Qu'est-ce que la Certification ISO ? Sens ISO et réussite ISO 27001 de BigCommerce
Chez BigCommerce, nous étions ravis de recevoir la certification ISO/IEC 27001:2013. Cependant, contrairement au fait de gagner une médaille d'or olympique en ski alpin ou un prix Nobel d'économie, tout le monde ne sait peut-être pas immédiatement pourquoi nous sommes si enthousiastes à ce sujet ou ce que la valeur d'une certification standard de sécurité de l'information signifie pour nos clients.
Dans cette analyse approfondie, nous examinerons :
- Ce que signifie réellement la certification ISO,
- Qui est l'ISO et ce qu'il fait,
- Qui fournit les tests de sécurité ISO, et en fin de compte,
- Ce que cela signifie pour votre boutique en ligne.
Qu'est-ce que la certification ISO ?
Tout d'abord, ISO signifie Organisation internationale de normalisation. Il s'agit de l'organisation qui développe et publie des normes pour les organisations à l'échelle internationale. Cependant, ce n'est pas l'organisation qui procède à la certification (plus d'informations ci-dessous).
L'ISO a été fondée en 1947 lorsque des délégués de 25 pays se sont réunis à Londres à l'Institute of Civil Engineers dans le but de faciliter la coordination internationale sur les normes industrielles. Aujourd'hui, le groupe est composé de membres de 164 pays travaillant ensemble pour développer les normes ISO.
Qu'entend-on exactement par normes ? Selon le site Web de l'ISO, ils créent les "documents qui fournissent des exigences, des spécifications, des lignes directrices ou des caractéristiques qui peuvent être utilisées pour garantir de manière cohérente que les matériaux, produits, processus et services sont adaptés à leur objectif".
La certification ISO signifie qu'une entreprise a :
- Systèmes de gestion de haute qualité,
- Sécurité des données,
- Stratégies d'aversion au risque, et
- Pratiques commerciales standardisées
Les entreprises certifiées ISO doivent subir une évaluation de conformité stricte par le biais de tests et d'inspections par un groupe tiers spécialisé dans cette norme. Les entreprises qui réussissent ces évaluations démontrent qu'elles ont atteint la norme associée particulière.
En obtenant une certification, il donne aux consommateurs et aux autres parties prenantes la confiance dans les systèmes de l'entreprise et garantit que les conditions de sécurité, de santé ou environnementales pertinentes sont respectées.
Dans quoi se spécialise ISO 27000
L'ISO a publié plus de 22 000 normes sur tous les sujets, de la santé et de la sécurité à la gestion des aliments en passant par le développement durable. Ils donnent aux entreprises de tous les secteurs quelque chose à respecter lorsqu'elles alignent leur technologie et leurs pratiques pour garantir un niveau de qualité mesurable et constant.
La famille de normes ISO/IEC 27000 concerne les meilleures pratiques de gestion des données sécurisées, telles que les informations financières, la propriété intellectuelle ou toute autre information confiée à une entreprise par des tiers.
ISO/IEC 27001:2013, au sein de cette famille de normes, spécifie les exigences pour « établir, mettre en œuvre, maintenir et améliorer continuellement un système de management de la sécurité de l'information dans le contexte de l'organisation ».
La certification ISO/IEC 27001:2013 est la seule norme internationale auditable qui définit les exigences d'un système de gestion de la sécurité de l'information. Des entreprises telles que BigCommerce qui sont certifiées ISO/IEC 27001:2013 démontrent leur adhésion à ces meilleures pratiques pour des systèmes rigoureux de gestion de la sécurité et de la sécurité des données. Voici quelques exemples de ce que cela inclut.
1. Données sécurisées.
Comme expliqué ci-dessus, les normes ISO/IEC 27000 créent des réglementations qui aident à définir à quoi ressemble un système de gestion de la sécurité de l'information sécurisé. La sécurisation des données présentes dans vos systèmes est l'une des réalisations les plus rigoureuses du secteur SaaS.
