Conformité

Gouvernance informatique de DFIN

La gouvernance informatique est définie comme les processus qui garantissent l'utilisation efficace et effective de l'informatique pour permettre à une organisation d'atteindre ses objectifs par l'établissement de protocoles tels que des politiques et des normes. L'équipe de gouvernance informatique de DFIN facilite ce processus en s'assurant que ces protocoles existent, et qu'ils sont formalisés et approuvés. L'équipe suit les documents tout au long de ce processus et promeut la sensibilisation en les mettant à la disposition de l'entreprise. Nos clients bénéficient de cette équipe de gouvernance informatique bien organisée car elle assure la cohérence, l'organisation, la prévisibilité et l'ordre.

Gestion des risques informatiques de DFIN

La gestion des risques informatiques est une méthodologie de contrôle permettant de détecter, d'évaluer, d'examiner, de signaler et de suivre les efforts de suivi des événements informatiques susceptibles d'affecter négativement l'organisation. L'équipe de gestion des risques informatiques de DFIN a élaboré et mis en œuvre un programme d'évaluation continue des risques qui intègre les risques identifiés et évalués dans divers systèmes de soutien tels que l'audit interne et externe/les tests de conformité, l'analyse de la sécurité, la gestion des risques liés aux clients et aux fournisseurs, et les exceptions à la gouvernance informatique. Les clients de DFIN bénéficient réellement de cet effort en s'assurant que la position et l'exposition à la sécurité informatique de DFIN se trouvent à un niveau de risque faible et acceptable.

DFIN Vendor Risk Management

Lors de l'évaluation des partenariats, DFIN cherche continuellement à réduire les risques dans tous les vecteurs de menace. Notre programme de gestion des risques liés aux fournisseurs, connu sous le nom de sécurité de la chaîne d'approvisionnement, évalue la viabilité de tous les fournisseurs potentiels de DFIN. Le processus bien défini de DFIN catégorise les fournisseurs et évalue leur risque inhérent. Un fournisseur ne peut être intégré qu'après avoir été catégorisé, évalué en fonction des risques et approuvé. En plus des nouveaux fournisseurs, les fournisseurs existants sont réévalués sur une base annuelle, faisant l'objet d'un examen complet de la sécurité. Une partie de ce processus consiste à remédier complètement aux problèmes pour devenir ou rester un fournisseur DFIN approuvé.

VENUE SOC 2 + HITRUST

L'auditeur tiers de DFIN effectue un contrôle SOC 2 + HITRUST annuel du cadre de contrôle SOC 2 de Venue. Notre audit SOC 2 + HITRUST type II dure 6 mois avec une période d'observation Du 1er Juin au 30 Novembre. Un rapport SOC 2 de type II est ensuite produit au cours du mois de décembre et mis à la disposition des clients par la suite. Une lettre de transition attestant que l'efficacité de nos contrôles reste en place pendant la période de non-observation du 1^er Décembre au 31 Mai. 

PRODUITS ET SERVICES COUVERTS

• Venue

Le rapport VENUE SOC 2 + HITRUST est disponible pour les clients actuels et potentiels en vertu d'un accord de non-divulgation signé.

Certification ISO/IEC 27001 : 2013

DFIN a obtenu la certification ISO 27001 pour l'entreprise en 2022. 

La certification ISO 27001 est disponible pour les clients actuels et potentiels en vertu d'un accord de non-divulgation signé.

Certification ISO 9001

DFIN a obtenu la norme ISO 9001 pour ses installations de fabrication. Ces installations couvrent les travaux d'impression et de composition effectués au niveau national. 

PRODUITS ET SERVICES COUVERTS

• Imprimer
• Fabrication

La certification ISO 9001 est disponible pour les clients actuels et potentiels en vertu d'un accord de non-divulgation signé.

Questionnaires d'examen de la sécurité

DFIN produit chaque année plusieurs artefacts de type « SIG » pour la consommation du client afin de l'aider dans ses processus d'examen et/ou d'audit de la sécurité de la gestion des risques fournisseurs. 

PRODUITS ET SERVICES COUVERT

• Venue
• ActiveDisclosure
• Produits ARC
• Fichier 16
• Impression et composition

Les SIG, CAIQ et DDQ sont mis à la disposition des clients actuels et exigent qu'un accord de non-divulgation signé ou un langage de confidentialité dans un accord-cadre de service existant soit en place avant le traitement de la demande.

Cloud Security Alliance CAIQ et STAR Registry

Dans le cadre de la sécurité, de la confiance, de l'assurance et du registre (STAR) de la Cloud Security Alliance (CSA), DFIN a terminé la CAIQ v3.1 (v.4 en attente) de la CSA. La CAIQ offre un moyen accepté par l'industrie de documenter les contrôles de sécurité du cloud pour les services IaaS, PaaS et SaaS et transmet notre conformité à la matrice de contrôles du cloud de la CSA. Cela aide nos clients à évaluer la posture globale de sécurité du cloud DFIN. DFIN n'est pas actuellement enregistré en tant qu'ÉTOILE. 

PRODUITS ET SERVICES COUVERTS

• CAIQ réalisé pour l'entreprise

Le CAIQ peut être mis à la disposition des clients actuels et futurs et exige qu'un accord de non-divulgation signé ou un langage de confidentialité dans un accord-cadre de service existant soit en place avant l'exécution de la demande.

Lettre de transition pour l'attestation SOC 2

DFIN fournit des lettres-relais à l'appui de tous nos rapports SOC 2. La lettre de transition indique que nos contrôles sont en place et n'ont pas changé pendant la période de non-observation de notre audit SOC 2. 

PRODUITS ET SERVICES COUVERTS 

 

• Rapport GCM SOC 2
• Rapport GIC SOC 2
• Rapport SOC 2 ActiveDisclosure
• Rapport SOC 2 DU LIEU

Les lettres-relais sont disponibles pour les clients actuels et potentiels en vertu d'un accord de non-divulgation signé.