CarGurus prend la sécurité au sérieux

Voici nos pratiques.

Nous appliquons des mesures de sécurité strictes sur le plan organisationnel, architectural et opérationnel afin de protéger nos applications, nos infrastructures et les données de nos clients et des visiteurs de notre site Web. CarGurus soutient activement la sensibilisation à la sécurité, offre de la formation sur la protection des données et applique des pratiques exemplaires afin que les principes de sécurité et la confidentialité des données restent une préoccupation centrale de ses employés. CarGurus tient compte des principes de sécurité de l’information dans la conception de ses plateformes, la gestion de ses réseaux et la conduite de ses activités courantes.

Gouvernance

CarGurus a mis en place des politiques officielles régissant les activités des employés en matière de confidentialité des données, de sécurité de l’information et d’utilisation acceptable. Nous formons nos employés sur ces questions au moment de leur prise de fonction, puis périodiquement par la suite. De plus, nous faisons appel à nos équipes de sécurité informatique et des technologies de l’information pour veiller à l’application de ces politiques par le biais de contrôles techniques.

Gestion du risque

CarGurus effectue des évaluations périodiques du risque concernant la sécurité informatique au niveau de ses établissements, systèmes et ressources d’information. Nous présentons les rapports d’évaluation du risque et les mesures d’atténuation proposées à la haute direction, s’il y a lieu. Nos rapports d’évaluation du risque précisent les changements proposés aux systèmes, aux processus, aux politiques et aux outils pour réduire les vulnérabilités de sécurité et les menaces pour CarGurus, ses clients et les visiteurs de son site Web. Nous atténuons le risque au moyen de la mise en place de politiques, procédures et mesures de contrôle.

Gestion du profil de sécurité des fournisseurs

CarGurus effectue et enregistre des évaluations du profil de sécurité de ses fournisseurs de services. Les fournisseurs sont approuvés ou rejetés selon leur profil de sécurité relatif et le risque qu’ils poseraient pour CarGurus.

Opération de sécurité

CarGurus utilise des barrières de sécurité de pointe aux points terminaux, des systèmes de détection des intrusions et des dispositifs complexes de protection du courrier électronique pour surveiller ses systèmes et prévenir d’éventuels incidents de sécurité. CarGurus emploie un antiprogramme malveillant de nouvelle génération pour contrer les logiciels malveillants et autres menaces. Gérés de manière centralisée, les agents antiprogramme malveillant sont configurés pour l’installation périodique de mises à jour. Ces agents alertent les analystes de l’exploitation pour que ceux-ci interviennent lorsqu’un logiciel malveillant est détecté.

CarGurus utilise un programme de gestion des vulnérabilités pour identifier et corriger les vulnérabilités dans l’ensemble de ses réseaux afin de réduire l’exposition et de limiter les angles d’attaque. Nous effectuons également la surveillance en tout temps de nos systèmes essentiels.

Contrôles d’accès

CarGurus emploie des contrôles de gestion de l’accès et de l’identité pour accorder l’accès à ses systèmes par l’entremise de comptes utilisateur associés à des privilèges appropriés. CarGurus accorde l’accès à ses réseaux et applications essentiels selon le principe du droit d’accès minimal. Nous limitons les droits d’accès administratifs principaux au personnel autorisé. Nous avons établi des procédures d’octroi et de retrait des droits d’accès pour consigner les autorisations et droits d’accès pertinents accordés aux systèmes et données essentiels. Nous effectuons des examens périodiques des accès fondés sur le risque pour les systèmes et applications essentiels.

CarGurus fait appel à un fournisseur de système de gestion des identités à authentification unique pour nos applications d’entreprise essentielles. Nous attribuons un identifiant unique aux utilisateurs et nous imposons des critères de mot de passe au moins aussi stricts que ceux de la NIST. Notre système de gestion des identités applique la stratégie de mot de passe de CarGurus et exige l’authentification multifactorielle.

Sécurité physique

La plateforme CarGurus est hébergée par un système infonuagique et dans des centres de données à la fine pointe de la technologie. Les centres de données colocalisés appliquent des mesures de contrôle de la sécurité physique et environnementale (notamment l’identification biométrique, l’accès surveillé, des équipes de sécurité sur place en tout temps et des systèmes de télévision en circuit fermé). L’accès aux centres de données est limité aux personnes autorisées. Nos centres de données tiennent des rapports SOC 2, qui présentent la description et la mise à l’essai des mesures de contrôle internes du prestataire de services.

Confidentialité et protection des données

CarGurus prend la protection des données personnelles au sérieux. Les bases de données sont protégées par des contrôles d’accès basés sur les rôles et la connexion exige l’authentification multifactorielle. CarGurus applique des méthodes de chiffrement reconnues pour la transmission et le stockage des données.

CarGurus reconnaît les lois et réglementations en matière de confidentialité des données, y compris le Règlement général sur la protection des données (RGPD) de l’UE, la California’s Consumer Privacy Act (CCPA) et la Normes de sécurité des données de la PCI. Le RGPD et la CCPA imposent des obligations concernant la collecte, le traitement et la transmission des données personnelles. CarGurus a mis en place des mesures de contrôle à l’échelle de l’organisation afin de mieux se conformer à ces cadres de référence. Pour en savoir plus sur nos pratiques concernant la confidentialité des données, veuillez consulter la Politique de confidentialité de CarGurus.

Sensibilisation à la sécurité

CarGurus donne de la formation sur la sensibilisation à la sécurité et la confidentialité des données à ses employés lors de leur entrée en fonction, puis périodiquement par la suite. De plus, notre équipe de sécurité informatique diffuse fréquemment des alertes et des conseils de sécurité sur les canaux de communication internes.

Disponibilité

CarGurus applique des procédures de sauvegarde documentées. CarGurus effectue périodiquement des sauvegardes complètes de toutes les bases de données de production. Les sauvegardes sont copiées périodiquement sur un emplacement externe.

Sécurité des applications

CarGurus effectue des tests internes et externes de sa plateforme. Nous collaborons également avec une plateforme tierce pour l’hébergement de notre programme de primes de bogues permettant à des testeurs de signaler sans risque les vulnérabilités et bogues trouvés dans les plateformes et systèmes de CarGurus. En outre, nous faisons appel à un spécialiste en sécurité pour effectuer des essais de pénétration externes périodiques du réseau et de l’application Web. Conformément à notre méthode de gestion du changement, tout changement dans les services touchant CarGurus et ses clients sont d’abord analysés et mis à l’essai, puis approuvés. Le processus de gestion du changement de CarGurus vise à empêcher tout changement indésirable de toucher l’environnement de production. Tous les changements essentiels à apporter à la production sont soumis à un processus d’analyse, de mise à l’essai et d’approbation avant d’être mis en production.