Centre de confiance digitale Quadient

Quadient gère la conformité à plusieurs certifications (par exemple, ISO 27001, ISO 9001, HITRUST, PCI DSS), des cadres (par exemple, SOC 2, cadre de cybersécurité du NIST) et des exigences légales (par exemple, RGPD, HIPAA, CCPA).

Les niveaux réels de conformité sont examinés plusieurs fois par année par les équipes d’audit interne et par des auditeurs externes indépendants.

Pour plus de détails sur les certifications/évaluations applicables à chaque produit/solution Quadient Digital, veuillez consulter la section « Certifications / évaluations par solution Quadient Digital ».

Des responsabilités inédites du système mondial de gestion de la sécurité de l’information (ISMS) reviennent au Conseil de la sécurité, où la direction exécutive et les experts en la matière (PME) sont présents. Le Conseil de sécurité se tient trimestriellement et se concentre sur les sujets de l’ISMS touchant le groupe Quadient.

L’équipe mondiale de RSE et conformité de Quadient tient des réunions trimestrielles régulières, où la direction exécutive et les experts en la matière (PME) sont présents. Des sujets liés à la vie privée et à l’ESG sont inclus dans ces réunions.

Au niveau de la solution Quadient Digital, il y a des réunions trimestrielles sur la conformité, où la direction de Quadient Digital et les PME sont présents. Ces réunions portent sur la sécurité, la vie privée, la gestion des risques et d’autres sujets de conformité affectant les solutions Quadient Digital, que ce soit SaaS ou sur site.

Ces trois principales plateformes sont soutenues par des réunions supplémentaires mensuelles, bihebdomadaires et hebdomadaires sur les produits techniques et les opérations, où les sujets liés à la conformité sont examinés et discutés.

Quadient gère un ensemble complet de politiques, intégrées au sein d’un système de gestion intégré (SGI) structuré. L’IMS comprend des sujets liés à la sécurité, à la vie privée, à la qualité et à l’ESG.

Toutes les polices sont approuvées par la direction exécutive de Quadient et ont des propriétaires dédiés, responsables de leur examen et de leur mise à jour régulières. Les politiques sont soutenues par des documents de niveau inférieur (par exemple, des normes ou des processus) qui ont aussi leurs propriétaires assignés et sont révisés au moins une fois par année, ou après un changement important d’un système.

Des politiques de confidentialité (y compris les normes pertinentes, etc.) peuvent être partagées lorsqu’un accord de confidentialité (NDA) est signé entre les deux parties. Veuillez contacter votre gestionnaire de compte si vous souhaitez les recevoir.

L’exception est Quadient Digital Information Security Policy, qui peut être téléchargée ici.

La structure organisationnelle Quadient contient des rôles spécifiques pour soutenir l’ISMS. Le conseil de sécurité, qui comprend des membres de la haute direction et de la direction, supervise l’ISMS au niveau corporatif et est dirigé par le directeur de la sécurité de l’information.

Le gestionnaire de la sécurité de l’information est responsable de l’ensemble du système de conformité de Quadient Digital Solutions à l’échelle mondiale.

Les rôles mondiaux sont soutenus au niveau local par des gestionnaires locaux de la sécurité et de la conformité, des agents régionaux de protection des données, des analystes en cybersécurité, des analystes en sécurité des applications, des testeurs d’intrusion et d’autres rôles.

Les PME expérimentées travaillant dans le domaine de la sécurité sont des professionnels expérimentés qui détiennent plusieurs certifications personnelles pertinentes en matière de sécurité et de confidentialité, incluant, mais sans s’y limiter : CISSP, CISM, CISA, CDPSE, CRISC ou CCSK.

Quadient utilise Microsoft Azure (Azure) et Amazon Web Services (AWS) comme infrastructure (IaaS) pour ses solutions logicielles. Azure et AWS maintiennent tous deux un ensemble complet de certifications et d’évaluations.

• Azure - https://www.microsoft.com/en-us/trust-center/product-overview

• AWS - https://aws.amazon.com/security/

Les emplacements des centres de données sont les suivants :

Les données clients restent dans la même région lorsque possible, tant pour la localisation principale que secondaire, sauf pour le basculement d’urgence des fournisseurs tiers.

Les données soumises à Quadient par les clients et traitées dans les solutions Quadient Digital sont traitées et stockées dans un environnement multi-locataire, où la segmentation logique (entre autres contrôles) est utilisée pour empêcher le mélange des données clients.

Quadient ne nécessite pas un accès régulier aux données clients. Dans des circonstances très exceptionnelles (par exemple, pour résoudre des problèmes spécifiques à la demande d’un client), un accès peut être organisé, mais il doit être convenu mutuellement à l’avance dans les ententes contractuelles pertinentes entre Quadient et le client.

Pour de tels cas exceptionnels, Quadient dispose d’une procédure dédiée et d’un mécanisme d’échange de fichiers dédié avec des politiques de conservation spécifiques.

Quadient met régulièrement à jour la liste des sous-processeurs utilisés dans ses solutions. Cette liste est disponible pour les clients de Quadient Digital solutions à la fois en PDF et en visualisation web :

• Sous-processeurs Quadient (PDF)

• Quadient Subprocessors (visualisation web)

Les clients sont informés des changements au moins un mois calendaire avant qu’un changement ne prenne effet. Ces changements peuvent inclure l’ajout d’un nouveau sous-processeur ou une modification du traitement par un sous-processeur existant.

Quadient ne notifie de manière proactive que les clients touchés par ces changements, ou les clients pour lesquels il existe un engagement légal ou contractuel à le faire. 

Tous les utilisateurs internes de Quadient reçoivent plusieurs formations à la sensibilisation à la sécurité tout au long de l’année, incluant une formation d’intégration à compléter dans les deux premières semaines d’emploi et avant d’obtenir l’accès à des informations confidentielles ou aux données clients. Une formation de remise à niveau est donnée régulièrement, ainsi que des formations ponctuelles sur des sujets clés.

Le contenu de la formation est régulièrement mis à jour et adapté selon le poste. Les sujets abordés incluent la sécurité, la vie privée et la protection des données, le développement et le déploiement sécurisés, la gestion des incidents, l’ingénierie sociale et les exigences légales locales.

La participation et l’achèvement des formations sont surveillés par les équipes responsables.  

Pour les utilisateurs internes de Quadient, des politiques d’utilisation acceptable sont disponibles pour les principaux types d’actifs (par exemple, appareils des utilisateurs finaux, courriel). Ils couvrent aussi l’utilisation acceptable des médias sociaux et des outils de messagerie instantanée. L’utilisation inacceptable est clairement définie, et des mesures disciplinaires peuvent être prises si des infractions sont identifiées.

Pour les clients et leurs utilisateurs finaux autorisés, les exigences d’utilisation acceptables sont définies dans les termes et conditions contractuels applicables aux solutions concernées.

Pour les utilisateurs internes, l’accès logique est accordé conformément aux principes du moindre privilège et du besoin de savoir. Les droits d’accès sont gérés selon une approche de contrôle d’accès basé sur les rôles (RBAC), et des examens d’accès réguliers sont effectués. L’accès est révoqué ou modifié dans les 24 heures suivant le départ de Quadient ou le changement de rôle d’un utilisateur.

