Chez Barracuda Networks, nous sommes conscients de l'importance de vos données : c'est pourquoi nous prenons les mesures nécessaires pour les sécuriser et les protéger lorsqu'elles se trouvent dans notre Cloud. Nos politiques en matière de propriété et de protection des données visent à vous garantir que vos données sont en sécurité et restent sous votre contrôle exclusif.
I. Sécurité
Contrôles organisationnels
Nous attendons du personnel de Barracuda qu'il soit compétent, rigoureux, dévoué et courtois en ce qui a trait à la gestion des informations des clients stockées dans les produits et dans les centres de données Barracuda. Barracuda a mis en place un certain nombre de mesures pour garantir le traitement adéquat de ses clients et de leurs données.
Mécanismes de confidentialité et de contrôle
Barracuda utilise uniquement les informations fournies par ses clients pour livrer les produits et services achetés. Toutes les données client sont gérées conformément à notre Politique de confidentialité. De plus, certains produits et tous les data centers aux États-Unis font l'objet d'audits afin de garantir la validation indépendante de nos politiques et de nos procédures en matière de sécurité des données des clients.
Barracuda respecte en tout point les lois HIPAA et HITECH Act des États-Unis directement applicables à son activité. Notamment, le Cloud de Barracuda protège les données répliquées dans le respect des règles de sécurité de la loi HIPAA. Les clients qui souhaitent établir une relation commerciale avec Barracuda selon les termes des articles 164.502(e) et 164.504(e) du titre 45 du Code of Federal Regulations des États-Unis doivent passer une entente commerciale avec Barracuda. Cette entente commerciale définit l'engagement de Barracuda à respecter les termes des lois HIPAA et HITECH.
Employés de Barracuda
Tous les employés sont tenus de confirmer par écrit qu'ils s'engagent à respecter les politiques de Barracuda en matière de non-divulgation et de protection des informations confidentielles de Barracuda et des tiers, y compris à faire une utilisation acceptable des informations confidentielles. Dans le cadre de leur mission d'assistance des clients en matière d'utilisation de leurs solutions technologiques, les techniciens d'assistance de Barracuda comprennent qu'ils pourront être amenés à communiquer avec des clients et/ou à consulter les données de clients, et qu'ils doivent assurer la confidentialité de ces données.
Formation
Les techniciens qui assurent l'assistance relative aux produits Barracuda sont formés de diverses manières. Les nouveaux techniciens de niveau 1 suivent une formation en classe dispensée par des techniciens de niveau 2 et par l'équipe de gestion de l'assistance. Les nouveaux techniciens d'assistance secondent également pendant un certain temps un technicien chevronné spécialiste de chaque produit pour lequel ils envisagent de passer une certification. Ils testent leurs connaissances des produits et en font preuve au moyen de formations officielles en ligne. De plus, tous les techniciens doivent répondre à des exigences prédéfinies avant d'assurer l'assistance directe des clients.
Tous les techniciens d'assistance de Barracuda bénéficient d'une formation continue lors de sessions de formation spécifiques à chaque produit.
Lorsqu'un employé ou un entrepreneur quitte Barracuda, un processus officiel est mis en place pour immédiatement révoquer son accès physique et son accès réseau aux installations et aux ressources de Barracuda.
Sécurité de l'architecture et de l'infrastructure
Normes des installations de stockage
Barracuda loue des espaces dans un certain nombre de data centers de cloud privés et publics dans le monde entier. Chaque datacenter est équipé des éléments suivants :
Des systèmes de contrôle d'accès exigeant une authentification à l'aide d'une carte-clé.
Des points d'accès sous surveillance vidéo.
Des alarmes anti-effraction.
Des armoires verrouillées.
Des systèmes de régulation de climatisation.
Des systèmes d'extinction de feu sans eau.
Une alimentation redondante (génératrice auxiliaire, alimentation sans interruption, pas de points de défaillance).
Une connexion Internet redondante.
Une certification ISO et/ou SOC II.
Emplacement des données
Il est important pour les clients des secteurs réglementés ou qui se trouvent dans des pays où des lois de protection des données sont en vigueur de connaître l'emplacement géographique de leurs données. Chez Barracuda, nous sommes conscients que certains clients ne doivent pas faire sortir leurs données de certaines zones géographiques spécifiques, comme c'est le cas dans l'Union européenne ou dans les pays membres de la Coopération économique pour l'Asie-Pacifique (APEC).
À cette fin, Barracuda gère un réseau de data centers à l'échelle du Cloud par région du monde et vérifie que chaque data center respecte des critères de sécurité précis. Cependant, tous les produits Barracuda ne sont pas déployés dans toutes les régions. Pour déterminer où les données d'un produit Barracuda donné sont stockées, veuillez vous référer au document relatif à la sécurité de chaque produit.
