Politique de sécurité

Révisé et mis à jour le 13 décembre 2024.

La politique de sécurité ci-dessous s'applique uniquement aux clients disposant d'un accord New Relic existant qui fait explicitement référence à cette politique de sécurité s'appliquant au service acheté dans une commande. Les termes en majuscules non définis ci-dessous auront le sens indiqué dans cet accord New Relic.

Politique de sécurité de New Relic

1. Objectif

Cette politique décrit le programme de sécurité de New Relic et les contrôles de sécurité techniques et organisationnels pour protéger les systèmes de New Relic, comme indiqué dans les audits et certifications tiers de New Relic. New Relic peut mettre à jour cette politique de temps à autre, et ces mises à jour ne réduiront pas matériellement les protections globales énoncées dans cette politique. Les conditions alors en vigueur de cette politique sont disponibles à l'adresse https://docs.newrelic.com/docs/licenses/license-information/referenced-policies/security-policy/.

2. Présentation de la sécurité

2.1. New Relic maintient un programme complet de protection des informations pour gérer la sécurité des informations au sein de New Relic qui comprend des mesures de protection administratives, techniques et physiques conçues pour protéger la confidentialité, l'intégrité et la disponibilité des données client et qui sont adaptées à la nature, à la taille et à la complexité des opérations commerciales de New Relic. Le programme de protection des informations de New Relic comprend :

2.1.1. examen exécutif, soutien et responsabilisation de toutes les politiques et pratiques liées à la sécurité ;

2.1.2. politiques et procédures écrites formelles conçues pour protéger contre la perte, le vol ou tout autre accès ou modification non autorisé des données client, respecter ou dépasser les normes applicables de l'industrie, définir la sécurité de l'information et ses objectifs généraux, inclure des rôles et des responsabilités définis en matière de sécurité de l'information, un framework pour définir des objectifs et des contrôles de contrôle, un programme formel et efficace d'atténuation des risques et un programme de gestion de la sécurité des fournisseurs de services ;

2.1.3. des évaluations périodiques des risques, y compris des audits internes et/ou des audits indépendants par des tiers, pour mesurer l'efficacité et la pertinence des contrôles pour tous les systèmes traitant les données clients ;

2.1.4. examen approfondi des incidents de sécurité, y compris la détermination efficace de la cause profonde et des mesures correctives ; frameworks de contrôle formels et reconnus par l'industrie, basés sur une norme d'audit externe ;

2.1.5. contrôle des employés et gestion des accès; et

2.1.6. méthodologie complète de tests de sécurité, d'identification des vulnérabilités et d'atténuation qui consiste en une variété d'approches indépendantes qui, une fois combinées, sont conçues pour maximiser la couverture d'un ensemble diversifié de vecteurs d'attaque.

2.2. Le responsable de la sécurité de l'information (CISO) de New Relic dirige le programme de sécurité de l'information de New Relic et développe, examine et approuve, avec les parties prenantes appropriées, les politiques et les procédures de sécurité de New Relic. New Relic a nommé un ou plusieurs délégués à la protection des données, comme décrit dans les avis de confidentialité de New Relic, qui sont consultés si nécessaire en vertu des lois applicables.

2.3. Les objectifs, l'approche, la portée, l'importance, les buts et les principes de sécurité de l'information du programme de sécurité de l'organisation sont formellement identifiés, communiqués dans toute l'organisation aux utilisateurs sous une forme pertinente, accessible et compréhensible pour le lecteur visé ; et soutenus par un framework de contrôle qui prend en compte les exigences législatives, réglementaires, contractuelles et autres exigences liées aux politiques.

2.4. New Relic maintiendra des politiques et des procédures écrites pour examiner, tester et approuver (le cas échéant) les modifications affectant l'infrastructure et les systèmes New Relic qui traitent les données client, y compris, mais sans s'y limiter, les évaluations par les pairs avant d'introduire un nouveau code en production. New Relic établira des critères d'acceptation pour les nouveaux systèmes d'information, les mises à niveau et les nouvelles versions et effectuera des tests appropriés du ou des systèmes pendant le développement et avant l'acceptation. Les modifications ou mises à jour ne diminueront pas de manière significative la sécurité des systèmes.