Les systèmes maintiennent une matrice des droits d’accès pour identifier les rôles potentiellement conflictuels. Tout conflit identifié est corrigé par les propriétaires d’actifs concernés (tels que définis dans la section Gestion des actifs ci-dessous) pour les systèmes spécifiques. La connexion unique (SSO) et l’authentification à facteurs multiples (MFA) sont utilisées lorsque nécessaire. Plusieurs tentatives de connexion consécutives ratées entraînent un verrouillage du compte, qui peut être restauré par des rôles d’administrateur désignés. Un réseau privé virtuel (VPN) est utilisé pour accéder à l’infrastructure Quadient Digital.

Pour les clients, les rôles d’administrateur client sont responsables de la configuration et de la gestion des accès pour leurs utilisateurs, y compris SSO et MFA lorsque c’est applicable.

Les solutions Quadient utilisent des architectures modernes axées sur les événements, conçues pour la performance et la stabilité. Chaque centre de données virtuel hébergé est conçu pour le basculement et la scalabilité, et comprend des mécanismes de réplication. Les requêtes sont traitées par plusieurs machines virtuelles via des équilibreurs de charge, et dans certains cas, des architectures serverless sont utilisées pour supporter des charges de travail à grande échelle.

Les actifs quadients ont un propriétaire d’actifs assigné et sont enregistrés dans un inventaire documenté des actifs qui est régulièrement mis à jour.

Les règles de gestion des actifs sont définies dans les Politiques d’utilisation acceptable et de durcissement (Acceptable Use and Hardening Policies). Les propriétaires d’actifs sont responsables de s’assurer que les actifs respectent ces règles et que les risques liés aux actifs sont gérés de manière appropriée.

Quadient utilise Azure et AWS pour stocker les sauvegardes dans des emplacements géographiquement redondants afin de répondre aux besoins des clients. Les arrangements de sauvegarde sont mis en œuvre avec AWS et Azure comme décrit dans la section Reprise après sinistre ci-dessous.

Les sauvegardes sont stockées dans des emplacements géo-redondants et, lorsque possible, restent dans la même région géographique que l’instance cloud principale sous contrat par le client (UE, Royaume-Uni, États-Unis, Canada ou Australie) pour soutenir la conformité à la législation applicable. Les sauvegardes sont protégées par les mêmes mesures de sécurité que les données principales (par exemple, le cryptage) ; ce point est décrit plus en détail dans la section « Centres de données » ci-dessous.

Quadient n’exploite actuellement pas de programme externe de prime sur les bogues. Nous évaluons continuellement cela et il se peut que nous en lançions un à l’avenir. Pour confirmer l’état actuel, veuillez contacter bugbounty (at) quadient.com.

Un programme interne de prime contre les bogues est disponible pour les employés de Quadient, les entrepreneurs et certains tiers sélectionnés.

Les plans de continuité des activités (BC) sont élaborés à partir des résultats de l’analyse d’impact sur l’entreprise (BIA) par les propriétaires d’actifs responsables et sont testés au moins une fois par an. Lorsque cela est approprié, différents types de tests et approches sont utilisés.

Les actions résultant des tests BC sont suivies avec un propriétaire clairement assigné, un plan d’action et une date d’échéance. Une équipe dédiée soutient le développement et les tests des plans BC afin de les maintenir à jour et d’assurer une réponse organisée au besoin.

La gestion du changement est étroitement liée à la gestion des risques, car les changements introduisent des risques qui doivent être évalués et approuvés par l’autorité compétente.

Des méthodes et processus standardisés sont utilisés pour soutenir l’exécution cohérente des changements. Des dépôts centraux et des outils automatisés sont utilisés lorsque cela est approprié, et des canaux clairs de notification, d’escalade et d’approbation sont définis et communiqués au sein des équipes.

Quadient maintient une police d’assurance cyber active avec couverture géographique mondiale.

La politique est révisée et renouvelée chaque année. Une copie du certificat d’assurance ou des détails de la police peut être fournie sur demande.

Les solutions Quadient utilisent l’hébergement géo-redondant (les données sont stockées dans deux emplacements géographiques distincts au sein de la même région AWS ou Azure). En cas de catastrophe, la capacité de secours est engagée pour rétablir le service dans les 12 heures.

Les solutions Quadient ont un objectif de temps de récupération (RTO) de 12 heures et un objectif de point de récupération (RPO) de 4 heures. Les plans de réduction des données sont testés au moins deux fois par an pour valider l’atteinte de ces objectifs. Les arrangements de sauvegarde et de récupération sont maintenus avec AWS et Azure, et des tests de récupération sont effectués régulièrement pour confirmer que les sauvegardes peuvent être restaurées au besoin.

Les actions résultant des tests de réduction des données sont suivies avec un propriétaire clairement assigné, un plan d’action et une date d’échéance. Une équipe dédiée soutient le développement et les tests des plans DR afin de les maintenir à jour et efficaces.

Toutes les données détenues par Quadient sont chiffrées. La norme Quadient est AES-256 pour les données au repos et TLS 1.2 sur HTTPS pour les données en transit.

Les clés de chiffrement pour les solutions Quadient sont gérées comme suit :

Nous prenons la sécurité de nos systèmes au sérieux et surveillons régulièrement SecurityScorecard et BitSight pour obtenir des informations et des points à améliorer.

Quadient est une grande organisation avec des milliers d’actifs, donc les améliorations sont priorisées selon le risque et la critique des actifs. Nous allouons les ressources en conséquence afin de nous assurer que les problèmes à plus haut risque affectant les systèmes critiques soient traités en premier.

Les notations externes mentionnées peuvent inclure des actifs de plusieurs solutions Quadient et filiales. Par conséquent, les résultats peuvent ne pas s’appliquer à la solution spécifique utilisée par un client donné. Les systèmes de base soutenant les solutions clients sont séparés et protégés pour réduire la probabilité d’impact, et nous travaillons à empêcher que les problèmes dans les systèmes à faible criticité ou hérités n’affectent les environnements clients.

Nous restons engagés à maintenir une sécurité solide dans toute notre infrastructure et à protéger les données des clients. Nos équipes évaluent continuellement et atténuent les risques conformément à ces objectifs.

Les actifs Quadient sont soumis à plusieurs mesures de renforcement standard, notamment :

• Outils anti-maliciels avec définitions mises à jour automatiques

• Correctifs du système d’exploitation

• Gestion des appareils mobiles (MDM)

• Criptage stockage

• Verrouillage automatique de l’écran

Tous les employés et contractuels de Quadient sont soumis à des obligations de sécurité contractuelles. Une entente de confidentialité est signée et reste en vigueur après la fin de l’emploi ou du contrat.

Les vérifications des antécédents sont effectuées conformément à la législation locale et peuvent être convenues avec les clients pour des projets réglementés lorsque nécessaire (par exemple, vérifications de casier judiciaire, vérifications de crédit).