Redondance
Les données qui se trouvent dans le Cloud Barracuda sont stockées dans un système de stockage propriétaire développé et géré par Barracuda. Ce système conserve deux copies des données des clients, à des fins de redondance. Aux États-Unis, deux copies sont stockées dans des data centers situés à des emplacements distincts. Hors des États-Unis, les deux copies sont stockées au même endroit, mais sur des systèmes de stockage différents.
Sécurité des plateformes
Barracuda s'appuie sur une défense approfondie et sur des logiciels et des systèmes d'exploitation propriétaires renforcés pour protéger ses données et services. Barracuda effectue des inspections régulières afin de garantir la sécurité de ses systèmes.
Sécurité produit
Les produits de Barracuda sont dotés de plusieurs fonctions de sécurité pour veiller à ce que seuls les utilisateurs autorisés puissent accéder aux produits et les utiliser. Ces fonctions varient selon le produit. Pour plus d'informations, consultez le document de sécurité spécifique au produit.
Barracuda Central
Barracuda Central est un centre de sécurité disponible 24 heures sur 24 et 7 jours sur 7 géré par Barracuda Networks pour surveiller et bloquer les menaces Internet les plus récentes. Les données recueillies par Barracuda Central sont analysées et utilisées pour créer des définitions pour la mise à jour automatique d'Energize Updates, contribuant ainsi au fonctionnement des produits Barracuda.
BarracudaCentral.org a pour objectif de fournir une expertise technique aux professionnels de la sécurité. Au moyen de l'échange de données, BarracudaCentral.org souhaite construire une solide communauté pour lutter de manière collective contre les dernières menaces en date d'Internet.
II. Confidentialité
1. Vos données
Les données stockées dans le Cloud Barracuda sont les données de nos clients. Nous protégeons leur droit de décisions concernant ces données et nous prônons la transparence quant au traitement que nous faisons de ces données. Dans le Cloud Barracuda, vous êtes le propriétaire de vos données clients.
Les données clients sont toutes les données, y compris les éléments textuels, audio ou vidéo, les images ou les logiciels, que vous fournissez à Barracuda ou qui lui sont fournies en votre nom.
Barracuda utilisera vos données client uniquement pour vous fournir les services requis et à des fins compatibles avec la prestation de ces services.
Vous pouvez accéder à vos données clients en tout temps, à n'importe quel motif et sans l'aide de Barracuda. L'accès à vos données fourni au personnel et aux sous-traitants de Barracuda est restreint. Nous avons mis en place des politiques simples et transparentes en matière de données.
Nous n'utilisons pas les données de nos clients à des fins publicitaires.
À l'exception des cas prévus ci-dessous, Barracuda ne communique pas les données clients avec ses services de publicité et ne les exploite pas à des fins de marketing ou de publicité.
En plus d'utiliser vos données à des fins de prestation de services et d'activités quotidiennes, Barracuda peut les utiliser des manières suivantes :
Dépannage visant à prévenir, détecter et réparer les problèmes affectant le fonctionnement des services.
Amélioration continue des fonctionnalités, telles que les fonctionnalités d'amélioration de la fiabilité de nos services ou de détection et de protection des menaces pesant sur les services ou les données clients (telles que les malwares ou les spams).
Fourniture d'expériences clients personnalisées.
Prise de contact aux fins de présentation de nos nouveaux produits et services.
De plus, le Cloud de Barracuda s'appuie sur des systèmes logiquement distincts des systèmes internes exécutés par Barracuda.
Nous utilisons l'isolation logique pour séparer les données d'un client des données d'un autre client.
Les services dans le Cloud de Barracuda sont des services multilocataires, ce qui signifie que vos données, vos déploiements et vos machines virtuelles peuvent être stockés sur le même matériel physique que ceux d'autres clients. Lorsque les données de nombreux clients sont stockées dans un emplacement physique commun, Barracuda sépare logiquement le stockage et le traitement des données des différents clients à l'aide d'une technologie spécialisée conçue spécifiquement à cet effet.
Barracuda prend des mesures énergiques pour protéger ses clients de l'utilisation inappropriée ou de la perte de leurs données et pour empêcher les clients d'accéder aux données d'autres clients.
Nous avons mis en place des politiques simples et transparentes en matière d'utilisation des données, et nous sollicitons des audits indépendants.
Dans sa Politique de confidentialité, Barracuda vous informe de ses politiques et pratiques en matière de protection des données dans un langage clair et simple.
Nos sous-traitants sont tenus par contrat de respecter nos exigences de confidentialité.
