Salesforce fait désormais partie du programme de responsabilité partagée et d’héritage HITRUST
Dans le monde numérique d’aujourd’hui, aussi bien les consommateurs que les entreprises créent et utilisent en permanence une quantité phénoménale de données personnelles, qui ont trait à des domaines très variés : bracelets d’activité, télésanté, services bancaires en ligne ou encore formations à distance. Pour protéger ces données, les gouvernements du monde entier mettent en place des exigences réglementaires qui, tout en étant essentielles à la protection de la confidentialité des données, peuvent être à l’origine de défis chronophages et coûteux à résoudre pour les entreprises, qui s’efforcent de composer avec les dernières tendances numériques.
C’est pourquoi nous sommes heureux de vous annoncer que Salesforce fait désormais partie du programme de responsabilité partagée et d’héritage HITRUST.
HITRUST et la responsabilité partagée de la protection des données client
Chez Salesforce, rien n’est plus important pour nous que d’établir et de maintenir des relations de confiance avec nos clients et l’ensemble des acteurs de notre écosystème. Nous gagnons cette confiance par la transparence, la sécurité, le respect de la confidentialité et la conformité, et nous nous engageons à accompagner nos clients dans leurs propres démarches de mise en conformité.
L’organisation HITRUST a créé le HITRUST Common Security Framework (CSF) afin de rassembler au sein du même cadre plusieurs autres cadres de contrôle/conformité, tels que HIPAA, ISO 27001, SOC 2 et le cadre de cybersécurité du NIST. Les évaluateurs de HITRUST examinent les systèmes et les environnements des clients et évaluent leur niveau de maturité. Bien que HITRUST œuvrait à l’origine dans le secteur de la santé, le CSF est désormais employé par des entreprises des secteurs des sciences de la vie, de la finance, de l’assurance, de la technologie et de l’hôtellerie.
Le programme de responsabilité partagée et d’héritage HITRUST permet aux clients de Salesforce qui effectuent leur propre évaluation HITRUST de tirer parti de contrôles partagés de protection des informations mis à disposition par des services informatiques partagés internes et des organisations tierces ou en aval.
En termes plus simples, ce programme permet aux clients d’employer dans le cadre de leurs propres audits et évaluations les contrôles internes utilisés par Salesforce, sans avoir à examiner individuellement les rapports d’audit produits par Salesforce. Ainsi, un évaluateur peut se fier à la validation de ces contrôles par Salesforce, étant donné qu’il sait que Salesforce a satisfait aux exigences de test pour ces contrôles et qu’ils ont été évalués par l’évaluateur HITRUST de Salesforce.
Les clients peuvent tirer parti du principe d’héritage lorsqu’ils créent des applications sur la plate-forme Salesforce ou utilisent Salesforce dans le cadre de leurs processus commerciaux. L’héritage aide les clients de Salesforce à réduire les délais et les coûts associés à une évaluation HITRUST externe, car les auditeurs peuvent utiliser les contrôles de Salesforce, qui ont déjà été validés, et les intégrer à leur évaluation par le biais du portail MyCSF.
Comment fonctionne l’héritage HITRUST ?
- Vous créez la demande d’héritage dans l’outil MyCSF de HITRUST.
- Vous soumettez la demande à Salesforce.
- Salesforce approuve ou rejette la demande d’héritage en fonction de la matrice de responsabilité partagée HITRUST de Salesforce.
- Enfin, vous pouvez importer toutes les demandes d’héritage approuvées dans votre évaluation afin que vos évaluateurs puissent les examiner.
En l’absence du principe d’héritage, les clients seraient obligés d’utiliser les rapports de conformité de Salesforce accessibles publiquement, comme notre SOC2 de type 2, et d’ajouter ces contrôles à leur rapport d’audit. Il y a alors un risque que l’évaluateur à qui est confiée la mission n’approuve pas les contrôles, car il n’aura pas pu spécifiquement les tester par lui-même.
Pour conclure, le programme de responsabilité partagée et d’héritage HITRUST peut permettre aux clients de réaliser des économies en matière de temps, d’efforts et de budget, tout en les aidant à mieux gérer leurs cyber-risques et à préserver la confidentialité de leurs données. Explorez les ressources du programme HITRUST ou contactez votre chargé de compte Salesforce pour obtenir davantage d’informations.