Avez-vous un WISP d’entreprise que vous suivez ?

Yellowfin tient à jour le WISP de l’entreprise (qui définit les opérations sécurisées de l’entreprise) et d’autres documents SOP que le personnel doit suivre.

Quelles sont les accréditations externes de l’entreprise ?

Yellowfin a les caractéristiques suivantes

• UK Cyber Essentials 2018 (obligatoire pour vendre des services numériques au gouvernement britannique)
• UK Cyber Essentials 2019
• Cyber Essentials 2020 au Royaume-Uni
• Atteint SOC2 Type 2 en 2021

Votre entreprise a-t-elle désigné une ou plusieurs personnes chargées de mettre en œuvre et de gérer le programme de sécurité de l’information (par exemple, le responsable de la sécurité de l’information, le directeur/gestionnaire, autre) ?

La sécurité de l’entreprise est placée sous la responsabilité du bureau du directeur des opérations. L’équipe chargée des opérations gère toutes les questions relatives à la sécurité de l’organisation.

Yellowfin dispose-t-il de lignes directrices en matière de renforcement de la sécurité pour les dispositifs d’infrastructure informatique et de réseau ?

Le WISP de Yellowfin et d’autres documents internes définissent les approches visant à protéger l’écosystème contre toute influence extérieure ou tout accès non autorisé. Yellowfin dispose d’un responsable ISO chargé de tester régulièrement les limites externes et d’effectuer des tests de vulnérabilité sur les composants du réseau et tous les points d’extrémité. Le responsable ISO utilise des outils d’analyse standard pour découvrir les problèmes et les trier en vue de les résoudre ou de les atténuer.

Yellowfin dispose-t-il de pare-feu pour protéger les frontières de l’entreprise ?

Yellowfin protège toutes les frontières de l’entreprise avec des pare-feu Cisco 5515-X ou 5545-X. Yellowfin utilise également des pare-feu internes Cisco 5515-X sur les frontières internes pour protéger les secrets de l’entreprise et l’IP.

Yellowfin dispose-t-il d’une protection des points d’accès ?

Yellowfin protège tous les points de terminaison et les plateformes de service avec la protection Bitdefender Cloud. Cette technologie est installée en tant que client sur Windows, Linux et Apple ; elle est contrôlée et surveillée par le portail cloud. Bitdefender Cloud fournit à chaque client un pare-feu local, un antivirus, un antimalware, un anticryptage, une protection web/email et une protection des fichiers.

Yellowfin a-t-il une politique en matière de mots de passe ?

Yellowfin utilise des mots de passe à haute entropie sur tous les serveurs et plateformes de services externes. Par haute entropie, on entend 20 caractères ou plus. Notre norme est de 32 caractères.
Le SOP interne du personnel définit la politique de mot de passe et la fréquence de recyclage à respecter par le personnel.

Yellowfin dispose-t-il de politiques d’accès des utilisateurs pour la création et l’approbation ?

Yellowfin utilise la technologie OKTA SSO pour fournir un point d’accès unique à toutes les applications de l’entreprise. Le personnel dispose d’un seul identifiant et toutes les applications accessibles par le web sont disponibles via le portail OKTA. Les plateformes d’accès sont attribuées au moment de l’embarquement du personnel et révoquées au moment du débarquement du personnel.
Pour les applications GUI et les équipements nécessitant des informations d’identification, celles-ci sont délivrées et révoquées par l’équipe chargée des opérations.

Qui est responsable de l’octroi de l’accès aux ressources du système informatique ?

L’équipe chargée des opérations, qui travaille sous la direction du chef d’exploitation, est responsable de l’accès aux systèmes informatiques.

Yellowfin est-elle conforme à des normes telles que HiPPA, PCI et protège-t-elle toutes les données PII/KYC des clients ?

• Yellowfin est un pur fournisseur de logiciels et n’héberge pas les données des clients. Le personnel ISO du client est responsable de l’hébergement sécurisé et de la gestion du logiciel Yellowfin.
• Yellowfin n’héberge aucune donnée HiPPA et n’y a pas accès.
• Yellowfin n’héberge pas et n’a pas accès aux données des cartes de crédit.
• Yellowfin n’héberge aucune donnée client et ne détient donc aucune donnée PII ou KYC.
• Par principe, Yellowfin n’accède pas aux données des clients pour des activités de support.

Yellowfin est-il conforme au GDPR ?

Yellowfin ne stocke que les informations sur les clients et les prospects qui lui sont fournies par ces parties prenantes. Yellowfin ne stocke pas d’informations sensibles comme la date de naissance. Toutes les informations éligibles au GDPR sont fournies par les contacts des prospects ou des comptes et sont des informations de niveau public. Yellowfin supprimera les informations détenues par une personne sur demande de tous les systèmes actifs en conformité avec les règles GDPR et ne conservera que les informations minimales pour maintenir l’intégrité de nos systèmes de comptabilité et de facturation.
Yellowfin est également un membre signataire du US Privacy Shield.

Veuillez décrire vos processus et plans de reprise après sinistre et/ou de continuité des activités. Indiquez également depuis combien de temps ils sont en place dans votre entreprise et fournissez une copie de votre dernier exercice de test.

Yellowfin dispose d’un plan documenté de RRC, de pandémie et de continuité ; les documents sont rédigés de manière à pouvoir s’adapter à tout scénario possible ayant un impact sur les activités normales de l’entreprise.
La dernière mise à l’épreuve du plan a été la crise du COVID-19, qui a obligé les citoyens à s’abriter sur place ou à la maison. Yellowfin a exécuté le plan et mis en place des pratiques de travail à domicile pour permettre un passage transparent de WIO à WFH sans perte de productivité. L’infrastructure et la sécurité établies par Yellowfin ont permis ce transfert en douceur.