Il arrive que Barracuda fasse appel à d'autres sociétés pour fournir des services limités, tels que des services de colocation de données. Nous leur communiquons les données clients nécessaires pour leur permettre de fournir les services que nous leur demandons. Les sous-traitants ne sont pas autorisés à utiliser les données clients à toute autre fin, et ils sont tenus d'assurer la confidentialité des informations de nos clients.
Les sous-traitants qui gèrent des données clients pour fournir des services dans le Cloud Barracuda doivent conclure des ententes supplémentaires en matière de protection des données avec Barracuda.
Les sous-traitants qui gèrent des données clients du Cloud Barracuda dans leurs propres installations sont tenus de mettre en place et de respecter des normes de confidentialité équivalentes aux nôtres.
2. Contrôle de vos données
Vous contrôlez l'accès à vos données clients
Accès par le personnel de Barracuda
Le personnel de Barracuda n'est autorisé à y accéder qu'en cas de nécessité, sous la supervision de la direction. Le personnel de Barracuda n'utilisera les données clients qu'à des fins compatibles avec la fourniture des services, notamment l'assistance à la clientèle et les services de dépannage.
Accès par les sous-traitants
Il arrive que Barracuda fasse appel à d'autres sociétés pour fournir des services limités. Ces sous-traitants peuvent accéder aux données clients afin de fournir les services pour lesquels nous recourons à eux. Les sous-traitants ne sont pas autorisés à utiliser les données clients à toute autre fin, et ils sont tenus d'assurer la confidentialité des informations de nos clients.
Limitation des accès
Les processus et contrôles opérationnels qui régissent l'accès aux données clients et leur utilisation dans le Cloud Barracuda sont régulièrement vérifiés. Barracuda effectue régulièrement des audits par échantillonnage pour attester que l'accès aux données se fait uniquement à des fins commerciales légitimes. Des contrôles rigoureux et un système d'authentification fiable permettent de limiter l'accès aux données clients au personnel autorisé uniquement. Lorsqu'un accès aux données est accordé, que ce soit au personnel de Barracuda ou à ses sous-traitants, il est soigneusement contrôlé et enregistré, puis révoqué dès qu'il n'est plus nécessaire.
Demandes des gouvernements et des forces de l'ordre
Barracuda applique des règles soigneusement définies concernant les demandes de divulgation des données clients par un gouvernement ou les forces de l'ordre. Nous ne divulguons pas les données hébergées dans le Cloud de Barracuda aux organismes gouvernementaux, sauf à votre demande ou si la loi nous y oblige. Lorsque nous recevons une demande de divulgation de données clients de la part d'un gouvernement ou des forces de l'ordre, nous essayons de suggérer à ce tiers de s'adresser au client concerné pour obtenir les données dont il a besoin.
Lorsque vous vous défaites de nos services, vous contrôlez vos données clients
Barracuda respecte des normes strictes et des processus spécifiques pour supprimer les données clients de tous les systèmes sous son contrôle.
Portabilité des données
Vous pouvez obtenir une copie de vos données clients en tout temps, à n'importe quel motif, sans l'aide de Barracuda et sans avoir à en informer Barracuda.
Conservation des données
Si, en tant que client, vous résiliez votre abonnement ou qu'il expire (sauf dans le cas des essais gratuits), Barracuda stockera vos données clients dans un compte à fonction limitée pendant 30 jours (la période de conservation) afin de vous donner le temps d'exporter vos données ou de renouveler votre abonnement. Au cours de cette période, Barracuda émet plusieurs notifications, afin de vous prévenir suffisamment en avance de la suppression proche de vos données.
Après cette période de conservation de 30 jours, Barracuda désactivera le compte et pourra, à sa discrétion, supprimer toutes les données clients, y compris toutes les versions en antémémoire et copies de sauvegarde.
Dans les environnements multilocataires des services dans le Cloud Barracuda, nous prenons des mesures strictes pour séparer logiquement les données des clients afin d'éviter que les données d'un client ne passent dans les données d'un autre client, ainsi que pour empêcher tout client d'accéder aux données supprimées d'un autre client.
Suppression des données sur les dispositifs de stockage physiques
Lorsqu'un lecteur de disque utilisé pour le stockage dans le Cloud Barracuda subit une panne matérielle, il est effacé ou détruit en toute sécurité avant que Barracuda ne le renvoie au fabricant pour remplacement ou réparation. Toutes les données sur le lecteur sont complètement écrasées pour garantir qu'elles ne puissent être récupérées par aucun moyen.
Plusieurs possibilités s'offrent à vous pour contrôler la sécurité de vos données clients
Le Cloud Barracuda utilise le chiffrement pour protéger vos données et vous permettre d'en garder le contrôle.
Lorsque les données clients transitent sur un réseau, le Cloud Barracuda utilise des protocoles de transport sécurisé aux normes de l'industrie entre les appareils des utilisateurs et les data centers Barracuda, ainsi qu'au sein des data centers eux-mêmes.