3. Certifications de sécurité

3.1. New Relic teste, évalue et analyse régulièrement ses mesures de sécurité pour protéger les données clients à l'aide de normes reconnues par l'industrie et fait appel à des auditeurs tiers indépendants pour vérifier ces contrôles.

3.2. New Relic s'engage à fournir au Client, sur demande, les certifications ou rapports applicables sur les systèmes New Relic. Toutes les informations échangées dans le cadre des activités d’audit décrites dans cette section sont considérées comme les informations confidentielles de New Relic.

3.3. Des informations supplémentaires sur les certifications de sécurité de New Relic sont disponibles dans le Guide de sécurité de New Relic.

4. Contrôle et cryptage des données

4.1. Le Service et les fonctionnalités associées sont conçus pour fournir au Client un contrôle sur les sources de données du Client et les environnements du Client qui sont monitorés et envoient des données à New Relic.

4.2. New Relic aura établi des méthodes pour : (i) permettre au Client d'utiliser le cryptage sur les Données Client en transit de l'environnement du Client vers New Relic, et (ii) hacher en toute sécurité les mots de passe stockés conformément aux pratiques standard du secteur (par exemple scrypt) comme décrit dans la documentation. L'authentification basée sur un certificat de serveur est utilisée dans le cadre du cryptage TLS avec une autorité de certification de confiance.

4.3. New Relic reçoit et traite les données conformément à l'Accord et aux Services tels que décrits dans la Documentation. New Relic permet aux clients de supprimer des données personnelles conformément aux lois applicables en matière de confidentialité, comme décrit plus en détail dans la documentation. En cas d'erreur dans les données personnelles envoyées dans les Données Client, les Clients peuvent demander la suppression des données personnelles et renvoyer des données exactes.

4.4. Des informations supplémentaires sur le contrôle et le cryptage des données client, y compris le cryptage des données au repos, sont disponibles dans le Guide de sécurité de New Relic.

5. Installations

5.1. Tous les emplacements physiques qui traitent les données client sont des centres de données tiers. Tous les emplacements physiques disposent de mesures de sécurité conçues pour empêcher l’accès physique non autorisé aux installations de traitement des données et l’accès, la modification ou la destruction illégaux des données client.

5.2. New Relic demandera des assurances (par exemple, sous la forme d'un rapport d'audit indépendant d'un tiers tel que le SOC 2 Type 2, l'ISO 27001 et les évaluations de sécurité des fournisseurs) auprès de ses fournisseurs d'installations de traitement de données qui stockent ou traitent les données client :

5.2.1. sécuriser ses installations de traitement de données dans un endroit à accès contrôlé et mettre en place des protections pour empêcher tout accès non autorisé, tout dommage et toute interférence ;

5.2.2 employer une sécurité physique adaptée à la classification des actifs et des informations gérés, qui peut inclure un accès par carte-clé, des caméras de sécurité et une construction en murs solides pour tous les murs extérieurs ;

5.2.3 limiter et filtrer tous les participants, ce qui peut inclure des mesures telles qu'un agent de sécurité sur place, un lecteur de badge, un verrou électronique ou une télévision sous-titrée surveillée (CCTV) ; et

5.2.4 conserver des logs d’accès pertinents.

5.3. Des informations supplémentaires sur les centres de données tiers de New Relic sont disponibles dans le Guide de sécurité de New Relic.

6. Accès, filtrage et contrôles des employés.

New Relic aura et maintiendra des politiques et des pratiques qui incluent, au minimum, les contrôles et garanties suivants appliqués aux employés et sous-traitants de New Relic qui peuvent accéder aux données client :

6.1. Pour les employés de New Relic aux États-Unis et sous réserve de la loi applicable, une vérification des antécédents criminels de chacun de ses nouveaux employés à qui il donne accès aux données client aux niveaux fédéral, étatique et départemental. Pour les non-Américains Employés de New Relic, New Relic déploiera des efforts commercialement raisonnables pour répondre aux mêmes critères que ceux établis pour les employés de New Relic basés aux États-Unis, sous réserve des pratiques commerciales générales du pays concerné et en conformité avec les exigences de la législation locale applicable ;

