Conformité

Gouvernance informatique de DFIN

La gouvernance informatique est définie comme les processus qui garantissent l'utilisation efficace et effective de l'informatique pour permettre à une organisation d'atteindre ses objectifs par l'établissement de protocoles tels que des politiques et des normes. L'équipe de gouvernance informatique de DFIN facilite ce processus en s'assurant que ces protocoles existent, et qu'ils sont formalisés et approuvés. L'équipe suit les documents tout au long de ce processus et promeut la sensibilisation en les mettant à la disposition de l'entreprise. Nos clients bénéficient de cette équipe de gouvernance informatique bien organisée car elle assure la cohérence, l'organisation, la prévisibilité et l'ordre.

Gestion des risques informatiques de DFIN

La gestion des risques informatiques est une méthodologie de contrôle permettant de détecter, d'évaluer, d'examiner, de signaler et de suivre les efforts de suivi des événements informatiques susceptibles d'affecter négativement l'organisation. L'équipe de gestion des risques informatiques de DFIN a élaboré et mis en œuvre un programme d'évaluation continue des risques qui intègre les risques identifiés et évalués dans divers systèmes de soutien tels que l'audit interne et externe/les tests de conformité, l'analyse de la sécurité, la gestion des risques liés aux clients et aux fournisseurs, et les exceptions à la gouvernance informatique. Les clients de DFIN bénéficient réellement de cet effort en s'assurant que la position et l'exposition à la sécurité informatique de DFIN se trouvent à un niveau de risque faible et acceptable.

Gestion des risques fournisseurs de DFIN

Lors de l'évaluation des partenariats, DFIN cherche continuellement à réduire les risques dans tous les vecteurs de menace. Notre programme de gestion des risques liés aux fournisseurs, connu sous le nom de sécurité de la chaîne d'approvisionnement, évalue la viabilité de tous les fournisseurs potentiels de DFIN. Le processus bien défini de DFIN catégorise les fournisseurs et évalue leur risque inhérent. Un fournisseur ne peut être intégré qu'après avoir été catégorisé, évalué en fonction des risques et approuvé. En plus des nouveaux fournisseurs, les fournisseurs existants sont réévalués sur une base annuelle, faisant l'objet d'un examen complet de la sécurité. Une partie de ce processus consiste à remédier complètement aux problèmes pour devenir ou rester un fournisseur DFIN approuvé.

Sociétés d'investissement mondiales

L'auditeur tiers de DFIN réalise chaque année un audit SOC 2 du cadre de contrôle SOC 2 de GIC. Notre audit SOC 2 de type II s'étend sur 6 mois, avec une période d'observation allant du 1er mai au 31 octobre. Un rapport SOC 2 de type II est ensuite produit au cours du mois de décembre et mis à la disposition des clients par la suite. Une lettre de transition attestant que l'efficacité de nos contrôles reste en place pendant la période de non-observation du 1er novembre au 30 avril.

PRODUITS ET SERVICES COUVERTS

• ARC Suite
• ARC Pro
• Services d'impression et de composition
• Autres solutions

Marchés des capitaux mondiaux

L'auditeur tiers de DFIN effectue un audit SOC 2 annuel du cadre de contrôle SOC 2 de GCM. L'audit SOC 2 de type II se déroule sur 6 mois, la période d'observation allant du 1er mai au 31 octobre. Un rapport SOC 2 de type II est ensuite produit au cours du mois de décembre et mis à la disposition des clients par la suite. Une lettre de transition attestant que l'efficacité de nos contrôles reste en place pendant la période de non-observation du 1er novembre au 30 avril.

Le rapport GCM SOC 2 Type II est disponible pour les clients actuels et potentiels en vertu d'un accord de non-divulgation signé.

Nouvelle divulgation active

L'auditeur tiers de DFIN effectue un audit SOC 2 annuel du nouveau cadre de contrôle SOC 2 de GCM ActiveDisclosure. Nous testons également certains contrôles SOC 1 dans le cadre de notre audit SOC 2 pour fournir des assurances supplémentaires relatives à l'information financière.

Notre audit SOC 2 Type II dure 6 mois avec une période d'observation du 1er juin au 30 novembre. Un rapport SOC 2 de type II est ensuite produit au cours du mois de décembre et mis à la disposition des clients par la suite. Une lettre de transition attestant que l'efficacité de nos contrôles reste en place pendant la période de non-observation du 1er décembre au 31 mai.