Les employés et contractuels s’engagent à respecter les politiques de sécurité et de confidentialité de Quadient ainsi que le Code d’éthique. Une politique d’action disciplinaire est en place et peut être appliquée lorsqu’une non-conformité est identifiée.

L’équipe de réponse aux incidents de sécurité (SIRT) de Quadient est responsable de la gestion des incidents de sécurité et de confidentialité. Les canaux de signalement et les chemins d’escalade sont définis. Les causes profondes des incidents sont identifiées, ainsi que l’évaluation de l’impact et les leçons apprises.

Les actions résultant des enquêtes d’incident sont suivies avec des propriétaires clairement assignés, un plan d’action et des dates d’échéance.

Les clients sont informés des incidents qui les affectent directement eux ou leurs données clients, c’est-à-dire des informations ou du matériel (y compris des données personnelles et du contenu client) que le client ou ses utilisateurs finaux divulguent, soumettent ou téléchargent à Quadient Digital Solutions pendant l’utilisation du service.

Tout au long de l’année, Quadient réalise de multiples audits avec différentes portées, normes, cadres et exigences légales. Ces audits sont réalisés par des équipes internes de professionnels qualifiés et confirmés au moins une fois par année par des auditeurs externes indépendants.

Les résultats de l’audit sont suivis, avec des propriétaires clairement attribués, des plans d’action et des dates d’échéance.

Quadient stocke des journaux de sécurité et d’audit pour soutenir la traçabilité des actions importantes, conformément aux normes de l’industrie. Les journaux incluent généralement l’identifiant utilisateur, le type d’action et l’horodatage.

Les journaux sont conservés pendant au moins un an et sont généralement supprimés dans les douze mois, sauf si des raisons spécifiques nécessitent une conservation plus longue. Les journaux sont surveillés par des équipes internes et, dans certains cas, par des équipes externes dédiées. Les événements suspects sont enquêtés.

Tous les systèmes de production et les dispositifs réseau sont continuellement surveillés au niveau de l’application. La surveillance « Application est en cours » est mesurée à intervalles de 5 minutes pour soutenir une haute disponibilité.

Pour la surveillance de l’infrastructure, les indicateurs de performance sont suivis à travers les machines virtuelles, les bases de données et le stockage afin de fournir une visibilité sur la santé et l’utilisation du système (planification de la capacité).

Des pages de statut client sont disponibles pour informer les clients des temps d’arrêt planifiés ou non au lien suivant :

Quadient Cloud : https://university.quadient.com/group/site/quadient-cloud-status

AP Quadient : https://quadientap.statuspage.io/ 

AR Quadient : http://yp-status-page.s3-website-us-east-1.amazonaws.com/ 

Quadient utilise plusieurs contrôles techniques au sein de son réseau, notamment (liste non exhaustive) :

• Filtrage web

• Gestion des règles de pare-feu

• Sessions auto-terminées

• Segmentation du réseau (zonage)

• Réseaux privés virtuels (VPN)

• Systèmes de détection d’intrusion (IDS)

• Gestion de l’information et des événements en matière de sécurité (SIEM)

• Détection des menaces

• Antivirus distribué avec gestion centralisée

• Gestion automatisée des politiques et détection des violations

• Architecture Zéro Confiance (ZTA)

Les câbles réseau à l’intérieur des bureaux sont protégés contre l’interception, les interférences ou les dommages. Les réseaux sans fil sont protégés par WPA2 avec une authentification par nom d’utilisateur et mot de passe.

Les événements réseau sont surveillés par des équipes internes et, le cas échéant, par des équipes externes du Centre des opérations de sécurité (SOC). Les incidents sont escaladés et enquêtés selon les procédures internes.

Les mots de passe uniques sont attribués aux utilisateurs internes et ne doivent pas être partagés. Les lignes directrices pour la création de mots de passe suivent les pratiques actuelles de l’industrie. Les mots de passe sont salés et chiffrés. L’utilisation d’outils de gestion de mots de passe est recommandée en interne.

Pour les clients, la gestion des mots de passe dans les solutions Quadient est configurable. Les administrateurs clients sont responsables de configurer les politiques de mots de passe selon leurs propres normes.

Les bureaux de R&D de qualité sont protégés par des caméras de surveillance, des clés physiques, des cartes d’identité et d’autres contrôles. Les concepts de zonage servent à restreindre l’accès à des zones plus sensibles (par exemple, les salles de serveurs, les bureaux des ressources humaines). Seul un nombre limité d’utilisateurs ont accès à ces zones. Une politique de bureau propre est mise en place. Les bureaux sont verrouillés, et les systèmes d’alarme surveillent la sécurité après les heures ouvrables.

La sécurité physique et environnementale des centres de données relève des fournisseurs d’hébergement (Microsoft Azure et Amazon Web Services). La plateforme cloud de Quadient utilise les infrastructures Azure et AWS, qui incluent des contrôles et certifications de sécurité physique et environnementale. Plus d’informations sont disponibles ici :

• Azure Trust Center : https://www.microsoft.com/en-us/trust-center/product-overview

• Contrôles de centres de données AWS : https://aws.amazon.com/compliance/data-center/controls/

Quadient maintient un programme d’assurance qualité (QA). Chaque nouvelle version des applications Quadient est testée dans plusieurs scénarios. Les tests comprennent les tests de régression automatisés et manuels, les tests de sécurité, les tests fonctionnels et les tests de haute disponibilité.

La gestion des risques chez Quadient est basée sur la norme ISO 27005 et utilise une approche basée sur le risque basé sur les actifs. Les propriétaires d’actifs sont responsables de s’assurer que les risques affectant les actifs sous leur responsabilité demeurent dans les niveaux acceptables définis par Quadient, ou de mettre en œuvre des plans de traitement des risques pour les atténuer.

Les évaluations des risques sont effectuées au moins une fois par année. Les résultats et les plans de traitement des risques proposés sont approuvés par la direction exécutive.

Quadient intègre la sécurité dans son cycle de développement logiciel à l’aide du cadre OWASP SAMM (voir : https://owasp.org/www-project-samm/). Les principes de la sécurité par conception, de la sécurité par défaut, de la vie privée par conception et de la vie privée par défaut sont respectés. La conformité est régulièrement vérifiée par des équipes internes d’assurance qualité/QE et confirmée par des parties externes indépendantes.

Tout le code est contrôlé par la version et soumis à une révision par les pairs avant son déploiement. Quadient utilise des environnements de développement, de test et de production séparés. Les données clients en production ne sont pas utilisées dans les environnements de développement ou de test.

Quadient publie chaque mois des bulletins de sécurité et/ou des rapports d’état pour les solutions Quadient. Cela inclut les correctifs de sécurité pour les bibliothèques open source et les résultats des analyses de sécurité effectuées sur les services Quadient Cloud.

Les bulletins de sécurité sont mis à la disposition des clients pour toutes les solutions digitales via un portail protégé par mot de passe (Quadient University), où ils peuvent être consultés et téléchargés. Les clients ne sont pas informés de manière proactive lorsque de nouveaux bulletins de sécurité sont publiés.