6.2. Tous les employés de New Relic ayant accès aux données client suivront une formation adéquate, telle qu'une formation annuelle de sensibilisation à la sécurité, sur la prise en charge, la protection et le traitement des données client, et s'aligneront sur les mesures de confidentialité et de sécurité énoncées dans le présent addendum en suivant les conseils fournis dans leur dossier de bienvenue, qui comprend les politiques de sécurité de New Relic et une reconnaissance de sécurité ;

6.3. Une politique et un processus disciplinaires, à utiliser lorsque les employés de New Relic violent les politiques de sécurité ou de confidentialité de New Relic ou accèdent aux données client sans autorisation préalable ;

6.4. L'accès administratif ou à distance aux systèmes New Relic qui traitent les données client sera conforme aux pratiques standard du secteur, y compris l'authentification multifacteur ;

6.5. Accès restreint au code source propriétaire de New Relic pour empêcher tout accès non autorisé ;

6.6. Contrôles conçus pour garantir que seuls les employés de New Relic ayant réellement besoin de savoir auront accès aux systèmes New Relic, y compris, mais sans s'y limiter, l'utilisation d'un processus formel de gestion des accès pour la demande, l'examen, l'approbation et l'approvisionnement ;

6.7. Contrôles conçus pour garantir que les employés de New Relic bénéficient d'un accès aux systèmes New Relic sur la base des principes du moindre privilège ; et

6.8. Révoquez l'accès aux employés de New Relic qui n'en ont plus besoin. New Relic vérifie et désactive périodiquement les comptes des employés licenciés qu'un client peut avoir provisionnés pour le support.

7. Réponse aux incidents de sécurité et aux violations de données

7.1. New Relic prendra des mesures de sécurité physiques, techniques et administratives appropriées qui sont commercialement raisonnables et conformes aux normes de l'industrie pour empêcher une violation de données, et comme l'exige toute loi ou réglementation applicable. « Violation de données » désigne le vol, la perte ou l’accès non autorisé aux données du client. Sans limiter ce qui précède, New Relic mettra en œuvre des mesures de sécurité au moins aussi strictes que celles énoncées dans le présent addendum. New Relic désignera un représentant senior pour fournir des informations sur les incidents, si nécessaire en cas de violation de données, et pour répondre aux demandes raisonnables du client concernant les problèmes de confidentialité et de sécurité des données dans un délai commercialement raisonnable.

7.2. New Relic va :

7.2.1. Informer le Client sans délai indu si New Relic prend connaissance d’une violation de données ;

7.2.2. Maintenir un plan de réponse aux incidents de sécurité, y compris des procédures et des moyens pour répondre d’une manière conforme aux normes de l’industrie ;

7.2.3. Coopérer raisonnablement avec le Client pour enquêter sur une violation de données et y remédier et atténuer tout risque supplémentaire pour les Données du Client, ou tout risque pour les personnes concernées et/ou la réputation ou la marque du Client ;

7.2.4. Fournir une assistance raisonnable au client aux frais exclusifs de New Relic ; et

7.2.5. Faire des efforts commercialement raisonnables pour préserver les preuves et coopérer raisonnablement avec le client et les autorités judiciaires (selon le cas et la loi) lors d'une enquête sur une violation de données.

8. Sécurité des réseaux et des systèmes

8.1. Toute connectivité extranet du personnel de New Relic aux systèmes traitant les données client se fera via des connexions à distance sécurisées.

8.2. Les segments de réseau connectés à Internet seront protégés par des mécanismes de contrôle d’accès sécurisés, tels qu’un pare-feu configuré pour sécuriser tous les appareils derrière lui et répondre correctement aux problèmes de sécurité conformément aux pratiques standard du secteur.

8.3. New Relic disposera de mesures standard du secteur pour monitorer activement ses systèmes et aider à détecter une attaque hostile potentielle, telles que la détection d'intrusion réseau (NID) ou la détection/prévention d'intrusion hôte (HID).