2. Gestion des risques.
La gestion des risques pour les grandes entreprises est difficile à planifier entièrement et nécessite souvent une approche structurée. Il existe des normes distinctes traitant spécifiquement de la gestion des risques (ISO 31000), mais la norme ISO 27000 s'applique toujours en ce qui concerne la manière dont la sécurisation des données peut réduire les risques pour une entreprise en cas de violation de données. La certification ISO signifie qu'une entreprise a établi des plans de gestion des risques et fait un travail exemplaire pour maintenir la sécurité et minimiser les risques.
3. Pratiques commerciales sûres.
Étant donné que les normes ISO 27000 traitent des meilleures pratiques en matière de systèmes de sécurité de l'information, la conformité aux normes informatiques et de sécurité doit être vérifiée à tous les niveaux pour obtenir la certification ISO 27001:2013. Dans l'ensemble, cette certification prouve qu'une entreprise agit de manière professionnelle et éthique, planifie l'avenir et respecte la confidentialité et la sécurité des données.
Explication de la certification ISO 27001 de BigCommerce
Maintenant que vous avez une idée générale de ce que signifie la certification ISO - et en particulier ISO / IEC 27001:2013 - plongeons dans le processus de certification :quels obstacles ont été franchis et quelles cases ont été cochées pour prouver que BigCommerce maintient le maximum de normes d'information.
Une fois que vous aurez compris l'ensemble du processus rigoureux et les normes à atteindre, vous comprendrez mieux pourquoi BigCommerce est l'une des rares plateformes de commerce électronique SaaS à obtenir cette certification.
Pour obtenir la certification, les entreprises doivent passer par un processus de planification en six étapes qui comprend tous les éléments suivants.
1. Politiques de sécurité.
L'entreprise doit fournir des spécifications qui détaillent ses politiques de sécurité, y compris la documentation, qui est responsable de la gestion et comment les audits internes sont effectués. BigCommerce a atteint ou dépassé les normes des politiques de sécurité définies.
2. Portée du SMSI.
La deuxième partie du processus de planification définit le périmètre du système de management de la sécurité de l'information en cours de certification. Le SMSI doit montrer une amélioration continue et des actions correctives et préventives qui ont été prises pour assurer la sécurité la plus élevée. La portée et la feuille de route du BigCommerce ISMS ont atteint ou dépassé la norme nécessaire.
3. Évaluations des risques.
Afin de gérer et de prévenir au mieux les risques, l'entreprise en question doit évaluer tous les risques potentiels. BigCommerce a évalué le risque dans son organisation et a atteint ou dépassé les normes.
4. Risques identifiés.
Encore une fois, la meilleure façon d'atténuer les risques est d'en être conscient - de limiter les inconnues inconnues et de révéler au grand jour tout passif potentiel. BigCommerce gère actuellement les risques identifiables pour assurer la sécurité et la satisfaction des clients.
5. Sélectionnez les objectifs de contrôle.
La norme 27001 n'impose pas de contrôles de sécurité de l'information spécifiques, cependant, elle suggère des objectifs de contrôle spécifiques qui doivent être atteints. BigCommerce prend cela au sérieux et a atteint les objectifs de sécurité requis.
6. Déclaration d'applicabilité.
Après avoir franchi les cinq premières étapes du processus, BigCommerce a demandé la certification ISO/IEC 27001:2013 et l'a reçue !
Ce que cela signifie pour nos clients
La raison pour laquelle BigCommerce a choisi de poursuivre ce processus de certification rigoureux est la valeur qu'il peut ensuite apporter à nos clients. Cette certification démontre notre engagement envers la sécurité de l'information, la conformité et les pratiques réglementaires. Cela offre à nos clients la tranquillité d'esprit en ce qui concerne tout ce qui suit :
1. Sécurité du site de classe mondiale.
Les sites de commerce électronique ne peuvent pas se permettre d'avoir une sécurité inférieure ou incohérente. Lorsque vous créez votre site de commerce électronique sur la plate-forme BigCommerce, vous pouvez être assuré que votre site restera actif et sécurisé.