Comme les solutions Quadient Digital fonctionnent comme un modèle SaaS basé sur le cloud, certaines responsabilités de sécurité sont partagées entre Quadient et les administrateurs clients. Certains aspects relèvent de la responsabilité de Quadient, d’autres du client, et d’autres encore sont partagés.

Q = Quadient

C = Client

Les solutions Quadient Digital offrent des environnements où les clients peuvent construire des flux de travail d’affaires. Ces systèmes peuvent permettre aux clients d’importer, stocker, traiter et distribuer des informations, qui peuvent inclure des données personnelles sensibles ou protégées par la loi. Les composants Quadient offrent des caractéristiques de sécurité et plusieurs niveaux de protection des données, comme décrit dans ce document.

Cependant, lorsque les clients développent leur propre logique dans leur zone licenciée de l’environnement Quadient Digital, ils partagent la responsabilité de sécuriser leurs solutions. Quadient recommande aux clients de concevoir leurs solutions en utilisant les contrôles de sécurité les plus rigoureux disponibles sur la plateforme. Les clients peuvent contacter le support de Quadient pour obtenir des conseils sur l’application appropriée des fonctionnalités de sécurité.

Quadient n’est pas responsable des dommages ou pertes causés par des pratiques ou des développements insécurisés réalisés du côté du client.

Pour maintenir la confidentialité et empêcher la divulgation d’informations personnelles identifiables (IPI) ou d’informations de santé protégées (PHI), ces données ne devraient être incluses qu’avec des mesures de sécurité renforcées telles que prévues dans l’addendum applicable sur le traitement des données et l’entente contractuelle. Quadient recommande aux clients de suivre les meilleures pratiques de l’industrie, telles que la livraison sécurisée des résultats dans des comptes authentifiés ou l’envoi d’un lien vers un portail sécurisé géré par les clients où les utilisateurs doivent se connecter.

Les clients peuvent contacter leur gestionnaire de compte pour obtenir des précisions sur leurs responsabilités et être orientés vers les experts du support Quadient appropriés.

Quadient comprend les risques liés à la chaîne d’approvisionnement et examine régulièrement ses fournisseurs. Les nouveaux fournisseurs doivent passer par un processus de diligence raisonnable évalué par plusieurs départements internes. Les fournisseurs existants sont évalués périodiquement, au moins une fois par année. Selon la critique du fournisseur, les examens peuvent aller de l’auto-évaluation à des audits indépendants par des tiers.

Quadient effectue des évaluations de vulnérabilité et des tests d’intrusion selon un calendrier approuvé et une fréquence alignés sur la critique des actifs. Les évaluations sont réalisées par des équipes internes et externes dédiées utilisant des outils de pointe dans l’industrie (par exemple, Qualys, Goose), et incluent des tests statiques de sécurité des applications (SAST) lorsque cela s’applique.

Les vulnérabilités identifiées sont corrigées selon les processus internes, avec une priorisation basée sur la gravité.

Brandon Batt, membre de la direction exécutive de Quadient, est agent de protection des données (DPO) de Quadient.

Le DPO est soutenu au niveau local/régional par des agents régionaux de protection des données (RDPO).

La responsable de la protection des données pour Quadient Digital Solution est Teodora Dorobanțu t.dorobantu@quadient.com

La violation de données est une situation où des données sensibles, protégées ou confidentielles, pouvant inclure des données personnelles du client, sont copiées, transmises, visionnées, volées, modifiées ou utilisées par une personne non autorisée à le faire, intentionnellement ou non.

Sous réserve des termes des annexes sur le traitement des données, lorsque cela s’applique, les clients sont informés des violations de données sans délai injustifié après que Quadient ait pris connaissance de ces violations de données.

Quadient fera des efforts commercialement raisonnables pour fournir à ses clients suffisamment d’informations afin de leur permettre, à leurs frais, de respecter toute obligation de signaler ou d’informer les autorités réglementaires, les personnes concernées et autres entités de telles violations de données, dans la mesure requise par la législation applicable.

Les solutions innovantes sont le traitement des données fournies par le client. Ces données peuvent aller des données publiques, des données fictives jusqu’aux données de carte de crédit, informations personnelles identifiables (PII) et informations personnelles de santé (PHI).

Lors du traitement et du stockage des informations personnelles identifiables (IPI), les solutions Quadient offrent les droits suivants :

• Droit d’accès : les clients ont un accès complet à leurs données.

• Droit de correction : nous corrigerons les données clients dans les 30 jours suivant une demande au support de Quadient.

• Droit à l’oubli : nous retirerons les données clients dans les 30 jours suivant une demande au support de Quadient.

• Droit à la portabilité des données : les clients peuvent télécharger toutes leurs données (par exemple, JSON, CSV) à tout moment, sans aucune assistance requise de la part de Quadient.

Quadient conserve les données clients pendant la durée de l’abonnement et les supprime ensuite en toute sécurité, sous réserve des termes des accords entre Quadient et le client. Les données ne sont conservées que sur la base de justifications légales pour l’objectif concerné. Pour plus d’informations, veuillez consulter la section « Effacement des données ».

Les informations sur l’accès des clients aux solutions ou journaux numériques ainsi que toute autre donnée transactionnelle liée (« Données techniques ») et/ou données traitées par le client dans Digital Solutions (« Données clients ») sont régulièrement supprimées des solutions Quadient Digital après un certain laps de temps. 

Vous pouvez nous contacter en utilisant ces options :

• Utiliser le formulaire de demande d’accès ici https://www.quadient.com/en/preferences/personal-data-management

• Nous écrivez à : PrivacyTeam@Quadient.com

• Appelez-nous au +1-800-636-7678

La Déclaration générale de confidentialité de Quadient est disponible publiquement ici https://www.quadient.com/en/quadient-website-privacy-statement.

L’avis de confidentialité pour les résidents de la Californie est disponible ici https://www.quadient.com/en/california-consumer-privacy-act.

Nous avons réalisé un restylage du Quadient Digital Trust Center afin de faciliter la recherche et l’utilisation des informations de sécurité importantes.

Nouveautés :

• Tous les rapports et dossiers publics ont été déplacés dans la section « Certifications » pour une meilleure visibilité et un regroupement logique.

• Les titres des documents sont maintenant cliquables et marqués d’un astérisque « * » pour qu’il soit clair quels éléments contiennent des liens directs vers des fichiers téléchargeables.

• La section précédente liée au partage d’informations a été supprimée, et le contenu restant des politiques a été consolidé et déplacé dans la section « Politiques » sous la section Sécurité générale et conformité.

Ces changements simplifient la navigation et aident les visiteurs à accéder rapidement aux documents dont ils ont besoin.

Nous avons récemment observé une augmentation des cas où des acteurs malveillants envoient des messages frauduleux se faisant passer pour Quadient. Ces courriels peuvent contenir des liens nuisibles, des demandes trompeuses ou des tentatives d’obtenir des informations confidentielles.

Veuillez rester vigilant :

• Ne faites pas confiance aux courriels d’expéditeurs inconnus ou non vérifiés.

• Vérifiez soigneusement l’adresse de l’expéditeur, les liens et les pièces jointes avant d’interagir avec lui.

