Ces mesures complètent les Conditions de sécurité et de confidentialité de Fitbit.

Fitbit exige des Fournisseurs qui manipulent des Données de Fitbit qu’ils respectent certaines mesures de sécurité organisationnelles et techniques minimales.

Le Fournisseur doit élaborer, maintenir et/ou mettre en œuvre un programme écrit complet de sécurité de l’information qui respecte ces mesures. Le programme de sécurité de l’information du Fournisseur doit comprendre des mesures de protection administratives, techniques et physiques pour protéger les Données de Fitbit qui ne sont pas moins rigoureuses que les pratiques reconnues au niveau sectoriel (y compris, mais non de façon limitative, les normes de l’Organisation internationale de normalisation : ISO/IEC 27001:2013 - Systèmes de gestion de la sécurité de l’information - Exigences et ISO-IEC 27002:2013 - Code de pratique pour les contrôles de sécurité de l’information, ou la norme Contrôle de l’organisation du service (SOC) 2 de l’American Institute of CPAs (AICPA) et d’autres mesures de sécurité conçues pour : (i) assurer la sécurité et la confidentialité des Données de Fitbit; (ii) protéger contre toute menace ou tout danger anticipé pour la sécurité et l’intégrité des Données de Fitbit; et (iii) protéger contre tout traitement, perte, utilisation, divulgation, acquisition ou accès non autorisé, avéré ou suspecté, de toute Donnée de Fitbit. Sans limiter la généralité de ce qui précède, ces mesures comprennent au minimum ce qui suit :