2. IP protégée.
Bien sûr, bien qu'il soit extrêmement important de protéger les données de vos clients, ce ne sont pas les seules informations sensibles de votre système. En travaillant avec une plate-forme qui valorise la sécurité des informations et qui a fait ses preuves, vous pouvez être sûr que toute propriété intellectuelle sur votre site est conservée en toute sécurité dans les systèmes de BigCommerce.
3. Protection contre les attaques DDoS.
Une attaque par déni de service distribué (DDoS) est une tentative malveillante de perturber le flux de trafic normal et le fonctionnement d'un site Web en submergeant le serveur ou le réseau. Parce que BigCommerce a ajouté des mesures de sécurité supplémentaires et les meilleures pratiques en place, vous n'avez pas à vous soucier d'une attaque DDoS sur votre site ou le nôtre.
Qui fournit des tests de qualité ISO ?
Comme mentionné ci-dessus, l'ISO fournit les normes, mais elle ne fournit pas réellement de certifications pour évaluer si une entreprise a satisfait ou non à ces normes. Au lieu de cela, ils ont un comité, CASCO, qui s'occupe de l'évaluation de la conformité.
Afin d'obtenir réellement la certification, une entreprise doit passer par un groupe de certification tiers qui répond aux normes CASCO nécessaires.
1. Groupes consultatifs sur la cybersécurité.
Les groupes de cybersécurité gèrent les sites Web et les systèmes dorsaux des entreprises grâce à des tests rigoureux pour voir s'il y a des trous dans le système qui pourraient permettre une violation. La certification de BigCommerce a été complétée par le groupe consultatif sur la cybersécurité Coalfire ISO. Coalfire ISO est un organisme de certification ISO 27001 qualifié qui garantit la conformité de BigCommerce aux lois, réglementations et normes de sécurité applicables.
2. Organisations d'assurance qualité tierces.
Une fois que le groupe consultatif sur la cybersécurité a évalué et traité les risques, une organisation d'assurance qualité tierce peut alors s'assurer qu'une entreprise a respecté toutes les normes requises pour les politiques, procédures, processus et systèmes qui gèrent tout type d'informations circulant dans l'entreprise. BigCommerce a été évalué par un organisme d'assurance qualité indépendant qui s'est assuré que nous avions "établi un ensemble formel de politiques, de procédures, de processus et de systèmes qui gèrent les risques liés à l'information pour sa présence numérique et physique".
Le processus de certification et l'AQ de suivi ne sont pas une affaire ponctuelle. Il s'agit d'un engagement de trois ans d'audits de processus continus effectués tous les six mois pour s'assurer que BigCommerce reste en conformité et complète nos plans d'amélioration des risques.
Pourquoi la norme ISO 27001 est-elle importante pour les boutiques en ligne ?
L'importance de la sécurité des données dans le commerce électronique ne peut pas être surestimée. Les clients des magasins en ligne comptent sur ces magasins pour assurer la sécurité de leurs paiements sensibles et de leurs données personnelles. Lorsque leur confiance dans une entreprise est ébranlée par une faille de sécurité, il peut être difficile de la regagner.
Selon une étude d'IBM Security et du Ponemon Institute, le coût moyen d'une violation de données pour une entreprise est de 3,86 millions de dollars dans le monde. Aux États-Unis, le prix moyen par violation est encore plus élevé :7,91 millions de dollars.
Voici quelques-unes des choses qui peuvent être perdues si une entreprise ne prend pas la sûreté et la sécurité au sérieux et ne maintient pas (ou ne travaille pas avec une plate-forme qui maintient) une approche systématique de la gestion des informations sensibles.
1. Sécurité des paiements.
Lors du traitement de centaines, voire de milliers de paiements de clients, vous aurez besoin d'un système hautement sécurisé afin qu'aucune information importante ne s'échappe. Il y a une raison pour laquelle les entreprises de commerce électronique sont le secteur le plus fréquemment attaqué. Ils sont une cible populaire pour les pirates car ils détiennent tellement d'informations comme les données de carte de crédit et de débit de leurs clients. Votre site est le gardien de ces informations sensibles, et il est extrêmement important que vous mainteniez les normes de sécurité les plus élevées pour les protéger.