• Ne cliquez pas sur des URL suspectes ni ne partagez de données sensibles.

Si vous remarquez une communication suspecte ou si vous croyez avoir reçu un courriel frauduleux, signalez-le immédiatement au security@quadient.com .

Nous sommes heureux d’annoncer que notre récente évaluation de conformité au RGPD et à la CCPA a été menée avec succès sans qu’aucune non-conformité n’ait été identifiée.

L’examen comprenait des procédures d’enquête et d’inspection couvrant la gouvernance, les politiques et procédures documentées, ainsi que les contrôles liés à la vie privée. 

Ce résultat positif reflète notre engagement continu à maintenir des pratiques solides de protection des données et de confidentialité à travers Quadient.

Nous sommes heureux d’annoncer que Quadient a réussi une évaluation de recertification de conformité en sécurité HIPAA pour nos services d’automatisation d’entreprise (CXM, IDA, AR, AP, iForms, Hub, PSO). L’évaluation a été réalisée par 360 Advanced et a examiné nos garanties conformes à la règle finale de sécurité HIPAA Omnibus (janvier 2013) régissant l’information de santé protégée (PHI).

Cette évaluation a examiné les contrôles, politiques, procédures et processus informatiques de soutien qui protègent la confidentialité, l’intégrité et la disponibilité des systèmes et des données utilisés pour fournir les services d’automatisation des affaires de Quadient au nom des entités concernées. Le travail comprenait des revues de documents, des entrevues avec le personnel clé, des visites de processus et des tests de contrôle lorsque c’était applicable. 

La réalisation de cette évaluation renforce notre engagement à aider les clients à soutenir leurs besoins en conformité HIPAA et à maintenir de solides garanties pour les informations sensibles de santé dans nos logiciels et nos installations.

Nous sommes heureux d’annoncer que Quadient a réussi sa recertification SOC 2 pour le système de services d’automatisation des affaires. L’examen a été réalisé par 360 Advanced et a évalué les cinq critères des services de confiance : sécurité, disponibilité, intégrité du traitement, confidentialité et confidentialité.

Cette recertification renforce notre engagement continu à protéger les données des clients et à exploiter nos services conformément aux normes d’assurance reconnues. La portée couvrait notre portefeuille de services d’automatisation d’entreprise (CXM, IDA, AP, AR, iForms, HUB et PSO). AWS et Microsoft Azure servent d’organisations de sous-services pour l’hébergement, le stockage de données et les services d’infrastructure.

Nous sommes ravis d’annoncer que nous avons obtenu avec succès la certification Payment Card Industry Data Security Standard (PCI DSS) pour la réalité augmentée. Cette certification constitue une étape importante dans notre engagement à garantir le plus haut niveau de sécurité pour les données des cartes de paiement.

L’obtention de la certification PCI DSS démontre notre engagement à protéger les informations sensibles sur les paiements et à se conformer aux normes de l’industrie. Cette réussite renforce non seulement notre posture de sécurité, mais renforce aussi la confiance avec nos clients et parties prenantes.

Nous sommes heureux d’annoncer que nous avons réussi à mettre à jour l’évaluation CSA STAR Niveau 1 pour tous nos produits. Cette réussite marque une étape importante dans notre engagement envers la sécurité infonuagique et démontre notre respect des normes les plus élevées de l’industrie.

L’évaluation CSA STAR (Security, Trust and Assurance Registry) de niveau 1 implique une évaluation rigoureuse de nos pratiques de sécurité cloud selon la matrice de contrôle du cloud (CCM). En complétant cette évaluation, nous avons démontré notre engagement envers la transparence, la responsabilité et l’amélioration continue de la sécurité dans le nuage.

Nous tenons à vous informer que nous sommes actuellement en cours d’audit complet de la norme de sécurité des données de l’industrie des cartes de paiement (PCIDSS) pour la réalité augmentée. Cet audit est une étape cruciale pour s’assurer que nos mesures de sécurité des cartes de paiement sont robustes et conformes aux normes de l’industrie.

Le processus d’audit implique une évaluation approfondie de nos systèmes, politiques et procédures liés à la sécurité des données des cartes de paiement. Notre objectif est d’identifier les domaines à améliorer et de mettre en œuvre les changements nécessaires pour renforcer notre posture de sécurité.

Nous prévoyons recevoir les résultats de l’audit au troisième trimestre de 2025. Ces résultats fourniront des informations précieuses sur nos pratiques actuelles de sécurité et nous guideront pour effectuer les ajustements nécessaires afin de maintenir la conformité et de protéger les informations sensibles des cartes de paiement.

Je suis ravi d’annoncer que nous avons obtenu avec succès la certification ISO 27701:2019 pour la RA. Cet accomplissement témoigne de notre engagement envers la gestion de l’information sur la vie privée et la protection des renseignements personnels identifiables (IPI).

L’ISO 27701:2019 est une extension des ISO 27001 et ISO 27002, et elle fournit des lignes directrices pour l’établissement, la mise en œuvre, la maintenance et l’amélioration continue d’un système de gestion de l’information sur la vie privée (PIMS). En obtenant cette certification, nous avons démontré notre engagement à améliorer nos pratiques de gestion de la sécurité de l’information et à respecter les exigences réglementaires.

Nous sommes heureux de vous informer que Quadient a obtenu la certification ISO 9001:2015 pour notre solution de créances clients. Cette certification distinguée souligne notre engagement indéfectible à offrir une qualité exceptionnelle et une excellence dans nos services.

La norme ISO 9001:2015 est un cadre reconnu internationalement pour les systèmes de gestion de la qualité. L’obtention de cette certification renforce notre engagement à répondre aux attentes des clients et à améliorer continuellement nos processus.

Nous sommes ravis de vous informer que Quadient a obtenu avec succès la certification ISO 27001:2022 pour notre solution de comptes clients. Cette certification prestigieuse met en lumière notre engagement indéfectible à respecter les plus hauts standards de sécurité de l’information et à protéger les données de nos clients.

La norme ISO 27001:2022 est un cadre reconnu internationalement pour la gestion et la protection des informations sensibles. En obtenant cette certification, nous avons renforcé notre engagement à assurer la confidentialité, l’intégrité et la disponibilité des informations dans notre solution de comptes clients.

Nous sommes heureux de vous informer que Quadient a réussi une évaluation complète de la vie privée menée par Ernst & Young (EY). Cette évaluation portait sur notre conformité aux principales réglementations sur la vie privée, notamment le Règlement général sur la protection des données (RGPD), la Loi californienne sur la protection de la vie privée des consommateurs (CCPA) et la Loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA).

La réalisation de cette évaluation souligne notre engagement à maintenir les normes les plus élevées en matière de confidentialité et de protection des données. En réalisant des évaluations par EY, une firme de services professionnels reconnue mondialement, nous avons veillé à ce que nos pratiques et politiques respectent des exigences réglementaires strictes.

