- ISO 27001
- SOC 2 Type II
- RGPD (Règlement général sur la protection des données)
- HIPAA BAA (Health Insurance Portability and Accountability Act - Accord d'association commerciale)
- CCPA (California Consumer Privacy Act)
Synology maintient une certification officielle ISO/IEC 27001:2022 pour ses opérations d'entreprise, validée par des audits indépendants rigoureux. Cette certification confirme que Synology a mis en place et maintient un système complet de gestion de la sécurité de l'information (ISMS), conçu pour protéger la confidentialité, l'intégrité et la disponibilité (CIA) des données.
Pour ses services cloud, Synology collabore avec des centres de données de colocation tiers qui disposent d'installations certifiées ISO 27001, garantissant que l'infrastructure physique et les contrôles de sécurité au niveau des installations sont gérés conformément aux normes internationales de sécurité de l'information reconnues.
En maintenant cette norme reconnue mondialement, Synology garantit que la gouvernance de la sécurité est un processus continu et systématique, offrant aux clients l'assurance vérifiée que leurs informations sont gérées selon les protocoles de sécurité les plus élevés.
Au-delà de la protection des informations personnelles, Synology maintient un engagement fondamental envers la souveraineté des données des utilisateurs. Synology n’accède pas aux données stockées par les utilisateurs sur leurs appareils matériels ou dans le cloud, ne les utilise pas et ne les traite pas. Nos systèmes sont conçus pour garantir que les actifs numériques restent exclusivement sous le contrôle des utilisateurs, protégés par une architecture privilégiant une autonomie et une propriété absolues.
Les appliances matérielles Synology et les services cloud applicables fournissent les capacités techniques essentielles nécessaires à la création d'un environnement conforme à la HIPAA. Cela inclut des contrôles d'accès avancés, des protections de l'intégrité des données et une journalisation d'audit complète. Bien que la responsabilité de la conformité réglementaire finale incombe à l'entité couverte, les solutions Synology constituent une base solide, permettant aux utilisateurs de déployer et de gérer leur infrastructure conformément à des mesures de sécurité administratives, physiques et techniques strictes.
Le cadre de gouvernance est conçu pour offrir aux consommateurs une visibilité claire sur les catégories d'informations personnelles collectées et les finalités spécifiques pour lesquelles elles sont utilisées. Pour faciliter ces protections, Synology met en œuvre des mesures techniques et organisationnelles robustes permettant aux utilisateurs d'exercer leurs droits légaux, y compris le droit de savoir, le droit de suppression et le droit de refus, assurant ainsi un contrôle total sur leur identité numérique.
- Sécurité physique des centres de données et de l’infrastructure cloud C2.
- Maintenance et mise à jour du matériel, du système d’exploitation, du firmware et des paquets logiciels.
- Modules cryptographiques sécurisés pour les données au repos et en transit.
- Mise en œuvre du contrôle des accès et de politiques de mots de passe robustes.
- Configuration de la sécurité réseau, des pare-feu et des VPN.
- Gestion du cycle de vie des données des utilisateurs finaux et des demandes de confidentialité.
C2 OneStorage C2 Storage for Hyper Backup C2 Storage for Hybrid Share C2 Identity En savoir plus C2 Object Storage En savoir plus C2 Backup for Business En savoir plus C2 Backup for Surveillance En savoir plus
Synology et C2 exploitent des centres de données en colocation en Europe, dans la région APAC et aux États-Unis, certifiés ISO 27001, l’une des normes internationales les plus reconnues pour les systèmes de gestion de la sécurité de l’information. Les centres de données aux États-Unis sont également certifiés SOC 2 Type II, ce qui atteste de la mise en place de contrôles de sécurité stricts et de procédures opérationnelles afin de garantir la protection des données des utilisateurs. En outre, Synology traite les informations de paiement conformément à la norme PCI DSS et utilise un prestataire de services PCI de niveau 1 pour le traitement et le stockage des données de facturation.
Les BAA sont actuellement disponibles pour C2 Object Storage, C2 OneStorage, C2 Identity, Active Insight, C2 Backup for Business et C2 Backup for Surveillance. Les demandes peuvent être soumises via le lien ci-dessus pour la demande de rapports. Un représentant vous contactera afin de confirmer les détails et de fournir une copie numérique de l’accord à signer.
La Health Insurance Portability and Accountability Act (HIPAA) a été introduite par le Congrès américain en 1996 afin d'établir des normes réglementaires pour l'utilisation et la divulgation légales des informations de santé protégées électroniques (ePHI). Selon la réglementation HIPAA, les prestataires de soins de santé et les entreprises doivent respecter un ensemble d'exigences visant à garantir la confidentialité et la sécurité de toute ePHI créée, gérée, reçue ou transmise.
La législation HIPAA se compose de cinq règles. Chaque règle définit des exigences différentes pour la conformité HIPAA :
- Règle de confidentialité : Comment, quand et dans quelles circonstances les ePHI peuvent être utilisées et divulguées
- Règle de sécurité : Normes techniques, physiques et administratives pour protéger l'intégrité des ePHI
- Règle Omnibus : Intégration des dispositions de HITECH dans HIPAA pour renforcer la protection des ePHI
- Règle de notification des violations : Termes et conditions pour la notification des violations de données impliquant des ePHI aux parties concernées et au public
- Règle d'application : Enquête et sanctions appliquées suite à une violation de données impliquant des ePHI
Au fil des années, les exigences ont été intégrées et élargies en réponse aux avancées technologiques dans le secteur de la santé et d'autres industries.
Une architecture sans visibilité (no-view) signifie qu'un fournisseur de services cloud (CSP) conserve de manière sécurisée des données chiffrées, telles que l'ePHI, pour le compte d'un client sans jamais avoir accès à la clé de déchiffrement. Dans ce cadre, les processus d'arrière-plan (backend) gèrent les transitions d'état indépendamment de la visualisation des données ou du déchiffrement du contenu, en s'appuyant strictement sur des canaux sécurisés pour traiter les données sans les ‚voir.