Oui, Comscore applique et met à jour différentes politiques liées à la sécurité, conformes aux meilleures pratiques de la norme ISO 27001, telles qu’indiquées ci-dessous.

Oui, Comscore met ses politiques à la disposition de tous les employés et contractuels et organise une formation annuelle à la sécurité qui teste les collaborateurs sur le contenu des politiques mises en œuvre.

Comscore base son programme de sécurité sur le cadre de contrôle ISO 27001:2013. Notre programme en matière de sécurité est vérifié dans le cadre de nos audits SOX, MRC, SOC3.

Oui, lorsque la loi l'autorise. Dans le cas des contractuels issus de nos agences, nous ne vérifions pas directement leurs antécédents mais nos agences effectuent leurs propres vérifications. Dans le cas des contractuels directs (hors agence) nous procédons nous-mêmes aux vérifications des antécédents.

Oui, lorsque la loi le permet et généralement avant l'embauche.

Oui, Comscore a élaboré un programme de formation à la sensibilisation à la sécurité. Comscore sensibilise ses employés à l’importance de la sécurité par une approche multiaxiale. La formation de base est donnée par le biais d'une formation par ordinateur. Les employés suivront une formation initiale lors de leur intégration dans l’entreprise. La formation est dispensée par le système de gestion de l'apprentissage (LMS) de Comscore. Ce travail de sensibilisation est renforcé par des bulletins d'information, des affiches et des courriels. Les politiques mises en œuvre sont publiées sur un site SharePoint interne.

Qui.

Oui, conformément à la politique d'élimination des actifs informatiques et des médias de Comscore, qui est examinée par nos auditeurs externes.

Oui, les politiques appliquées par Comscore déterminent et renforcent la robustesse des mots de passe, l’historique, ainsi que l'interdiction de partager les mots de passe et les accès des utilisateurs.

Nous utilisons une architecture de pare-feu multi-niveaux soutenue par un pare-feu à états. Tous les accès externes sont redirigés vers la DMZ. L'accès aux réseaux internes est restreint en fonction des applications autorisées. 

Qui. 

Oui, TLS ou IPSSEC VPN est utilisé pour protéger les données en transit. Notre politique exige le cryptage des données en transit sur un réseau public.

Oui, un cryptage complet du disque est requis pour les appareils clients. Le cryptage à partir du serveur est limité aux informations réglementées, personnelles ou sensibles. AES 256 bits crypte les données statiques. 

Nos clés de chiffrement sont stockées dans une chambre forte qui répond aux normes FIPS et bénéficient d'une architecture redondante et assurée contre les défaillances. 

Comscore effectue des examens de sécurité de ses fournisseurs de Data Centers et s’appuie également sur des audits de tierces parties indépendantes, tels que SOC 1, 2 ou 3, ou ISO 27001.

Oui, pour les Data Centers auxquels Comscore a accès (AWS n'autorise pas l'accès sur site à ses Data Centers), Comscore restreint l'accès au personnel clé et effectue des contrôles d'accès périodiques.  Comscore vérifie régulièrement l'accès à ses Data Centers de tierces parties. Les contrôles d'accès physique comprennent, sans s'y limiter : une architecture de sécurité physique multi-niveaux ; un contrôle d'accès par lecteur de carte ; des mantras ; une authentification multifactorielle, y incluant code PIN et biométrie ; un contrôle et une surveillance par télévision en circuit fermé 24h/24 et 7j/7).

Nous avons mis en application et gérons plusieurs technologies de protection de l'information :

• Pare-feu d'application Web (WAF)
• Protection contre le déni de service
• Cryptage des données en transit
• Cryptage des données personnelles et sensibles statiques
• Protection des points d'accès (AV), y compris l'apprentissage par machine
• Gestion des appareils mobiles
• Système de détection des intrusions dans le réseau (NIDS)
• Systèmes de gestion des incidents et des événements de sécurité (SIEM) avec renseignements sur les menaces
• Renseignements sur les menaces lisibles par machine (MRTI)
• Inspection d’état (dit aussi « filtrage dynamique ») et les pares-feux de nouvelle génération
• Tests de pénétration par des tierces parties
• Réseau privé virtuel pour l'accès à distance des clients, des partenaires et de l'entreprise.
• Analyse fréquente de la vulnérabilité des applications et des systèmes
• Solutions de protection de données de type DCAP (Data Centric Audit and Protection)
• Solutions de protection contre la perte de données de type DLP (Data Loss Protection).

Oui, Comscore utilise un système de gestion des incidents et des événements relatifs à la sécurité de type SIEM (Security Incident and Event Management) pour regrouper les registres et détecter les menaces et les anomalies en matière de sécurité dans notre environnement.

Oui, seuls les appareils appartenant à l'entreprise et gérés par elle sont autorisés sur le réseau local sans fil de l'entreprise. Tous les autres appareils sont restreints à un réseau invité isolé permettant uniquement l'accès à Internet. Nous utilisons le cryptage sans fil standard mis en place par l'industrie (WPA2).

Oui, nos passerelles e-mail utilisent le protocole SMTP sur TLS.

Comscore utilise un processus formel de cycle de développement de la sécurité pour s'assurer que la sécurité est traitée tout au long du processus de développement. Les développeurs de Comscore suivent également une formation à la sûreté spécifique pour développeurs.

Comscore effectue un contrôle complet de la sécurité et de la confidentialité de tous ses fournisseurs. La surveillance et la vérification sont fondées sur le risque.

Qui.

Oui, la politique et les procédures de réponse aux incidents de Comscore garantissent qu'un incident est rapidement examiné, contenu, corrigé et signalé au niveau interne et externe, selon le cas, y compris les notifications réglementaires requises, sous réserve des approbations requises. Notre processus définit formellement les rôles et responsabilités de chacun, les critères de gravité des incidents, les notifications requises, l'approche adoptée pour utiliser divers outils afin de détecter les indicateurs de compromission. Un coordinateur des incidents supervise le processus de réponse aux incidents. Une équipe de réponse aux incidents de sécurité informatique, composée d'experts en applications techniques et en infrastructure, est chargée de mener l’enquête et de remédier aux incidents.

Les données sont répliquées dans l'installation de secours et/ou sauvegardées sur bande, en fonction du temps de rétablissement et des objectifs de point de reprise. Les plans de rétablissement après sinistre sont documentés et testés périodiquement au moyen d'un exercice de simulation et d'un essai parallèle annuel. Les sauvegardes comprennent une sauvegarde complète hebdomadaire et des incréments quotidiens. Les bandes sont stockées hors site.

Oui, il est régulièrement vérifié, mis à jour et approuvé par la direction. 

Oui, notre programme de sécurité est vérifié dans le cadre de nos audits SOX, MRC, SOC3, comme l'exigent les clients. Nous avons récemment obtenu une attestation des normes nationales chinoises sur la sécurité des technologies de l’information - Spécification de la sécurité des informations personnelles GB/T 35273-2017.  Voir la lettre d'attestation. 

Oui, comme indiqué sur nos pages Confidentialité et RGPD

Comscore protège les données IP à l'aide des techniques suivantes, en fonction des besoins de l'application : assainissement, masquage, hachage, anonymisation, pseudonymisation et cryptage (AES 256 bits).