Nous sommes ravis de vous informer que Quadient a obtenu la certification Global ISO 27001:2013 pour notre système de gestion de la sécurité de l’information, désormais accrédité par DNV. Cette certification prestigieuse souligne notre engagement indéfectible à maintenir les plus hauts standards de sécurité de l’information et à protéger les données de nos clients.

Nous sommes ravis d’annoncer que Quadient a obtenu avec succès la certification ISO 14001 pour notre Système de gestion environnementale, désormais certifié par DNV. Cette certification reflète notre engagement continu envers la responsabilité environnementale et les pratiques commerciales durables.

Nous sommes heureux d’annoncer que Quadient a maintenu avec succès sa certification ISO 9001 pour notre système de gestion de la qualité, cependant nous avons changé notre organisme de certification pour DNV. Nous sommes fiers de cette réussite et du dévouement de notre équipe à maintenir ces normes élevées. Continuons à respecter les principes de la norme ISO 9001 et à viser l’excellence dans tout ce que nous faisons.

Nous sommes heureux d’annoncer que tous les produits Quadient Digital (Inspire, Impress, Quadient AP de Beanworks, Quadient AR de YayPay, HUB et iForm) ont réussi une évaluation externe SOC2 de type II. Cette évaluation approfondie, menée par EY, confirme notre engagement à fournir des solutions logicielles sécurisées et fiables à nos clients.

L’évaluation couvre les cinq critères des services de confiance : sécurité, disponibilité, confidentialité, vie privée et intégrité du traitement. Cette approche globale garantit que nos solutions SaaS respectent les plus hauts standards de sécurité et de conformité, réduisant efficacement les risques liés aux violations de données et aux cybermenaces. 

Cela a été fait en coopération avec une partie indépendante externe (Ernst & Young).

Le rapport d’évaluation SOC2 ne peut être fourni que lorsque l’entente de confidentialité mutuelle (NDA) est signée à la fois par Quadient et la partie requérante. Veuillez contacter votre gestionnaire de compte si vous souhaitez le recevoir.

Quadient Digital Solutions de CXM, IDA et HUB a réussi l’évaluation provisoire HITRUST V9.1. Aucun plan d’action corrective n’a été identifié. 

Cela a été fait en coopération avec une partie indépendante externe (BDO).

La lettre provisoire HITRUST se trouve dans la section « Rapports et dossiers ».

Nous sommes heureux d’annoncer que Quadient Technologies Czech s.r.o. a réussi un audit de surveillance pour ISO 27001:2013, réaffirmant ainsi notre engagement envers les systèmes de gestion de la qualité et de l’environnement. C’est la dernière fois que nous avons été audités par rapport à la révision de 2013 de la norme ISO, car à partir de l’année prochaine, nous serons audités par rapport à la révision de 2022, y compris tous les changements qu’elle a apportés.

L’organisme de certification est SGS.

Le certificat se trouve dans la section « Rapports et dossiers ».

Nous sommes heureux d’annoncer que Quadient Technologies Czech s.r.o. a réussi un audit de surveillance pour ISO 9001:2015 et ISO 14001:2015, réaffirmant ainsi notre engagement envers les systèmes de gestion de la qualité et de l’environnement. 

L’organisme de certification est SGS.

Le certificat se trouve dans la section « Rapports et dossiers ».

Nous sommes heureux d’annoncer que le produit Quadient AR a réussi une recertification complète selon la norme DSS v4.0 de l’industrie des cartes de paiement (PCI), confirmant la sécurité des données et des processus clients. Le processus de certification de cette année comprenait la migration vers la nouvelle version 4 de la norme, un audit technique et de procédé complet, une revue des résultats antérieurs, ainsi que des pentest internes et externes. PCI DSS est une norme mondiale de sécurité de l’information destinée aux organisations qui traitent les transactions par carte de crédit provenant des principales marques de cartes. La norme a été créée pour renforcer le contrôle des données des titulaires de carte afin de réduire la fraude à la carte de crédit.

La certification et les tests de pénétration ont été réalisés par Compliance Control Ltd, notre partenaire de confiance depuis de nombreuses années. Leur expérience et leur équipe garantissent que nous respectons les normes les plus élevées en matière de sécurité de l’information.

Cette recertification réaffirme notre engagement à protéger les données de nos clients et à maintenir des pratiques commerciales exemplaires. La certification est valide jusqu’au 30 mai 2025 et peut être consultée ici.

Nous sommes heureux d’annoncer que Quadient AR a réussi une recertification complète pour ISO 27701:2019, réaffirmant ainsi notre engagement envers la confidentialité et la sécurité des données. Le processus de recertification a impliqué un audit complet, une révision des résultats antérieurs et une analyse approfondie des contrôles en place pour protéger les renseignements personnels identifiables (PII).

L’ISO 27701:2019, connue sous le nom de Système de gestion de l’information sur la vie privée (PIMS), fournit un cadre pour la gestion de la vie privée des données, aidant à atténuer les risques financiers et réglementaires associés aux violations de données.

Bureau Veritas, chef de file dans les tests, l’inspection et la certification depuis 1828, a réalisé la certification. Leur expertise assure notre conformité aux normes les plus élevées en matière de confidentialité et de sécurité des données.

Cette recertification réaffirme notre engagement à protéger les données de nos clients et à maintenir des pratiques commerciales exemplaires. Notre certification est confirmée jusqu’au 20 avril 2025 et le certificat est disponible ici.

Nous sommes heureux d’annoncer que Quadient AR a obtenu avec succès la certification ISO 27017:2015 et ISO 27018:2019, démontrant ainsi notre engagement envers la sécurité du cloud et la confidentialité des données. Ce processus de certification couvrait l’analyse commerciale, le développement, les tests et les processus opérationnels dans le développement logiciel, et était réalisé par Bureau Veritas. Leur expertise valide notre respect des plus hauts standards de sécurité et de confidentialité.

L’ISO 27017:2015 fournit des lignes directrices pour les contrôles de sécurité de l’information applicables à la fourniture et à l’utilisation des services infonuagiques, assurant la sécurité des environnements basés sur le nuage. L’ISO 27018:2019 se concentre sur la protection des données personnelles dans le nuage, fournissant un cadre pour garantir que les informations personnelles identifiables (PII) sont gérées selon les normes les plus élevées de confidentialité et de sécurité.

L’obtention de ces certifications souligne notre engagement à maintenir des pratiques de sécurité robustes et à protéger les données de nos clients dans les environnements infonuagiques. 

Les deux certifications sont valides jusqu’au 10 avril 2027 et sont disponibles aux clients sur demande. 

Nous sommes fiers d’annoncer que nos solutions Quadient CXM, IDA et AP SaaS ont réussi une réévaluation externe indépendante axée sur la conformité RGPD, CCPA et HIPAA. Cette évaluation approfondie a été menée par BDO et confirme notre engagement continu envers les plus hauts niveaux de protection des données et de conformité réglementaire.

Cette réévaluation garantit que nos solutions respectent les exigences du Règlement général sur la protection des données (RGPD), de la Loi californienne sur la protection de la vie privée des consommateurs (CCPA) et de la Loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA). Ces règlements sont essentiels pour protéger les données personnelles et maintenir la confiance des clients.

