Sécuriser vos informations et les rendre accessibles rapidement sont nos plus grandes priorités. Pour ce faire, nous utilisons une approche à 360 °. Cela inclut les protocoles de sécurité les plus avancés et les protections contre les pirates informatiques ainsi que des sécurités structurelles intégrées multiples (également connues sous le nom de redondances) qui défendent vos centres de données contre les événements d'origine naturelle.

Alors qu'aucun système ne peut vous protéger contre tous les dangers potentiels, la ligne de défense de MINDBODY est très avancée et contrôlée 24 h/24, 7 j./7, 365 j./an par des professionnels expérimentés, hautement qualifiés. Pour toute question relative à la sécurité de MINDBODY, veuillez nous contacter par mail à l'adresse privacy@mindbodyonline.com.

  • Centres de données sécurisés

    MINDBODY est co-implanté avec des centres de données sécurisés de Niveau 4 à Irvine, en Californie, et à Las Vegas, au Nevada. Chaque centre de données est contrôlé 24 h/24, 7 j./7, 365 jours par an par des professionnels informatiques qualifiés et expérimentés.

    • Conforme aux normes SSAE de type II et de type III
    • Structure renforcée pour tremblements de terre de Zone 4
    • Système de contrôle qui fournit des données en temps réel sur le fonctionnement des équipements, permettant une identification instantanée des problèmes
    • Des modules N+1 UPS multiples mis en parallèle configurés en systèmes redondants pour permettre une configuration d'alimentation A/B
    • Vingt mégawatts de sauvegarde d'alimentation extensible N+1 utilisant des générateurs
    • Une détection précoce de VESDA (Very Early Smoke Detection Alarm) avec des installations sous air de pré-action d'extinction d'incendie
    • Plusieurs entrées de réseaux fibrés vers des structures
    • Systèmes de contrôle d'accès (scans biométriques et accès avec Numéro d'Identification Personnel (PIN) avec verrous séparés pour chaque baie de serveurs MINDBODY

    Protection de réseau

    Les réseaux MINDBODY sont contrôlés pour protéger votre périmètre des menaces potentielles. Les menaces potentielles comprennent les hackers, les violations de données, les adwares, spywares, pop-ups, l'exploitation de vulnérabilités au niveau du serveur et les tentatives d'hameçonnage.

    • Tous les serveurs sécurisés sont protégés par des pare-feux de niveau 7, une technologie de routeur de première catégorie, un chiffrement TLS, un contrôle de l'intégrité des fichiers et une détection de l'intrusion des réseaux qui permet d'identifier le trafic malveillant et les attaques de réseau. La numérisation de la sécurité du réseau nous aide à identifier rapidement les systèmes non conformes.
    • Tous les réseaux sont contrôlés grâce à un système de Gestion des événements et des informations de sécurité (SIEM) qui recueille des données de tous les systèmes réseau et crée des déclenchements d'alarmes en fonction d'événements liés.
    • En plus de nos propres capacités et de celles de nos fournisseurs d'hébergement, nous avons des contrats avec des fournisseurs de nettoyage de Déni de Service Distribué (DDoS) à la demande qui nous permettent d'atténuer les attaques DDoS.
    • Des capteurs de détection d'intrusion situés sur l'ensemble de notre réseau interne rapportent les événements au système SIEM pour la connexion, les alertes et les rapports.

    Reprise après sinistre (DR)

    Afin d'assurer la disponibilité de nos systèmes dans le cas où nous rencontrerions un problème sérieux dans notre centre de données principal, nous avons conçu un centre de données DR dans lequel nous réalisons souvent des tests.

    • Le centre de données DR se situe dans un État distinct de celui où se trouve le siège social de MINDBODY, avec un accès Internet et une alimentation qui ne seraient pas affectés si une catastrophe venait à frapper la Californie.
    • Nous effectuons des réplications des fichiers en temps réel vers le disque dans chaque centre de données, et des réplications de données en temps quasi réel entre le centre de données de production et le centre de reprise après sinistre.
    • Les essais de reprise après sinistre vérifient nos temps de reprise prévisionnels et l'intégrité des données client.
    • Notre design permet de restaurer rapidement l'ensemble des services MINDBODY, en cas de perte catastrophique.

    Analyse des vulnérabilités et rapport

    MINDBODY et son infrastructure de sécurité de données font fréquemment l'objet d'un examen pour détecter des vulnérabilités potentiellement dangereuses.