2. Informations client.
Les informations de paiement ne sont pas les seules données sensibles que vous possédez sur vos clients et qui pourraient intéresser les pirates. Les informations client telles que les noms, adresses, numéros de téléphone et adresses e-mail peuvent toutes être menacées lors de l'hébergement sur un site non sécurisé.
3. Confiance des clients.
La confiance des clients tout au long du parcours de l'acheteur est une partie importante de votre expérience client globale. Vous voulez que vos clients aient un fort sentiment de confiance en votre marque. Perdre cette confiance peut les envoyer à vos concurrents. Faire savoir aux clients que vous avez leur meilleur intérêt à cœur est le meilleur moyen de maintenir des relations client à long terme. En choisissant une plate-forme certifiée ISO/IEC 27001:2013, vous pouvez garantir à vos clients qu'ils seront en sécurité dans toutes les parties de votre site.
Conclusion
BigCommerce était ravi d'annoncer notre certification ISO/IEC 27001:2013 ce printemps, car cela représente beaucoup de travail pour s'assurer que nos processus et notre technologie sont en ligne pour atténuer les risques et sécuriser les données de nos clients.
Plus important encore, cela démontre notre engagement à faire de la sécurité de l'information l'une de nos principales priorités. C'est quelque chose que chaque commerçant devrait prendre en compte lors du choix ou de l'adoption d'une plate-forme de commerce électronique. Rien ne doit être laissé au hasard ou au risque, et l'évaluation d'une plate-forme pour sa posture de sécurité, son engagement et sa certification doit être une exigence.
L'e-commerce est une industrie énorme (et toujours en croissance) qui devrait atteindre 604 milliards de dollars de ventes d'ici 2020. Alors que de plus en plus de personnes font confiance aux boutiques en ligne pour protéger leurs données, vous ne pouvez pas vous permettre d'avoir un site non sécurisé.
Protégez les données de vos clients et votre propriété intellectuelle en vous appuyant sur une plate-forme à la fois conforme à la norme ISO/IEC 27001:2013 et qui maintient les niveaux de conformité PCI les plus élevés.
-
Qu'est-ce que la pleine conscience ? Et dois-je méditer ?
Vous sentez-vous régulièrement dépassé et agité ? Ces sentiments surviennent-ils sans raison claire ? Cela nous arrive à tous. Pendant ces instants, nous nous sentons mal. Nous prenons les mauvaises
-
Signification SKU - Qu'est-ce qu'un SKU ?
SKU (Unité de gestion des stocks) est un code de produit que vous pouvez utiliser pour rechercher et identifier le stock disponible à partir de listes, de factures ou de bons de commande. Cest un term
Entreprise
- Quelle est la signification de la vente d'actifs?
- Quelle est la signification de l'argent convertible,
- Qu'est-ce que le délit d'initié et est-ce illégal ?
- Cartonisation :qu'est-ce que c'est et comment peut-elle aider ?
- Qu'est-ce que l'omnicanal ? Avantages et stratégies
- Qu'est-ce que « Risque et rendement » ?
- Qu'est-ce qu'une formation de tasse et de poignée?
- Qu'est-ce que l'assurance erreurs et omissions?
- Budgétisation :qu'est-ce que c'est et comment le faire
-
Qu'est-ce que l'achat et la construction ? La stratégie dachat et de construction, cest lorsquune entreprise étend ses activités en acquérant une entreprise plate-forme dotée dune expertise développée quelle peut ensuite développer. Lorsquune ...
-
Règle de 72 :qu'est-ce que c'est et comment l'utiliser
Quest-ce que la règle de 72 ? La règle de 72 est un calcul qui estime le nombre dannées quil faut pour doubler votre argent à un taux de rendement spécifié. Si, par exemple, votre compte rapporte 4%...