8.4. Les applications, ports, services et points d'accès similaires installés sur un ordinateur ou un réseau, qui ne sont pas spécifiquement requis pour les fonctionnalités commerciales, seront désactivés ou supprimés.

8.5. New Relic maintient des normes de configuration pour les systèmes d'exploitation et les logiciels autorisés pour les systèmes qui prennent en charge le traitement des données client. New Relic établira et suivra les directives et processus de configuration du serveur pour empêcher l'accès non autorisé aux données client. New Relic maintient des images ou des modèles sécurisés pour les systèmes basés sur les normes de configuration approuvées par l'organisation.

8.6. Les environnements de développement, de test et opérationnels seront logiquement séparés afin de réduire les risques d’accès non autorisé ou de modifications du système opérationnel.

8.7. L’architecture du réseau New Relic sera conçue pour limiter l’accès au site et restreindre la disponibilité des systèmes d’information considérés comme vulnérables aux attaques.

8.8. New Relic fournit des certificats TLS appropriés lorsque les utilisateurs accèdent et consultent les données client dans le service. Le logiciel de New Relic pour l'envoi de données client à New Relic cryptera par défaut les données client en transit.

9. Authentification et gestion des accès

Si vous vous abonnez au service New Relic requis, New Relic fournira des contrôles d'authentification et d'accès standard du secteur pour protéger les données client, y compris des méthodes d'authentification standard du secteur utilisées pour aider à empêcher l'accès non autorisé au service. Les méthodes de contrôle d'accès de New Relic indiqueront clairement les règles et les droits de chaque utilisateur ou groupe d'utilisateurs, y compris les applications et le partage d'informations, et comprendront un processus d'octroi et de suppression de l'accès à tous les systèmes d'information traitant les données client. Un registre de tous les privilèges attribués sera conservé conformément aux exigences des présentes.

9.1. Dans le cas où New Relic est tenue par la loi, la réglementation ou une procédure légale de divulguer des données client, New Relic doit (a) donner au client, dans la mesure du possible, un préavis raisonnable avant la divulgation afin que le client puisse contester la divulgation ou demander une ordonnance de protection, et (b) limiter raisonnablement la divulgation au montant minimum qui est légalement requis pour être divulgué.

10. Gestion des vulnérabilités

New Relic disposera et maintiendra les processus de gestion des vulnérabilités suivants pour tous les appareils utilisés pour se connecter au réseau et aux services New Relic.

10.1. New Relic s'alignera sur les pratiques standard du secteur en matière de développement, de minimisation des services et de configuration sécurisée, conformément aux normes de sécurité minimales reconnues par le secteur pour la plate-forme New Relic et les systèmes des sous-traitants connectés à la plate-forme New Relic en relation avec la fourniture des services.

10.2. New Relic utilisera des normes et des outils reconnus par l'industrie pour effectuer des analyses fréquentes de la vulnérabilité de l'infrastructure afin de tester le réseau et l'infrastructure de New Relic et des tests de pénétration des applications pour tester les services New Relic. New Relic applique les correctifs de sécurité « Moyen », « Élevé » et « Critique » pour tous les composants des environnements de production et de développement dès que cela est commercialement possible, conformément à son protocole de gestion des vulnérabilités et conformément aux pratiques et normes standard du secteur ;

10.3. New Relic disposera de processus conçus pour garantir le respect des pratiques de développement de sécurité standard de l'industrie pour le développement et les tests de tous les codes, API et applications déployés et mis en œuvre à l'appui du Service ;

10.4. New Relic disposera et maintiendra des solutions pour identifier et empêcher les attaquants ou codes malveillants d'accéder ou de compromettre les données client ou les systèmes qui traitent les données client. Il s’agit notamment, sans s’y limiter, de logiciels qui identifient et suppriment les logiciels malveillants et détectent les tentatives d’intrusion. New Relic disposera d'un système de monitoring des événements et incidents de sécurité et de processus de soutien pour informer le personnel approprié en réponse aux menaces.

11. Accès au système et logging

11.1. L'accès aux systèmes de New Relic ne sera pas accordé aux employés de New Relic à moins qu'ils aient été identifiés de manière unique et qu'ils disposent d'informations d'identification suffisantes.

