des consultants en sécurité indépendants afin d’effectuer des évaluations de sécurité indépendantes, au moins une fois par trimestre, dans le cadre de notre gestion continue des risques et de l’assurance client.

Disponibilité

Comment nous maintenons la disponibilité de nos produits et de nos systèmes

Nous savons que les grandes entreprises du monde entier comptent sur la disponibilité de nos produits et de nos services au moment où elles en ont besoin. C’est pourquoi nous nous engageons à rendre notre plateforme disponible au moins 99,99 % du temps chaque mois et à renforcer cet engagement avec notre garantie de disponibilité des services. Les clients peuvent consulter l’état des incidents éventuels et du système de la plateforme Command de Verkada, en direct, sur status.verkada.com. Sur cette page, les clients peuvent également s’abonner pour recevoir des mises à jour relatives à l’état du système.

Fiabilité

Comment nous maintenons la fiabilité de nos produits et de nos systèmes

Nous savons que nos clients s’attendent non seulement à ce que nos produits et nos services soient disponibles lorsqu’ils en ont besoin, mais également à pouvoir compter sur eux, même en cas d’imprévu. C’est la raison pour laquelle nous avons élaboré des processus, des normes et des systèmes de restauration redondants afin de rétablir les services le plus rapidement possible.

La plateforme Verkada Command est principalement hébergée sur Amazon Web Services (AWS) et tire parti des contrôles de fiabilité des centres de données AWS. Verkada adhère aux principes de conception et aux bonnes pratiques décrits dans le pilier Fiabilité AWS (Reliability Pillar of the AWS Well-Architected Framework).

L’infrastructure cloud de Verkada peut se remettre des interruptions de l’infrastructure ou des services en acquérant dynamiquement des ressources informatiques pour répondre à la demande et atténuer les perturbations, telles que les erreurs de configuration ou les problèmes de réseau transitoires. La configuration est gérée par configuration en tant que code et automatisation pour la gestion des changements.

Les données des clients sont stockées dans l’infrastructure cloud de Verkada qui utilise AWS S3 ou Backblaze, conçus pour offrir une durabilité d’au moins 99,999999999 %.

Verkada élabore et assure la maintenance des plans de continuité des activités et de réponse aux incidents afin de remédier rapidement à une interruption de l’activité ou à un incident de sécurité et de minimiser l’impact pour les clients. Nous testons ces plans au moins une fois par an afin d’identifier et de combler les lacunes, en utilisant à la fois des exercices sur table et des tests sur clavier.

Verkada effectue des sauvegardes régulières des données client, les conserve conformément à un calendrier prédéfini dans la Politique de sécurité des systèmes d’information et sauvegarde en continu les enregistrements des caméras dans le cloud lorsque la fonctionnalité de sauvegarde dans le cloud est activée sur les caméras. Ce processus crée la redondance nécessaire pour minimiser le risque de perte de données et récupérer rapidement les fichiers et les données en cas de panne, d’erreur système ou de catastrophe naturelle.

Gouvernance, gestion des risques et conformité (GRC)

Comment nous gérons la conformité et comment nos produits peuvent aider nos clients à respecter normes et règlements en vigueur

Chaque nouveau produit, nouvelle technologie ou nouveau partenariat s’accompagne de nouvelles questions auxquelles répondre et de nouvelles décisions à prendre en matière de sécurité et de confidentialité. Un cadre GRC robuste permet de s’assurer que Verkada peut prendre ces décisions tout en maintenant la conformité, en gérant efficacement les risques et en établissant une structure de gouvernance solide qui favorise la prise de décisions éclairées et la gestion des performances.

Le responsable de la sécurité des systèmes d’information de Verkada supervise notre programme de sécurité, dirige l’équipe de sécurité de Verkada et communique les informations directement à notre directeur technique (qui les communique ensuite à notre PDG). Notre RSSI présente également des mises à jour trimestrielles au conseil d’administration de Verkada concernant l’état et les performances de notre programme de sécurité.

  • Verkada dispose d’un Comité de gouvernance de la sécurité, qui compte des membres de la direction, dont la mission vise à gérer la stratégie de sécurité et la gestion des risques de Verkada, ainsi qu’à surveiller les performances du programme de sécurité.

  • L’équipe de sécurité de Verkada effectue régulièrement des audits de conformité, en partageant les informations recueillies par le biais d’une surveillance continue de la conformité.

La documentation relative aux normes de sécurité suivantes est disponible ici.

Les pratiques de sécurité de Verkada s’alignent sur une multitude de normes qui répondent aux exigences de sécurité des clients.