Yellowfin dispose-t-il d’une politique ou de directives sur l’accès à distance par des tiers ?

Nous ne permettons pas à des tiers d’accéder aux systèmes de production ; le personnel interne gère toutes les questions de production et de développement.

Les employés de Yellowfin sont-ils tenus de signer des accords de confidentialité ?

Tous les membres du personnel sont tenus, au début de leur emploi, de signer un accord de confidentialité illimitée et de protection de la propriété intellectuelle. Cela protège Yellowfin et ses clients ; en ce qui concerne les clients, cela empêche le membre du personnel de divulguer toute information confidentielle qu’il pourrait obtenir dans le cadre de ses fonctions en tant que représentant de Yellowfin travaillant avec des clients.

Les employés de Yellowfin font-ils l’objet d’une vérification de leurs antécédents criminels et de leurs références ?

Yellowfin n’effectue pas de vérifications criminelles sur les employés ; Yellowfin n’effectue pas de vérifications de sécurité sur les employés. Les employés sont soumis à des vérifications de références lors de l’évaluation de l’emploi et signent des accords de confidentialité et d’autres accords d’entreprise pour la protection des secrets d’entreprise, de la propriété intellectuelle et des informations sur les clients.

Yellowfin dispose-t-il d’un code de déontologie ?

Yellowfin dispose d’un code de déontologie à l’échelle de l’entreprise, accessible à l’ensemble du personnel. Ce code couvre toutes les normes d’honnêteté et de fair-play dans le travail avec les clients.
Le document peut être fourni pour examen lors de la signature d’un accord de confidentialité.

Le logiciel Yellowfin est-il conforme à toutes les exigences et réglementations fédérales et nationales applicables aux États-Unis ?

L’application Yellowfin dispose de contrôles de sécurité robustes et d’un système d’autorisation granulaire pour répondre à toutes les exigences ou réglementations. En tant qu’entreprise, nous nous conformons à toutes les réglementations pertinentes.

Yellowfin utilise-t-il des méthodes de sauvegarde conformes aux normes de l’industrie ?

Yellowfin pratique des sauvegardes 3.2.1 des systèmes centraux, des données et des informations. Yellowfin effectue quotidiennement des sauvegardes hors site vers AZURE et le nuage AWS, réduisant ainsi les pertes PIT.
Les sauvegardes sont cryptées pour des raisons de sécurité sur les réseaux publics.

Avez-vous mis en place des contrôles pour prévenir les cyber-perturbations de vos réseaux et, en fin de compte, votre capacité à fournir des produits ou des services sous contrat (continuité de l’activité) ?

Yellowfin dispose d’un ensemble diversifié de capacités informatiques à travers AWS, Involta DC, le siège et les bureaux régionaux. Cela offre un haut niveau de flexibilité et une redondance intégrée. Yellowfin protège tous les points de terminaison avec la protection des points de terminaison dans le nuage de Bitdefender. Yellowfin protège toutes les frontières extérieures avec les pare-feu Cisco 55X5-X. Yellowfin protège les actifs IP à l’intérieur avec les pare-feu Cisco 55X5-X. Yellowfin pratique 3.2.1 la sauvegarde des actifs principaux. Yellowfin emploie un responsable de la sécurité qui analyse régulièrement les interfaces internes et externes à la recherche de vulnérabilités et gère leur résolution.

Yellowfin utilise-t-elle des logiciels OpenSource sous le manteau et quelles sont les mesures prises pour s’assurer que les logiciels OpenSource ne créent pas de failles de sécurité ?

Yellowfin utilise certaines bibliothèques open-source à l’intérieur de la base de code Yellowfin. Yellowfin n’utilise que des bibliothèques open-source qui ne sont pas soumises à des licences CopyLeft ou Proprietary. Yellowfin utilise des outils industriels tels que SonarCube et SonaType pour analyser la base de code de Yellowfin à la recherche de failles de sécurité, de bogues et de problèmes, de failles dans les logiciels libres, de bogues dans les logiciels libres. Yellowfin emploie un consultant en informatique qui travaille à plein temps à la détection et à la correction de la sécurité du code de Yellowfin. Il s’occupe également de la gestion des licences de logiciels libres afin d’en assurer la conformité.

Quelle taille de clé Yellowfin utilise-t-il pour les processus de cryptographie ?

Yellowfin choisira un algorithme disponible en fonction du support de la JVM. Il essaiera ces algorithmes dans l’ordre : AES, 3DES, BlowFish, DES. Yellowfin utilisera la taille de clé par défaut pour l’algorithme choisi.

Comment Yellowfin stocke-t-il les mots de passe des produits ?

Yellowfin utilise l’algorithme bCrypt pour hacher le mot de passe en clair et stocker le hachage dans la base de données de contrôle ; Yellowfin utilise également le CRC et d’autres mécanismes anti-piratage pour s’assurer que le mot de passe haché ne peut pas être modifié ou remplacé.

Le protocole TLS est-il utilisé par défaut pour la communication entre la source et la destination ?

Oui, l’instance Tomcat interne de Yellowfin supporte TLS 1.2.

Yellowfin dispose-t-elle d’une évaluation SOC2 ?

Les rapports SOC (Service Organization Controls) de l’American Institute of Certified Public Accountants (AICPA) donnent une assurance sur les environnements de contrôle relatifs à l’extraction, au stockage, au traitement et au transfert de données. Les rapports couvrent les contrôles généraux des technologies de l’information et les contrôles relatifs à la disponibilité, à la confidentialité et à la sécurité des données des clients.

Yellowfin a réalisé avec succès une évaluation SOC2 de type 2. Le rapport est disponible sur demande auprès de l’équipe commerciale de Yellowfin, moyennant la signature d’un accord de confidentialité.