Le Cloud Barracuda utilise un chiffrement standard pour protéger les données inactives en transit.
III. Procédure de traitement des demandes des gouvernements
Lorsque des gouvernements ou les forces de l'ordre adressent à Barracuda une demande légitime de divulgation de données clients, nous nous engageons à faire preuve de transparence et à limiter ce que nous divulguons. Barracuda estime que les clients doivent garder le contrôle de leurs données : c'est pourquoi nous ne divulguerons pas de données hébergées dans le Cloud Barracuda à un gouvernement ou à des forces de l'ordre, sauf à votre demande ou si la loi nous y oblige.
Nous ne fournissons pas un accès direct aux données clients
Nous estimons que vous devez rester maître de vos données. Barracuda ne fournit à aucun tiers (y compris aux forces de l'ordre, à une autre entité gouvernementale ou à une partie civile) un accès direct ou sans restriction aux données clients, sauf à votre demande ou si la loi l'y oblige.
Nous redirigeons les demandes émanant des forces de l'ordre ou d'un autre tiers vers le client
Lorsque nous recevons une demande de divulgation de données clients de la part d'un gouvernement ou de forces de l'ordre, nous essayons toujours de suggérer à ce tiers de s'adresser au client concerné pour obtenir les données dont il a besoin.
Lorsque nous ne sommes pas en mesure de transmettre une demande valable à un client, nous divulguons des informations uniquement lorsque nous y sommes légalement contraints, et nous nous assurons toujours de ne fournir que les données demandées dans l'ordre juridique.
Dans un cas comme dans l'autre, les demandes peuvent nécessiter la divulgation des coordonnées de base du client.
Nous ne donnons pas accès aux clés de chiffrement de la plateforme
Nous ne fournissons nos clés de chiffrement à aucun gouvernement et ne leur donnons pas la possibilité de percer notre chiffrement.
IV. Utilisations et conduites acceptables
Tous les utilisateurs doivent être enregistrés pour pouvoir accéder au Cloud Barracuda. Les utilisateurs individuels doivent s'enregistrer en utilisant leur nom et les utilisateurs d'entité doivent s'enregistrer en utilisant le nom légal de leur entité. Vous êtes le seul et unique responsable des activités menées sur votre compte.
Vous êtes le seul responsable de la légalité et du bien-fondé des données clients que vous chargez ou stockez par tout autre moyen dans le Cloud Barracuda.
Barracuda peut, immédiatement et sans préavis, supprimer tout contenu ou toute donnée, ou suspendre ou annuler tout compte si nous avons connaissance d'une mauvaise utilisation ou d'actions illégales associées à un compte ou à un utilisateur.
Lorsque vous utilisez le Cloud Barracuda, vous ne devez pas en utiliser les services pour effectuer l'une des actions suivantes :
Copier ou télécharger des fichiers ou des informations, sauf si vous détenez légalement ces fichiers ou ces informations.
Sonder, analyser ou tester la vulnérabilité de tout système, ou essayer de contourner des mesures de sécurité ou d'authentification.
Accéder à des zones non publiques du Cloud Barracuda, les utiliser ou y apporter des modifications. Essayer d'accéder au Cloud Barracuda ou d'y faire des recherches au moyen d'interfaces non publiques.
Tenter de perturber un utilisateur ou un réseau au moyen d'un virus, d'un malware, d'une technique de surcharge ou d'inondation, de spams ou d'un bombardement de messagerie, ou d'interférer de quelque façon que ce soit avec l'emploi fait par d'autres utilisateurs.
Envoyer des communications, des promotions ou des publicités non sollicitées, ou des spams.
Essayer d'accéder au compte d'un autre utilisateur.
Envoyer des informations dont la source est modifiée, fausse ou trompeuse en utilisant notamment l'usurpation ou l'hameçonnage.
Publier tout élément frauduleux, trompeur ou portant atteinte aux droits d'autrui.
Se présenter sous une fausse identité ou se faire passer pour un représentant d'une entité.
Publier ou communiquer des documents illégaux, offensants ou diffamatoires.
V. Restrictions d'exportation
Les services dans le Cloud Barracuda peuvent être contrôlés à des fins d'exportation. Vous devez vous conformer à toutes les lois et réglementations des États-Unis en matière d'exportation. Vous seul êtes responsable de vous assurer que vous détenez toutes les autorisations ou tous les permis d'exportation nécessaires, que vous vous êtes acquitté de tous les coûts associés et que vous respectez la loi et la réglementation des États-Unis en matière d'exportation. Si vous vous trouvez dans un pays soumis à l'embargo imposé par le gouvernement des États-Unis, vous n'êtes pas autorisé à utiliser les services dans le Cloud Barracuda.