    • Tous les analystes de la sécurité MINDBODY détiennent une qualification de Certified Information Systems Security Professional (CISSP).
    • Nous travaillons avec des spécialistes de sécurité tiers, des solutions de sécurité de niveau d'entreprise et des outils personnalisés en interne pour analyser régulièrement l'infrastructure d'application et de production pour garantir que toutes les vulnérabilités sont rapidement identifiées et atténuées.
    • Nous employons un nombre d'outils tiers, qualifiés pour fournir à la fois une analyse régulière de notre application et une analyse statique continue de notre codebase.
    • Un fournisseur de services tiers analyse automatiquement le réseau en externe et nous avertit des changements dans notre configuration de base.
    • Afficher notre analyse trimestrielle la plus récente.
  • Transmission sécurisée et séances

    Nous utilisons le protocole Transport Layer Security (TLS), une forme de chiffrement de données, afin de garantir la confidentialité de l'ensemble des communications Internet.

    • Les sessions d'utilisateur individuelles sont identifiées par un nom d'utilisateur unique lors de la connexion
    • De multiples couches d'appareils de contrôle, comprenant le Web Application Firewall (WAF)
    • Fonctionnalités de système de prévention d'intrusion

    Conformité PCI-DSS et HIPAA

    Nous prenons la sécurité très au sérieux : c'est la raison pour laquelle nos protocoles de réseau existants dépassent les normes les plus élevées : PCI DSS, niveau 1. Afin de maintenir notre certification PCI de niveau 1, MINDBODY est soumis à un audit annuel. MINDBODY effectue également une évaluation du risque HIPPA annuelle, analysée et approuvée par le Programme d'Assurance HITRUST CSF.

    Nous nous consacrons aux six meilleures pratiques de sécurité pour la protection des informations sanitaires protégées sous forme électronique (ePHI) et les données de carte de crédit, qui incluent, sans s'y limiter :

    1. Le maintien d'un réseau sécurisé
    2. Le chiffrement et la protection ePHI et la protection des données des titulaires de la carte
    3. Le maintien d'un programme de gestion de la vulnérabilité
    4. La mise en place de mesures de contrôle d'accès renforcées
    5. Le contrôle et le test de réseaux de production et de développement
    6. Le maintien d'un programme et de politiques de sécurité de l'information

    En savoir plus sur la validation de notre conformité PCI avec VISA.

    Sauvegardes de données

    MINDBODY a pour objectif de sauvegarder les données des adhérents de multiples façons afin de les protéger de toute perte ou corruption éventuelle des données. Chaque sauvegarde est enregistrée sur un serveur sécurisé et chiffré.

    • Toutes les données client sont sauvegardées sur un serveur sécurisé ou un répertoire de backup qui requiert une authentification d'accès.
    • Les informations de chaque client sont enregistrées sur leur propre base de données désignée, sauvegardée pour une protection contre l'effacement des données ou la corruption des données accidentelle ou malveillante.
    • Afin d'assurer une protection contre la perte de données, des instantanés de l'ensemble des données des abonnés sont réalisés toutes les 15 minutes. Des sauvegardes d'archives de toutes les données des abonnés sont également effectuées tous les jours et tous les mois, et sont retenues pendant 30 jours et 13 mois, respectivement.

    Notification d'incidents et de violations

    Le contenu concernant les lignes de défense de MINDBODY est bien documenté et rendu disponible pour vos clients à la demande.

    • MINDBODY maintient un dossier d'exploitation dit " runbooks", afin de répondre aux évènements et alertes du système et y compris les évènements de sécurité.
    • Un plan de communication de crise est maintenu dans l'ensemble de l'entreprise et inclut des instructions sur la manière d'avertir les clients dans le cas d'un événement de grande envergure.
    • Tout accès confirmé, non autorisé, engendrant des compromissions de données entraîne le déploiement d'une Cellule de crise qui utilise un processus de notification défini et audité.
    • MINDBODY génère un ePHI et un Rapport de violation de carte de crédit avec tous les faits disponibles concernant la portée de la violation, conformément à la PCI-DSS et à la règle relative à la notification des violations des données HIPAA, 45 CFR §§ 164.400-414.

    RGPD

    The EU General Data Protection Regulation (GDPR) is a comprehensive data protection law designed to strengthen and unify data protection for individuals within the EU, essentially giving EU residents and citizens more control of their personal data. The GDPR took effect on May 25, 2018.

    This law impacts any organization with a presence in an EU country, or any company that processes personal data of EU residents and citizens.

    MINDBODY has worked hard to ensure that our practices are GDPR compliant. It is equally important that you, our customers and partners, understand what the GDPR means to you and your business so you can ensure your own processes are compliant as they relate to data protection and the new regulations.

    Notre page FAQ offre des réponses à une multitude de question que vous pourriez avoir le RGPD.

Affichez notre politique de sécurité pour obtenir des informations complémentaires.