Tous les employés doivent suivre une formation sur la sécurité, la confidentialité et la conformité lorsqu'ils entrent en fonction chez Medius. Ils doivent également reconnaître avoir pris connaissance de la politique de sécurité de l'information qui fixe les règles et les lignes directrices visant à éviter ou à minimiser les risques de sécurité de manière continue grâce à des formations et à des programmes de sensibilisation.

Medius respecte le principe du moindre privilège et dispose de processus et de contrôles internes visant à réduire le nombre d'employés ayant accès aux données des clients, notamment des contrôles, des examens des accès et des procédures strictes d'embauche et de départ.

Nos clients agissent en tant que responsables du traitement des données, tandis que Medius intervient comme sous-traitant pour toutes les données clients traitées dans nos services cloud. Cela signifie que vous conservez un contrôle total sur les données saisies, ainsi que sur la configuration et les paramétrages des services. Puisque vous maîtrisez vos données et que nous ne faisons que les traiter, vous restez autonome dans la gestion opérationnelle quotidienne, notamment pour :

• L’attribution des autorisations de sécurité et la gestion des rôles
• La configuration des workflows métiers, alertes, règles, etc.
• La supervision des transactions métier
• La consultation des historiques et des modifications de configuration

Medius repose sur la plateforme cloud Microsoft Azure. Le protocole TLS (Transport Layer Security) est utilisé pour sécuriser l’accès des utilisateurs via Internet, protégeant ainsi le trafic réseau contre l’écoute passive, la falsification active ou l’usurpation de messages. L’authentification des utilisateurs finaux est assurée par un service de jetons de sécurité (Security Token Service).

L’application Medius AP repose sur un modèle de sécurité basé sur les rôles, qui détermine les actions qu’un utilisateur authentifié peut effectuer. Chaque utilisateur est associé à un ou plusieurs rôles. Un rôle définit les objets de données et les services auxquels les utilisateurs sont associés, le niveau d’accès autorisé et les droits utilisateurs associés à chaque rôle.

Les applications Medius sont hébergées dans des centres de données Microsoft Azure de dernière génération, conçus pour garantir la protection des systèmes informatiques critiques. Les données clients sont isolées dans des bases de données SQL distinctes pour chaque client. Toutes les données sont stockées dans la région correspondant à l’emplacement principal du client – en Europe, aux États-Unis ou en Australie – et ne sont en aucun cas transférées d’une région à une autre.

Nous réalisons régulièrement des analyses de vulnérabilités sur nos services applicatifs web afin de vérifier la robustesse de notre sécurité et le respect de nos standards internes.

Les tests de sécurité sont intégrés à notre cycle de développement sécurisé (Secure Software Development Lifecycle – SSDLC). Des tests d’intrusion sont également menés au moins une fois par an par un prestataire indépendant.

Par ailleurs, nous faisons l’objet d’audits indépendants annuels afin de vérifier notre conformité et d'obtenir les certifications requises par les normes du secteur.