Les lettres des vérificateurs sont disponibles ici : CXM, IDA, AP. Des rapports d’évaluation détaillés sont disponibles pour examen sur demande. Pour obtenir une copie, veuillez contacter votre gestionnaire de compte afin de signer une entente de confidentialité mutuelle (NDA).

Quadient est heureux d’annoncer la mise à jour de son inscription pour le Questionnaire d’Initiative d’Évaluation de Consensus de niveau 1 de l’Alliance Cloud Security Alliance (CSA) v4.0.2 (CAIQ). En mettant régulièrement à jour notre fiche CAIQ, nous démontrons notre engagement continu à maintenir des environnements cloud sécurisés pour nos clients.

La dernière version couvre les solutions Quadient CXM, IDA, HUB, AP et AR issues du portefeuille de solutions Quadient ICA.

Il peut être téléchargé ici https://cloudsecurityalliance.org/star/registry/quadient/services/quadient-cloud.

Quadient ICA demeure à la pointe de la sécurité infonuagique, améliorant continuellement ses offres pour répondre aux normes changeantes de l’industrie et aux attentes des clients. Nous sommes fiers d’offrir à nos clients des solutions infonuagiques qui priorisent la sécurité, la fiabilité et la conformité.

Nous sommes ravis d’annoncer la recertification réussie de la conception, du développement et de la mise en œuvre des solutions logicielles ISO 27017:2015 et ISO 27018:2014. Cette réussite couvre nos produits Quadient CXM et IDA.

ISO 27017:2015 et ISO 27018:2014 se concentrent respectivement sur les contrôles de sécurité du nuage et la protection des informations personnelles identifiables (IPI) dans les services infonuagiques. Ces certifications sont importantes pour notre organisation afin de valider l’efficacité des contrôles en place afin d’assurer la sécurité et la confidentialité des données de nos clients.

La certification a été réalisée par SGS, l’une des principales entreprises mondiales de test, d’inspection et de certification. Leur expertise et leur processus d’évaluation rigoureux garantissent notre respect des normes les plus élevées en matière de sécurité et de confidentialité.

Cette recertification souligne notre engagement à protéger les données des clients et à maintenir l’excellence des pratiques de sécurité. Les certifications sont valides jusqu’au 14 janvier 2026.

Nous sommes ravis d’annoncer que Quadient AR by YayPay a réussi une réévaluation externe indépendante axée sur la HIPAA menée par 360 Advanced, ce qui rassure notre engagement envers la sécurité et la conformité des données.

Cette évaluation rigoureuse garantit que Quadient AR respecte les exigences établies par la Loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA), qui protège les informations de santé protégées (PHI) et en assure la confidentialité, l’intégrité et la disponibilité.

Le rapport d’évaluation est disponible sur demande. En raison de la nature sensible des informations contenues dans le rapport, une entente de confidentialité (NDA) doit être signée entre les deux parties avant qu’elle puisse être partagée. Si vous souhaitez consulter le rapport d’évaluation, veuillez contacter votre gestionnaire de compte.

Nous sommes ravis d’annoncer que Quadient Inspire, Quadient Impress et Quadient AP de Beanworks, tous au sein de la suite de solutions SaaS ICA de Quadient, ont réussi une réévaluation externe SOC2 Type II. Cette évaluation complète, menée par BDO, valide notre engagement à fournir des solutions logicielles sécurisées et fiables à nos clients.

De plus, nous sommes ravis d’annoncer que Quadient ICA HUB a été inclus dans l’évaluation pour la première fois. 

En plus des cinq critères des services de confiance — sécurité, disponibilité, confidentialité, vie privée et intégrité du traitement — cette évaluation incluait également des contrôles basés sur le cadre 800-53 du Center for Internet Security (CIS) et du National Institute of Standards and Technology (NIST). Cette approche globale garantit que nos solutions SaaS respectent les normes les plus élevées de sécurité et de conformité, atténuant les risques liés aux violations de données et aux cybermenaces.

De plus, Quadient AR de YayPay a complété une évaluation SOC2 Type II réalisée par 360 Advanced. Bien que cette évaluation se soit concentrée uniquement sur les contrôles SOC2, elle renforce encore notre engagement à maintenir les normes les plus élevées de sécurité et de conformité dans tous nos produits et services.

La lettre du vérificateur est disponible ici.

La solution SaaS Quadient ICA HUB a réussi une évaluation externe indépendante axée sur le RGPD, la CCPA et la HIPAA (réalisée par BDO).

Le rapport d’évaluation peut être partagé lorsqu’une entente de confidentialité (NDA) est signée entre les deux parties. Veuillez contacter votre gestionnaire de compte si vous souhaitez le recevoir.

En collaboration avec Compliance Control, Quadient AR de YayPay a réussi à re-certifier PCI DSS 3.2.1 pour une portée sélectionnée.

Nous avons réussi à re-certifier certains portémies pour ISO 9001:2015 et ISO 14001:2015.

L’organisme de certification est SGS.

Le groupe Quadient a confirmé son fort accent sur les activités ESG en répétant sa note platine.

La succursale française d’Ernst & Young a mené un audit des activités RSE en République tchèque, ainsi que des centres de R&D Quadient situés là.

Le rapport peut être partagé lorsqu’un accord de confidentialité (NDA) est signé entre les deux parties. Veuillez contacter votre gestionnaire de compte si vous souhaitez le recevoir.

Les solutions SaaS Quadient CXM et IDA ont réussi une réévaluation externe indépendante axée sur le RGPD, la CCPA et la HIPAA (réalisée par BDO). Pour la première fois, Quadient AP de Beanworks a également été inclus, et a également réussi avec succès.

Le rapport d’évaluation peut être partagé lorsqu’une entente de confidentialité (NDA) est signée entre les deux parties. Veuillez contacter votre gestionnaire de compte si vous souhaitez le recevoir.

Article de blogue du CSO de CXM - https://www.quadient.com/en/blog/message-our-chief-solution-officer-cxm-amid-covid-19-crisis

Pour confirmer notre posture de sécurité pour les exigences légales spécifiques à la région APAC, nous avons effectué une évaluation externe indépendante (réalisée par le BDO) axée sur les exigences des CPS231 et CPS234.

Les solutions SaaS Quadient CXM et IDA, qui étaient dans le champ d’application, ont réussi l’évaluation.

Le rapport d’évaluation peut être partagé lorsqu’une entente de confidentialité (NDA) est signée entre les deux parties. Veuillez contacter votre gestionnaire de compte si vous souhaitez le recevoir.

Les solutions SaaS Quadient Inspire et Impress ont réussi la réévaluation externe SOC2 Type II (réalisée par BDO).

Quadient AP par Beanworks a également été évalué avec succès, pour la première fois.

L’évaluation SOC2 Type II de YayPay a été réalisée par 360 Advanced.

Quadient AR de YayPay a réussi une réévaluation externe indépendante axée sur la HIPAA (réalisée par 360 advanced).

Le rapport d’évaluation peut être partagé lorsqu’une entente de confidentialité (NDA) est signée entre les deux parties. Veuillez contacter votre gestionnaire de compte si vous souhaitez le recevoir.

