ISO 27001 – Système de gestion de la sécurité de l’information
ISO 27001 est la norme la plus connue au monde pour les systèmes de gestion de la sécurité de l’information (SGSI). Cette norme fournit aux entreprises de toutes tailles et de tous secteurs un guide pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de gestion de la sécurité de l’information. La conformité à la norme ISO 27001 indique qu’une organisation ou une entreprise a mis en place un système pour gérer les risques liés à la sécurité des données détenues ou traitées par l’entreprise, et que ce système respecte toutes les meilleures pratiques et les principes établis par cette norme internationale.
SOC 1 – Type 2 Rapports ouvrant les contrôles internes des systèmes d’information financière
Ces rapports, rédigés conformément à l’article 320 de l’AT-C (Rapport sur l’examen des contrôles d’un organisme de services relatifs au contrôle interne des rapports financiers des entités utilisateur), sont spécifiquement destinés à répondre aux besoins des entités qui utilisent des organismes de services (entités utilisateur) et des CPA qui vérifient les états financiers des entités utilisateur (auditeurs des entités utilisateur) pour évaluer l’effet des contrôles de l’organisme de services sur les états financiers des entités utilisateur.
SOC 2 – Type 2 : rapport couvrant la sécurité, la disponibilité, l’intégrité, la confidentialité et la vie privée
Ces rapports sont destinés à répondre aux besoins d’un large éventail d’utilisateurs exigeant des informations détaillées et une assurance sur les contrôles liés à la sécurité, à la disponibilité et à l’intégrité du traitement des systèmes qu’un organisme de services utilise pour traiter les données des utilisateurs, ainsi que sur la confidentialité et le caractère privé des informations traitées par ces systèmes. Ces rapports peuvent jouer un rôle essentiel pour :
- Avoir une vue d’ensemble de l’organisation
- Les programmes de gestion des fournisseurs
- Les processus internes de gouvernance d’entreprise et de gestion des risques
- La veille réglementaire
PCI – Validation des contrôles autour des données des titulaires de cartes afin de réduire la fraude par carte de crédit
Créée en 2006 par le Payment Card Industry Security Standards Council, cette certification a été initialement établie par les réseaux American Express, Discover, JCB, MasterCard et Visa.
L’objectif principal de la conformité PCI est de garantir la sécurité des données sensibles lors de transactions financières utilisant des cartes dans des environnements virtuels.
La certification PCI DSS est donc obligatoire pour toutes les entreprises qui traitent, stockent et partagent des données de cartes de crédit et/ou de débit sur Internet.
DPF – Data Privacy Framework
Le DPF est une certification créée pour faciliter le commerce transatlantique, en fournissant aux organisations américaines des mécanismes fiables pour le transfert de données personnelles des pays européens vers les États-Unis. En ce sens, il s’agit essentiellement d’un programme composé de divers mécanismes pour les transferts internationaux de données personnelles. Il découle de la décision d’adéquation de la Commission européenne pour l’UE-USA.
VTEX U.S. est certifiée dans les trois programmes DPF suivants :
- Le Data Privacy Framework UE-USA (EU-U.S. DPF),
- L’Extension du Royaume-Uni au Data Privacy Framework UE-USA (UK Extension to the EU-U.S. DPF) et
- Le Data Privacy Framework Suisse-USA (Swiss-U.S. DPF).
Le Sceau de Vérification du Data Privacy Framework de VTEX est disponible ici.
La Certification du Data Privacy Framework de VTEX est disponible publiquement sur le site du Programme DPF ici.