Digital Operational Resilience Act (DORA)

monday.com veille à appliquer des normes de sécurité et de confidentialité des données rigoureuses et constamment à jour. L’adoption du règlement DORA (Digital Operational Resilience Act) permet à monday.com de démontrer que ses processus sont conformes aux exigences recommandées en tant que prestataire de services pour des entreprises soumises à cette réglementation. Nous évaluons en continu l’impact du règlement DORA sur nos services et nos opérations pour garantir que nos processus demeurent conformes aux normes du secteur et aident nos clients à garantir leur propre conformité.

Le règlement DORA est une nouvelle réglementation européenne dont l’objectif est de renforcer les moyens des institutions financières de l’Union européenne (banques, sociétés d’investissement, compagnies d’assurance, prestataires de services de paiement) pour faire face aux cybermenaces et autres risques opérationnels. Avec le règlement DORA, l’Union européenne entend accroître la capacité de ses institutions financières à résister, à réagir et à récupérer face aux risques associés à certains systèmes et prestataires de services des technologies de l'information et de la communication (TIC) soutenant ainsi la stabilité de l'ensemble de l'écosystème financier.

monday.com n’est pas directement soumis au règlement DORA puisque ce texte vise avant tout les institutions financières. Mais, sachant que nos clients du secteur financier peuvent faire appel à des prestataires tiers tels que monday.com, nous avons voulu faire en sorte d'aligner nos processus avec les exigences du règlement DORA pour faciliter leur mise en conformité. Les exigences du règlement DORA qui pourraient vous concerner sont déjà prises en compte dans nos pratiques et notre documentation.

Pour vous aider à vous conformer et à respecter vos obligations en vertu du règlement DORA, nous avons préparé un guide contenant à la fois des informations utiles et des liens vers notre documentation de référence.

Les principaux axes du règlement DORA sont couverts par les mesures suivantes, comprenant les fonctions de sécurité de notre application SaaS ainsi que nos mesures internes de sécurité opérationnelle pour vous aider à vous conformer à ses exigences.

Les obligations en matière de sécurité des données et de respect de la confidentialité sont précisées dans notre Annexe relative au traitement des données (DPA). Pour consulter l’ensemble des pratiques de monday.com en matière de sécurité et de protection des données, nous vous invitons à lire notre livre blanc, accessible via notre Centre de sécurité.

Le trafic est chiffré à l'aide de TLS 1.3 avec une suite de chiffrement moderne prenant en charge TLS 1.2 au minimum. Les données des utilisateurs sont chiffrées au repos dans toute notre infrastructure au moyen de l'AES-256 ou mieux. Nous proposons également les options Bring Your Own Key (BYOK) et Tenant Level Encryption (TLE) par le biais de notre module complémentaire Guardian afin de vous offrir un contrôle accru sur vos données.

Notre plateforme et nos solutions intègrent plusieurs fonctionnalités de gouvernance offrant aux entreprises un contrôle total sur la gestion de leurs données. Nous mettons notamment à disposition des outils de journalisation au niveau des éléments, des tableaux et du compte. Ces journaux peuvent être exportés et intégrés à vos outils de supervision existants.

Les administrateurs peuvent configurer des restrictions au niveau du compte, telles que les restrictions d’adresses IP ainsi que personnaliser la gestion des utilisateurs et les autorisations. Prenez le contrôle des accès à votre instance monday.com en l’intégrant à votre fournisseur d’identité pour activer le SSO et en configurant la 2FA.

Afin de garantir une haute disponibilité et une résilience optimale des données, notre service est hébergé sur Amazon Web Services (AWS) avec des possibilités d’hébergement en Europe, aux États-Unis ou en Australie. Nous utilisons une architecture de micro-services pour garantir un impact minimal sur la santé du système en cas de défaillance d'un ou plusieurs composants. L’infrastructure repose sur l’utilisation de zones de disponibilité multiples, garantissant ainsi une meilleure redondance.

monday.com traite les données personnelles que ses clients et utilisateurs déposent sur la plateforme (dans les tableaux et les éléments de leur compte monday.com) uniquement selon les instructions de ses clients (qui sont les responsables du traitement des données).

Les clients de monday.com conservent le contrôle total de leurs données téléchargées et peuvent les modifier, les exporter ou les supprimer à tout moment en utilisant les moyens mis à leur disposition dans l’interface utilisateur. Les clients peuvent demander la suppression de leurs données lors de la résiliation ou de l’expiration de leur abonnement dans le cadre de la procédure de clôture du compte. Toutes les données que vous avez fournies seront ensuite supprimées dans un délai de 90 jours. Cette période comprend un délai de 30 jours pour permettre de revenir sur sa décision et 60 jours supplémentaires pour supprimer les données de nos bases de données et de celles de nos sous-traitants.

monday.com dispose et applique une politique de gestion des risques conçue pour permettre de comprendre les risques auxquels sont exposées les informations et autres ressources informationnelles tout en fournissant un cadre permettant de mitiger les risques identifiés. L’évaluation des risques consiste à repérer et évaluer les menaces pesant sur la sécurité du système, puis à évaluer les risques associés de manière structurée. Nous réalisons chaque année une évaluation des risques dans le cadre de notre certification ISO 27001 et de notre audit SOC 2 Type 2.

Notre procédure de gestion de la sécurité des données et de réponse aux incidents encadre la détection des incidents, leur remontée aux équipes concernées, la communication interne et externe, les mesures correctives et l’analyse rétrospective. En cas d’incident de ce type, monday.com informera sans délai excessif les clients concernés dès qu’elle en aura eu connaissance.

monday.com a mis en place un plan de continuité des activités (BCP) pour garantir la continuité de ses activités en cas d’événement perturbant son fonctionnement normal, notamment si celui-ci touche les employés, les bureaux ou les locaux de monday.com. Nous avons également mis en place un Plan de reprise d’activité (PRA) pour faire face aux sinistres affectant notre environnement de production qui permet notamment la restauration des fonctionnalités essentielles du service depuis notre infrastructure de secours dédiée.

Lors de la mise en œuvre d’une solution tierce, des mesures de sécurité sont prises pour garantir que cette intégration n’augmente pas le niveau de risque de monday.com. Pour cela, nous exigeons de nos prestataires qu’ils respectent les normes du secteur en matière de sécurité et de confidentialité des données, deux critères essentiels dans notre processus de sélection des fournisseurs.

Nous veillons notamment à établir des accords de traitement des données (DPA) et d'autres accords pertinents avec tous nos sous-traitants comportant des obligations en matière de protection des données équivalentes, ou sensiblement similaires, à ceux définis dans le DPA client. Nous réalisons des évaluations de la confidentialité et de la sécurité ainsi que des audits à base de questionnaires et nous examinons les rapports SOC ainsi que les synthèses des tests d’intrusion si nécessaires.

monday.com prend part et est abonné à des forums, groupes et conférences entre professionnels pour recevoir des alertes automatiques et des informations sur les menaces, les vulnérabilités et les entreprises compromises du secteur.

L’entreprise dispose d’outils automatisés qui détectent la présence des menaces, évaluent leur impact et déteminent leur pertinence. Dans le cadre de la gestion des risques liés aux menaces, nous surveillons nos points d’accès, notre environnement informatique, les vulnérabilités de notre infrastructure cloud ainsi que les entreprises compromises.

Pour en savoir plus sur notre démarche de préparation au règlement DORA et sur son impact pour vous, vous pouvez contacter notre service d'assistance.