PRODUITS ET SERVICES COUVERTS

• Nouvelle annonce

eBrevia

L'auditeur tiers de DFIN effectue un audit SOC 2 annuel du cadre de contrôle eBrevia SOC 2. L'audit SOC 2 de type II se déroule sur 6 mois, la période d'observation allant du 1er août au 31 janvier. Un rapport SOC 2 de type II est ensuite produit au cours du mois de mars et mis à la disposition des clients par la suite. Une lettre de transition attestant que l'efficacité de nos contrôles reste en place pendant la période de non-observation du 1er février au 31 juillet.

PRODUITS ET SERVICES COUVERTS

• eBrevia

VENUE SOC 2 + HITRUST

L'auditeur tiers de DFIN effectue un contrôle SOC 2 + HITRUST annuel du cadre de contrôle SOC 2 de Venue. Notre audit SOC 2 + HITRUST type II dure 6 mois avec une période d'observation du 1er mai au 31 octobre. Un rapport SOC 2 de type II est ensuite produit au cours du mois de décembre et mis à la disposition des clients par la suite. Une lettre de transition attestant que l'efficacité de nos contrôles reste en place pendant la période de non-observation du 1^er novembre au 30 avril.

PRODUITS ET SERVICES COUVERTS

• Venue

Certification ISO/IEC 27001 : 2013

DFIN a obtenu la certification ISO 27001 en 2022 pour le SITE et poursuit une certification ISO 27001 d'entreprise en 2023.

PRODUITS ET SERVICES COUVERTS

• Venue

Certification ISO 9001

DFIN a obtenu la norme ISO 9001 pour ses installations de fabrication. Ces installations couvrent les travaux d'impression et de composition effectués au niveau national.

PRODUITS ET SERVICES COUVERTS

• Imprimer
• Fabrication

Questionnaires d'examen de la sécurité

DFIN produit chaque année plusieurs artefacts de type « SIG » pour la consommation du client afin de l'aider dans ses processus d'examen et/ou d'audit de la sécurité de la gestion des risques fournisseurs.

PRODUITS ET SERVICES COUVERT

• Venue
• ActiveDisclosure
• Produits ARC
• eBrevia
• Fichier 16
• Impression et composition

Cloud Security Alliance CAIQ et STAR Registry

Dans le cadre de la sécurité, de la confiance, de l'assurance et du registre (STAR) de la Cloud Security Alliance (CSA), DFIN a terminé la CAIQ v3.1 (v.4 en attente) de la CSA. La CAIQ offre un moyen accepté par l'industrie de documenter les contrôles de sécurité du cloud pour les services IaaS, PaaS et SaaS et transmet notre conformité à la matrice de contrôles du cloud de la CSA. Cela aide nos clients à évaluer la posture globale de sécurité du cloud DFIN. DFIN n'est pas actuellement enregistré en tant qu'ÉTOILE.

PRODUITS ET SERVICES COUVERTS

• CAIQ réalisé pour l'entreprise

Lettre de transition pour l'attestation SOC 2

DFIN fournit des lettres-relais à l'appui de tous nos rapports SOC 2. La lettre de transition indique que nos contrôles sont en place et n'ont pas changé pendant la période de non-observation de notre audit SOC 2. Un exemple de représentation est ci-dessous :

À qui de droit :
Cette lettre a pour but de confirmer, au meilleur de notre connaissance et de notre conviction, les représentations suivantes :

• La description des contrôles dans le rapport d'audit SOC 2 de DFIN daté du 15 décembre 2021 présente fidèlement, à tous égards importants, les aspects de nos contrôles qui peuvent être pertinents pour le contrôle interne d'une organisation utilisatrice.
• Les contrôles contenus dans le rapport SOC 2 Type II atteignent les objectifs de contrôle spécifiés.
• Tous les contrôles contenus dans ce rapport étaient en place du 1er janvier 2021 au 30 avril 2021 et sont restés en place du 1er novembre 2021 à la date de la présente lettre.
• Il n'y a pas eu d'actes illégaux connus, de fraude ou d'erreurs non corrigées qui auraient pu affecter la direction ou les employés concernés par l'audit SOC 2, au cours de la période de référence.
• Nous avons divulgué tous les cas dans lesquels nous savons que les contrôles n'ont pas fonctionné avec une efficacité suffisante pour atteindre les objectifs de contrôle spécifiés.
• Aucun changement significatif n'a été apporté aux contrôles depuis le 1er novembre 2021, jusqu'à la date de cette lettre.

• Rapport GCM SOC 2
• Rapport GIC SOC 2
• Nouveau rapport SOC 2 ActiveDisclosure
• Rapport SOC 2 DU LIEU
• Rapport eBrevia SOC 2