Vue d'ensemble de la sécurité DFIN

Identifier, protéger, détecter, répondre, récupérer - Le cadre de cybersécurité du NIST est l'épine dorsale de la sécurité chez DFIN. DFIN comprend l'importance de maintenir un programme de sécurité de l'information complet et robuste et maintient l'excellence engagée envers notre programme de sécurité de l'information de classe mondiale, la protection des données et l'efficacité globale de la cybersécurité.

Parlez à un expert

Nos systèmes, processus et experts utilisent de nombreux outils pour sécuriser les données de nos clients

  • Audits SOC2 de type II
  • Assistance au développement de logiciels sécurisés par le biais de tests d'applications statiques et dynamiques (SAST/DAST), de revues de code et d'analyses de versions de logiciels.
  • Contrôles de périmètre et pare-feu nouvelle génération à la pointe de l'industrie
  • Des analyses complètes et continues des vulnérabilités sont effectuées dans toutes les applications pour identifier et atténuer rapidement les cyber-vulnérabilités
  • Engagement envers le RGPD et d'autres réglementations sur la protection des données
  • Sensibilisation et formation approfondies des employés en matière de sécurité
  • Le chiffrement AES 256 bits est utilisé pour protéger les données au repos
  • Le chiffrement AES 256 bits est utilisé pour protéger les données en transit
  • Surveillance et alertes de sécurité 24h/24, 7j/7 et 365 jours par an
  • Technologies avancées de prévention des e-mails et des menaces
  • Utilisation d'antivirus de nouvelle génération, d'anti-malware et de technologies avancées de protection des terminaux
  • Tests d'intrusion annuels effectués par un tiers, avec validation indépendante des mesures correctives prises pour chaque constatation
  • Des contrôles rigoureux de gouvernance et de conformité

Gouvernance informatique, risque et conformité

SOC 2 Type II

  • Nouvel audit et rapport annuel SOC 2 Type II ActiveDisclosure
  • Audit et rapport annuel SOC 2 Type II Global Investment Companies (GIC)
  • Audit et rapport annuels SOC 2 Type II Venue + HiTrust
  • Audit et rapport annuels SOC 2 Type II Global Capital Markets (GCM)

Principes de l'AICPA Trust Service

Mise en place d'un programme de gouvernance rigoureux qui s'appuie sur les principes de sécurité, de disponibilité et de confidentialité de l'AICPA Trust Service.

Certificat ISO 27001 pour l'entreprise

DFIN maintient la certification ISO 27001 pour l'entreprise

NIST CSF

  • Processus complets de gestion des risques informatiques
  • Dédié à la sécurité de la chaîne d'approvisionnement et à la gestion des risques des tiers
  • Gouvernance informatique sur la politique, les procédures et les normes
  • Le GRC informatique relève directement du responsable de la sécurité des systèmes d'information

Sécurité des applications

Chiffrement

  • La transmission des données est chiffrée pendant le transit via TLS v1.2
  • Les technologies de test de sécurité des applications statiques et dynamiques
  • Le chiffrement AES 256 bits est utilisé pour protéger les données au repos
  • Le chiffrement AES-256 bits est utilisé pour protéger les fichiers de base de données

Gestion des identités et des accès

Intégration de l'authentification multifactorielle et de l'authentification unique du client entièrement prise en charge

Azure Key Vault utilisé pour le stockage des clés

Système interne Zero Trust, gestion des accès privilégiés

Automatisation du programme cycle de vie des identités mise en œuvre en interne

Gestion des menaces

Effectué en continu, en s'appuyant sur des outils de gestion des menaces de pointe

 
 

Tests d'intrusion

Test d'intrusion annuel effectué par un tiers pour une vérification indépendante de la position de sécurité des produits DFIN

  • Tests d'intrusion complets réalisés par un tiers indépendant pour les tests continus et de routine des réseaux et des systèmes
  • Tests d'intrusion inclus avec les produits ayant une interface avec l'extérieur ainsi que les infrastructures réseau
  • Validation des mesures correctives effectuée par un tiers indépendant

Développement d'applications

Revues de code

Réalisé plusieurs fois tout au long du processus de développement

Assurance qualité rigoureuse

Un processus de test est en place pour identifier les problèmes potentiels au début du processus de développement, y compris les tests SAST et DAST

SDLC et intégration/déploiement continu

DFIN adopte les meilleures pratiques modernes en matière de cycle de vie du développement logiciel (SDLC) et d'intégration continue et de déploiement continu (CI/CD) alignées sur un processus de promotion des versions multi-environnement (intégration, assurance qualité, mise en scène et production)

Infrastructure

Sécurité des réseaux complète

  • Des contrôles de sécurité de l'infrastructure sont en place (pare-feu, IDS et IPS, journalisation et surveillance de la sécurité)

Supervision technologique

  • Analyses régulières de la vulnérabilité du réseau et des serveurs
  • Correction régulière du système d'exploitation (des correctifs de sécurité Microsoft sont appliqués chaque mois)
  • Programme de sauvegarde régulier
  • Hébergé dans Microsoft Azure
  • Hébergement de données sur site
Dannie Combs - Chief Information Security Officer 

Du bureau du RSSI​

Dirigé par Dannie Combs

Vice-président principal, Responsable de la sécurité des systèmes d'information

Équipe de sécurité d'entreprise prenant en charge les incidents de sécurité et la réponse, la sécurité des applications, la sécurité du réseau et la gouvernance de la sécurité, les risques et la conformité, apportant un soutien complémentaire :

  • L'utilisation d'outils et d'utilitaires de sécurité pour analyser et surveiller les actifs de DFIN
  • Équipe d'intervention en matière de sécurité et processus en place pour traiter les vulnérabilités ou événements potentiels
  • Surveillance de la sécurité et journalisation
  • Gestion des politiques - politiques complètes, y compris la politique de sécurité de l'information et la formation annuelle des employés sur la sensibilisation à la sécurité
  • Réponse aux incidents de cybersécurité
  • Programmes fréquents et continus de formation des employés et meilleures pratiques
Phone expert Phone expert

Nous pouvons fournir des informations supplémentaires, y compris notre rapport SOC 2 Type II, une fois qu'un accord de non-divulgation est signé

Parlez à un expert
Contact an Expert

Start the Conversation