Nous avons certifié avec succès une lunette sélectionnée selon la norme ISO 27701:2019.

L’organisme de certification est Bureau Veritas.

En collaboration avec Compliance Control, Quadient AR de YayPay a réussi à re-certifier PCI DSS 3.2.1 pour une portée sélectionnée.

Dans le contexte du conflit ukrainien, Quadient a mis en place une série de contrôles et de mesures supplémentaires pour atténuer le risque de cyberattaques, dont le niveau de menace a récemment augmenté.

• Processus d’authentification renforcé sur les systèmes d’information

  • L’authentification multifacteur (MFA) est en place là où elle est la plus nécessaire, bien sûr en équilibrant risque et productivité

• Surveillance accrue de la sécurité, avec le soutien d’un tiers spécialisé

  • Surveillance 24h/24 de tous nos principaux actifs informatiques (par exemple, appareils, serveurs / hébergements, points d’accès réseau, etc.)

• Sauvegarde des données et applications critiques hors ligne , ce qui est la pratique standard à Quadient

• Liste hiérarchisée des services digitaux essentiels de l'organisation,

  • Classé comme critique de mission vs critique d’affaires vs standard, avec des exigences accrues concernant les systèmes critiques de mission et d’affaires

• Rappel et renforcement de notre processus de gestion des crises de cyberattaque Dans tous les départements impliqués

En cas de questions, veuillez contacter security-group@quadient.com.

En coopération avec une partie indépendante externe (BDO), nous avons combiné nos anciennes certifications autonomes HITRUST Inspire (v9.1) et Impress (v9.3) SaaS en un (v9.1).

Nous avons certifié avec succès une portée sélectionnée pour ISO 27001:2013.

L’organisme de certification est Bureau Veritas.

Pour confirmer notre engagement envers la confidentialité et la conformité en matière de sécurité, nous avons collaboré avec une partie externe indépendante (BDO) pour effectuer une évaluation externe de nos solutions SaaS CXM et IDA, en comparaison avec les exigences du RGPD, du CCPA et de la HIPAA.

Les deux solutions ont réussi à passer l’évaluation.

Le rapport d’évaluation peut être partagé lorsqu’une entente de confidentialité (NDA) est signée entre les deux parties. Veuillez contacter votre gestionnaire de compte si vous souhaitez le recevoir.

Nous avons certifié avec succès une portée sélectionnée pour ISO 9001:2015.

L’organisme de certification est Bureau Veritas.

YayPay a réussi avec succès l’évaluation indépendante HIPAA réalisée par 360 Advanced.

Le rapport d’évaluation peut être partagé lorsqu’une entente de confidentialité (NDA) est signée entre les deux parties. Veuillez contacter votre gestionnaire de compte si vous souhaitez le recevoir.

Les solutions SaaS Quadient Inspire et Impress ont réussi la réévaluation externe SOC2 Type II (réalisée par BDO).

L’évaluation SOC2 Type II de YayPay a été réalisée par 360 Advanced.

En coopération avec Compliance Control, Quadient AR de YayPay a réussi la certification PCI DSS 3.2.1 pour une portée sélectionnée.

En complément de la certification HITRUST déjà existante pour Inspire SaaS, nous avons collaboré avec une partie externe indépendante (KirkpatrickPrice) pour effectuer une évaluation externe de notre solution SaaS IDA, comparée aux exigences de HITRUST v9.3.

Nous avons réussi à réussir.

Nous avons certifié avec succès une portée sélectionnée pour ISO 27001:2013.

L’organisme de certification est SGS.

Une partie externe indépendante (KirkpatrickPrice) nous a aidés à réussir l’intérim HITRUST v9.1 (ou la recertification si vous le souhaitez) pour notre solution CXM SaaS.

Les solutions SaaS Quadient Inspire et Impress ont réussi l’évaluation externe SOC2 Type II (réalisée par KirkpatrickPrice).

L’évaluation SOC2 Type II de YayPay a été réalisée par 360 Advanced.

En ces temps exceptionnels, Quadient s’adapte avec beaucoup de diligence à la situation du coronavirus (COVID-19), et je tiens personnellement à assurer à nos clients et partenaires que nous faisons tout ce qui est en notre pouvoir pour offrir un environnement de travail sécuritaire à nos employés et assurer la continuité des activités.

Quadient a toujours été engagé envers ses employés, et leur santé, tout comme celle de leur famille, demeure notre priorité absolue. En tant qu’organisation ayant une présence mondiale, et afin de participer à l’effort collectif de protection des communautés où nous opérons, nous prenons les mesures nécessaires pour minimiser l’impact de la situation sur nos activités, mais aussi sur les communautés qui nous entourent.

Grâce au travail de préparation et au soutien de notre équipe mondiale, nous avons confiance en nos plans de continuité des activités et en notre capacité à continuer de soutenir nos clients et partenaires pendant la pandémie de COVID-19. Ainsi, nous avons pris des dispositions pour réduire le risque d’exposition pour toutes les parties.

Les employés pouvant travailler à distance ont reçu l’instruction de travailler de la maison à partir du lundi 16 mars 2020. Pour les employés qui doivent travailler sur place, nous prenons des mesures pour leur assurer un environnement sécuritaire en appliquant des protocoles stricts de santé et sécurité.

Pour les mêmes raisons de santé et de sécurité, nous avons également demandé l’annulation des voyages d’affaires et de la participation aux événements publics de tous nos membres du personnel. Les réunions en personne qui ne sont pas absolument critiques sont remplacées par des réunions virtuelles ou seront reportées à une date ultérieure.

Nos équipes sont habituées au travail à distance, utilisant régulièrement des outils de collaboration numérique dans le cours normal des affaires. Le personnel des services professionnels et le personnel de soutien sont de service et maintiennent des horaires réguliers partout dans le monde, et peuvent vous soutenir via des portails de soutien en ligne ainsi que nos centres d’appels, et s’assurer que les clients ayant des contrats de soutien maintiennent leur disponibilité.

En particulier, les représentants du support à la clientèle matérielle demeurent disponibles par téléphone et courriel. Le support est également disponible via chatbot via nos sites web aux États-Unis, au Royaume-Uni, en Irlande et en France. Les techniciens de terrain continuent d’offrir un soutien sur place à nos clients avec le moins de perturbations possible.

Merci de votre confiance continue envers Quadient. Nous nous engageons à être là pour nos employés, clients et partenaires, et continuerons de vous tenir informés à mesure que la situation évolue.

Cordialement,

Geoffrey Godet, PDG, Quadient

Nous avons certifié avec succès certains objectifs pour ISO 9001:2015 et ISO 14001:2015.

L’organisme de certification est SGS.

Nous avons certifié avec succès certains objectifs pour ISO 27017:2015 et ISO 27018:2014.

L’organisme de certification est SGS.

En témoignage de notre engagement envers la sécurité, nous avons collaboré avec une partie externe indépendante (KirkpatrickPrice) pour effectuer une évaluation externe de notre solution SaaS CXM, comparée aux exigences de HITRUST v9.1.

Nous avons réussi