11.2. L'accès aux systèmes de New Relic sera enregistré et conservé pendant au moins 6 mois pour aider aux enquêtes et au monitoring du contrôle d'accès, y compris, mais sans s'y limiter, l'accès et les activités des utilisateurs finaux et les événements de sécurité de l'information.

11.3. New Relic s'engage à fournir au Client la possibilité d'accéder aux enregistrements de logs relatifs aux comptes clients et aux systèmes New Relic qui traitent les données clients en cas de violation de données ou si nécessaire dans le cadre d'une demande d'application de la loi.

12. Reprise après sinistre et sauvegarde des données

12.1. New Relic disposera de plans conçus pour répondre à la perte de services, qui seront testés et révisés au moins une fois par an. Ce plan comprendra des politiques et des procédures documentées pour rétablir le service en cas de panne de service.

12.2. New Relic établira et suivra des procédures de sauvegarde et de restauration des données client.

12.3. Le plan de continuité des activités de New Relic identifie les systèmes critiques. Des tests annuels de reprise après sinistre sont effectués pour vérifier et restaurer les données client en cas d'incident.

12.4. New Relic fournira au Client des copies expurgées de son/ses plan(s) et des preuves de tests/examens sur demande, mais pas plus d'une fois par an, et sous réserve des exigences de confidentialité.

12.5. Des informations supplémentaires sur le contrôle et le cryptage des données client sont disponibles dans le Guide de sécurité de New Relic.

13. Copies et suppression

13.1. En plus de toutes les obligations de New Relic dans le Contrat, à l'expiration ou à la résiliation du Contrat pour quelque raison que ce soit : (a) New Relic cessera, et fera en sorte que son personnel cesse tout accès et toute utilisation de toutes les Données Client, et (b) New Relic supprimera toutes les copies des Données Client dans un délai de quatre-vingt-dix (90) jours.

13.2. New Relic maintiendra un processus garantissant la destruction et la suppression sécurisées de toutes les données client, lorsque le client le demande raisonnablement ou comme autrement prévu dans le contrat. Le processus comprendra des processus standard de l'industrie afin que : (i) les données client ne puissent pas être lues ou reconstruites de manière pratique, et (ii) les systèmes qui stockent les données client soient effacés en toute sécurité et/ou les disques mis hors service soient détruits.

14. Gestion des fournisseurs tiers

New Relic peut faire appel à des fournisseurs tiers pour fournir les Services. New Relic effectue une évaluation des risques de sécurité des fournisseurs potentiels avant de travailler avec eux pour valider qu'ils répondent aux normes de sécurité et de continuité des activités de New Relic, y compris le type d'accès et la classification des données auxquelles on accède (le cas échéant), les contrôles nécessaires pour protéger les données et les exigences légales/réglementaires. New Relic conclut des accords écrits avec ses fournisseurs qui traitent les données client, qui incluent des obligations de confidentialité et de sécurité qui fournissent un niveau de protection approprié pour les données client que ces fournisseurs peuvent traiter pour New Relic afin de maintenir la posture de sécurité dans cette politique, y compris le respect des normes de sécurité de l'industrie.

15. Divulgation par la loi

Dans le cas où New Relic serait tenue par la loi, la réglementation ou une procédure légale de divulguer des Données Client, New Relic (a) donnera au Client, dans la mesure du possible, un préavis raisonnable avant la divulgation afin que le Client puisse contester la divulgation ou demander une ordonnance de protection, et (b) limitera raisonnablement la divulgation au montant minimum qui doit être légalement divulgué. New Relic publie son rapport sur les demandes des forces de l'ordre concernant le guide de sécurité de New Relic.

16. Mises à jour

À mesure que New Relic publie de nouveaux produits, services, fonctionnalités et caractéristiques, New Relic peut mettre à jour cette politique pour tenir compte de ces produits, services, fonctionnalités et caractéristiques.

Pour plus d'informations, consultez notre Guide de sécurité.

RSS - Atom

Abonnez-vous au flux RSS.