Verkada mène des évaluations de sécurité indépendantes des systèmes Verkada au moins une fois par trimestre.

SOC 2

Verkada passe les examens annuels SOC 2 Type 2 pour les critères de sécurité des services de confiance.

ISO 27001:2022

La plateforme Command de Verkada a reçu la certification ISO 27001:2022 (systèmes de gestion de la sécurité de l’information).

ISO 27017:2015

La plateforme Command de Verkada a reçu la certification ISO 27017:2015 (contrôles de sécurité de l’information pour les services dans le cloud).

ISO 27018:2019

La plateforme Command de Verkada a reçu la certification ISO 27018:2019 (la protection des informations personnelles identifiables (IPI) dans les cloud publics).

TX-RAMP

Depuis le 22 avril 2024, Verkada possède la certification provisoire TX-RAMP (programme de gestion des risques et des autorisations du Texas).

FedRAMP

La plateforme Verkada Command pour AWS GovCloud est désormais disponible. Verkada a atteint FedRAMP Ready au niveau d’impact modéré le 2 juillet 2024. Pour plus d’informations sur les solutions de niveau gouvernemental, consultez verkada.com/gouvernement.

Afin d’évaluer et d’identifier les aspects à améliorer dans nos systèmes, Verkada utilise des questionnaires sur les normes du secteur, notamment :

Questionnaire CAIQ

Le questionnaire Consensus Assessments Initiative Questionnaire offre un moyen reconnu par l’industrie de documenter les contrôles de sécurité existants, ce qui permet d’assurer la transparence des contrôles de sécurité.

Évaluation HECVAT

Le kit d’évaluation des fournisseurs de la communauté de l’enseignement supérieur (Higher Education Community Vendor Assessment Toolkit) est conçu spécifiquement pour les établissements d’enseignement supérieur et les universités afin de confirmer que des politiques en matière de données et de cybersécurité sont en place pour protéger les informations sensibles des établissements.

ISO 27701:2019

Verkada a obtenu la certification ISO 27701:2019, une norme internationalement reconnue en matière de gestion des informations de confidentialité.

Cadre de confidentialité des données

Verkada est certifié en vertu du cadre de confidentialité des données pour les données non liées aux ressources humaines. Pour plus d’informations, veuillez consulter notre certification sur le site Web de la DPF.

Verkada et ses clients opèrent dans une multitude de régimes réglementaires. Nous avons conçu nos produits et nos pratiques internes pour respecter ces obligations réglementaires de sorte à répondre aux besoins de conformité de nos clients.

HIPAA : pour les clients du secteur de la santé, qui sont des « entités couvertes » par l’HIPAA, Verkada soutient leur conformité à leurs obligations HIPAA en tant qu’associé commercial.

RGPD : en ce qui concerne les données personnelles de nos clients, qui sont traitées par les produits Verkada, Verkada agit en tant que processeur des données. Nous concluons les Clauses contractuelles types avec nos clients par le biais de notreAddenda relatif au traitement des données afin d’établir une base adéquate pour le transfert des données personnelles depuis le Royaume-Uni et l’Union européenne vers les États-Unis.

Lois des États américains sur la protection de la vie privée : Verkada conçoit ses pratiques en matière de protection de la vie privée de manière à répondre aux normes en constante évolution établies par les lois sur la protection de la vie privée propres à chaque État promulguées aux États-Unis.

Chez Verkada, nous nous efforçons continuellement de rendre nos produits conformes aux lois et réglementations en vigueur dans le monde entier. Actuellement, les produits Verkada, y compris les caméras et les alarmes, répondent aux normes de conformité à la vente aux États-Unis, au Canada, au Royaume-Uni, dans l’Union européenne, en Australie et en Nouvelle-Zélande. Des certifications supplémentaires peuvent également être fournies sur demande.

Vous trouverez ci-dessous des informations sur des produits et fonctionnalités spécifiques.

Conformité et disponibilité des alarmes

Découvrez les régions dans lesquelles sont actuellement disponibles les logiciels d’alarme, les produits matériels, les produits sans fil, les produits mobiles et l’envoi des services d’urgence de Verkada.

Conformité et disponibilité de l’analyse des personnes

Découvrez les régions dans lesquelles la fonctionnalité d’analyse des personnes de Verkada peut ne pas être actuellement disponible.

Caractéristiques techniques du matériel

Vous trouverez plus d’informations sur les caractéristiques techniques, y compris les certifications matérielles, de chaque caméra ou alarme dans le lien « En savoir plus » des descriptions des produits.