• Protocoles sécurisés d’authentification des utilisateurs. Utiliser une solution de connexion d’authentification à facteurs multiples pour régir l’accès des utilisateurs à l’environnement informatique du Fournisseur, y compris, sans limitation, en ce qui concerne l’accès à (a) toute connexion VPN à l’environnement informatique de l’entreprise du Fournisseur (y compris le système de courrier électronique du Fournisseur s’il est accessible depuis Internet); (b) toute connexion à l’environnement informatique de production du Fournisseur; et (c) tout autre logiciel ou service que le Fournisseur est susceptible d’utiliser dans le cadre de son activité au titre des Contrats applicables et qui peut transmettre, traiter ou stocker des Données de Fitbit.
• Mesures de contrôle d’accès sécurisé. Dans la mesure où le Fournisseur offre une solution SaaS à Fitbit, celle-ci doit s’intégrer à une solution Single Sign On (SSO) approuvée par Fitbit, via SAML.
• Traitement des Données de Fitbit. Maintenir une frontière entre l’environnement informatique de l’entreprise du Fournisseur et celui de la production, y compris, mais non de façon limitative, maintenir des contrôles permettant d’accéder à la frontière de la production et limiter l’accès à l’environnement informatique de la production aux personnes dont le rôle nécessite un tel accès. Le Fournisseur doit prévoir une séparation entre les Données de Fitbit et les données des autres clients du Fournisseur situées dans l’environnement informatique de production du Fournisseur. Le Fournisseur ne doit pas retirer les Données de Fitbit de son environnement informatique d’entreprise ou de production sans avoir obtenu au préalable le consentement de Fitbit par écrit. Plus précisément, les Données de Fitbit ne doivent pas être téléchargées sur des téléphones, des tablettes, des ordinateurs portables ou des ordinateurs de bureau, et ne doivent pas être partagées avec des tiers en dehors de l’environnement informatique de l’entreprise ou de production du Fournisseur.
• Transmission sécurisée. Si le traitement des Données de Fitbit par le Fournisseur implique la transmission de Données de Fitbit sur un réseau, le Fournisseur doit assurer un niveau de sécurité adapté aux risques associés à la transmission et à la nature des Données de Fitbit (par exemple les données à caractère personnel), y compris, sans limitation, le recours à des versions sécurisées et activement supportées de Transport Layer Security (TLS) pour le chiffrement du transport.
• Chiffrement au repos. Chiffrement des données Fitbit stockées au repos à l’aide d’algorithmes de chiffrement standard (par exemple, AES).
• Configuration sécurisée. Mise en œuvre de contrôles de sécurité des réseaux, des appareils, des applications, des bases de données et des plates-formes conformes aux normes sectorielles (par exemple modèles de politique de sécurité de l’information SANS, DSIA STIG).
• Surveillance continue et réponse. Mise en œuvre et maintenance d’outils de détection et de réponse continue des points terminaux et d’une capacité anti-maliciel actualisée. Surveiller, détecter et alerter de manière proactive les activités suspectes ou malveillantes dans les environnements informatiques de l’entreprise et de la production du Fournisseur, le cas échéant. Le Fournisseur doit également maintenir un programme de réponse aux incidents capable de réagir et de remédier aux incidents de sécurité dès leur découverte.
• Cycle de vie du développement des logiciels et gestion du changement. Mettre en œuvre et maintenir une capacité sécurisée de cycle de vie du développement des logiciels en tenant compte des meilleures pratiques du projet de sécurité des applications web ouvertes et des procédures formelles de gestion des changements qui prennent en compte l’impact des changements sur la sécurité avant qu’ils ne soient effectués.
• Gestion de la vulnérabilité. Un programme de gestion de la vulnérabilité de sécurité qui comprend la détection et la correction régulières des points de vulnérabilité dans les systèmes qui transmettent, traitent ou stockent des Données de Fitbit. Le programme doit comprendre des procédures pour évaluer et atténuer les points de vulnérabilité en fonction de leur criticité et valider les travaux de remédiation.
• Rectification de la vulnérabilité. Corriger rapidement les problèmes de gravité élevée et critique, y compris en appliquant des correctifs de sécurité si nécessaire, à l’environnement informatique de l’entreprise et de la production du Fournisseur, y compris, mais non de façon limitative, aux serveurs, aux points d’extrémité et aux systèmes de gestion des points d’extrémité du Fournisseur. Toute vulnérabilité jugée « critique » et « élevée » qui n’est pas corrigée dans les soixante (60) jours suivant la prise de connaissance de la vulnérabilité par le Fournisseur doit être signalée à Fitbit, y compris l’identification de tout risque pour les Données de Fitbit découlant de l’incapacité du Fournisseur à corriger la vulnérabilité.
• Tests d’application et de pénétration du réseau. Au moins une fois par an, faites réaliser des tests par un tiers indépendant dans le but de tester la sécurité des applications et du réseau du Fournisseur. Ces tests doivent être effectués sur : (i) toutes les solutions SaaS que le Fournisseur fournit à Fitbit; (ii) tous les aspects du périmètre de l’infrastructure réseau du Fournisseur connecté à Internet; et (iii) l’environnement informatique de l’entreprise et de la production du Fournisseur. Sur demande, le Fournisseur doit fournir à Fitbit des informations résumant la tierce partie qui a effectué ces tests ainsi que la portée et le résumé des résultats correspondants.
• Sécurité du personnel. Le Fournisseur doit mettre en œuvre et maintenir des procédures et pratiques raisonnables en matière de sécurité et d’intégrité du personnel, y compris, mais non de façon limitative, en procédant à des vérifications d’antécédents conformément aux lois applicables.
• Sensibilisation à la sécurité. Un programme de formation et de sensibilisation à la sécurité qui est dispensé à l’occasion de l’intégration des nouveaux employés et chaque année par la suite.

En outre, dans la mesure où, dans le cadre de l'exécution des Contrats applicables, le Fournisseur transmet, stocke ou traite les données des titulaires de carte (tel que ce terme est défini dans la norme de sécurité des données du secteur des cartes de paiement (« PCI DSS »)) pour le compte de Fitbit, le Fournisseur doit alors, dans le cadre de cette exécution, se conformer à la norme PCI DSS. En outre, le Fournisseur doit effectuer toutes les tâches, évaluations, examens, tests de pénétration, scans et autres activités requises (y compris toute directive de conformité émise par le Conseil des normes de sécurité PCI) ou autrement pour valider la conformité du Fournisseur à la norme PCI DSS en ce qui concerne les éléments du système et les parties de l'environnement des données du titulaire de la carte (tels que ces termes sont définis dans la norme PCI DSS) dont le Fournisseur est responsable. À la demande de Fitbit, le Fournisseur doit lui remettre une copie de son attestation annuelle de conformité PCI afin de vérifier cette conformité.

À l’appui des présentes, de temps à autre, à la demande raisonnable de Fitbit, le Fournisseur doit rapidement remplir un certificat déclarant et garantissant à Fitbit sa conformité continue aux mesures susmentionnées, et remettre à Fitbit toute information que Fitbit juge raisonnablement nécessaire pour lui permettre de s’assurer que le Fournisseur se conforme aux présentes.