October 9, 2018
Ceci est un résumé de la faille de sécurité du système Apollo.io de 2018 et de la réponse de New Relic.
Déclaration de l'agent de sécurité
Au cours du week-end, New Relic a été alerté par un fournisseur d'outils de productivité des ventes, Apollo.io, à propos d'une faille de sécurité de leur système, qui contenait des informations de contact de clients de type carte de visite, telles que le nom, l'adresse e-mail, le numéro de téléphone, le nom de l'entreprise et le titre du poste. Nous enquêtons activement sur ce problème et, à l'heure actuelle, nous pensons qu'un sous-ensemble des coordonnées de nos clients et prospects a peut-être été inclus.
New Relic n'a pas vendu les données à Apollo.io, mais les a partagées uniquement dans le cadre de l'utilisation du service du fournisseur, ce qui signifie que New Relic était le « responsable du traitement » des informations impactées et Apollo notre « responsable du traitement des données (NR) » tel que défini par le règlement général sur la protection des données (RGPD) 2016/679 (« RGPD »). Aucune donnée client de la plateforme de produits New Relic (pour laquelle New Relic agit en tant que « responsable du traitement des données (NR) ») n'a jamais été liée à Apollo.io services ou a été impacté.
Chez New Relic, la sécurité et la confidentialité des données de nos clients sont primordiales, et nous pratiquons des politiques de sécurité des informations strictes pour engager tout fournisseur tiers. Nous évaluons en permanence nos politiques et nos processus auprès de tous les fournisseurs.
Veuillez suivre discussed.newrelic.com/c/security-notifications pour plus d'informations sur cet incident.
- Shaun Gordon, vice-président et responsable de la sécurité chez New Relic
Résumé de l'incident
Who is affected?
Nous enquêtons actuellement sur les personnes concernées, mais nous pensons que la violation du fournisseur s'est limitée aux coordonnées professionnelles.
What happened?
New Relic a récemment été informé par Apollo.io que les données personnelles que nous avons partagées avec eux conformément à notre politique de confidentialité ont été exposées par une violation. Nous avons ensuite commencé notre enquête pour en savoir plus sur la portée des données concernées. Notre politique de confidentialité est décrite plus en détail sur : newrelic.com/termsandconditions/privacy. New Relic n'a pas vendu les données à Apollo, mais les a partagées uniquement pour aider à fournir des services à New Relic.
What data was compromised?
Nous poursuivons notre enquête, mais nous pensons que les adresses e-mail de clients ou de clients potentiels, les noms d'entreprises, les coordonnées professionnelles et les noms des clients auxquels ces e-mails se rapportent ont été potentiellement exposés.
Nous pensons qu'aucune information de compte financier (comme les numéros de carte de crédit, les numéros de compte bancaire, etc.), aucun numéro d'identification émis par le gouvernement (comme les numéros de sécurité sociale ou les numéros de passeport) ou aucune catégorie sensible de données personnelles telles que définies dans le RGPD (comme les informations médicales, les préférences religieuses, etc.) n'ont été exposés.
What action did New Relic take?
Nous avons contacté Apollo.io pour demander des informations supplémentaires et continuons notre enquête en interne.
What further actions will New Relic take?
Sur la base de notre enquête en cours, nous fournirons des informations complémentaires si nécessaire.
Do you need to notify EU data protection authorities of this incident?
Non. Comme expliqué ci-dessus, New Relic est le « responsable du traitement » des coordonnées qui ont été exposées à la suite de cet incident. En conséquence, et conformément à nos responsabilités en tant que « responsable du traitement des données » en vertu du RGPD, nous soumettrons un avis à notre principale autorité de protection des données. Nous ne divulguerons aucune information sur les clients dans le cadre de cet avis.
Mise à jour et résolution
November 5, 2018
Apollo.io, un fournisseur de veille commerciale, a été informé d'une faille de sécurité de son système par un chercheur en sécurité externe. Les données concernées contenaient des informations de contact de type carte de visite, telles que le nom, l'adresse électronique, le numéro de téléphone, le nom de l'entreprise et le titre du poste. Après avoir enquêté sur ce problème, nous avons déterminé qu'un ensemble spécifique d'informations de contact des clients et des prospects de New Relic avait été inclus, mais nous n'avons trouvé aucune preuve d'utilisation abusive. À notre demande, toutes les données de New Relic obtenues par Apollo.io ont été purgées de leur système.
New Relic n'a pas vendu les données à Apollo.io, mais les a partagées uniquement dans le cadre de l'utilisation du service du fournisseur, ce qui signifie que New Relic était le « responsable du traitement » des informations impactées et Apollo.io notre « responsable du traitement des données (NR) » tel que défini par le règlement général sur la protection des données (RGPD) 2016/679 (« RGPD »). Aucune donnée client de la plateforme de produits New Relic (pour laquelle New Relic agit en tant que « responsable du traitement des données (NR) ») n'a jamais été liée aux services d'Apollo.io 30 ou n'a été impactée.
Chez New Relic, la sécurité et la confidentialité des données de nos clients sont primordiales, et nous pratiquons des politiques de sécurité des informations strictes pour engager tout fournisseur tiers. Nous évaluons en permanence nos politiques et nos processus auprès de tous les fournisseurs.
Notre engagement envers nos clients
Chez New Relic, la sécurité et la confidentialité de nos clients sont primordiales, et nous pratiquons des politiques de sécurité des informations strictes pour engager tout fournisseur tiers.
Nous apprécions notre relation avec vous. Si vous avez des questions supplémentaires, nous encourageons les clients à nous contacter à l'adresse support.newrelic.com. Pour plus d'informations sur notre politique de confidentialité, visitez newrelic.com/termsandconditions/privacy.