Certifications en matière de sécurité et de conformité
En savoir plus sur la façon dont nous assurons la sécurité de vos données
SSAE 18 SOC 1 et SOC 2
Comme Billtrust est un fournisseur de services cloud (CSP) que nos clients utilisent pour externaliser leurs produits et services, nous effectuons chaque année un audit SSAE 18 SOC 1 Type 2 et SOC 2 Type 2. Nos audits sont effectués par un tiers indépendant accrédité.
Un audit SOC 1 évalue l'efficacité des contrôles internes menés par les CSP qui affectent les rapports financiers de leurs clients. La norme SSAE 18 (Statement on Standards for Attestation Engagements) indique quant à elle que l'audit a été effectué. Elle constitue la base du rapport SOC 1.
Un audit SOC 2 évalue l'efficacité du système d'un CSP, en fonction des critères de confiance de l'AICPA. Le rapport SOC 2 repose sur une attestation d'engagement en vertu de la section 101 des normes d'attestation (AT). Au minimum, Billtrust inclut la sécurité, la confidentialité et la disponibilité des données dans son audit SOC 2.
Conformité à la norme PCI
La norme de sécurité des informations PCI DSS (Payment Card Industry Data Security Standards) a pour but de prévenir la fraude grâce à un contrôle accru des données relatives aux cartes bancaires. Les entreprises de toutes tailles doivent respecter les normes PCI DSS si elles acceptent les cartes de paiement des cinq principales marques de cartes bancaires : Visa, MasterCard, American Express, Discover et Japan Credit Bureau (JCB). La conformité à la norme PCI DSS est requise pour toute entreprise qui stocke, traite ou transmet des données de paiement ou relatives au titulaire de la carte.
Billtrust réalise une évaluation PCI DSS annuelle en faisant appel à un évaluateur de sécurité qualifié (QSA) agréé. L'évaluation donne lieu à une attestation de conformité (AoC) et un rapport sur la conformité (RoC) émis par le QSA. La période de conformité commence dès l'attribution de l'attestation de conformité et dure un an. Billtrust est certifié conforme à la norme PCI DSS version 3.2.1, fournisseur de services Niveau 1.
Les clients qui utilisent les produits et services conforme à la norme PCI de Billtrust réduisent considérablement la portée, les coûts et les efforts de leurs propres évaluations de conformité PCI.
Billtrust est répertorié en tant que prestataire de services conforme sur les listes de prestataires de services approuvés par VISA.
Confidentialité HIPAA
La loi américaine HIPAA (Health Insurance Portability and Accountability Act) concerne l'utilisation, la divulgation et la protection des informations de santé personnellement identifiables. Elle s'applique aux cabinets médicaux, hôpitaux, sociétés d'assurance et autres établissements de santé qui ont accès aux informations de santé protégées des patients (PHI), ainsi qu'à leurs partenaires commerciaux, tels que les fournisseurs de services cloud et informatiques, qui traitent les PHI en leur nom. (La plupart des entités couvertes ne s'occupent pas elles-mêmes de gérer les réclamations ou le traitement des données. Elles confient plutôt ces tâches à des partenaires commerciaux.)
Billtrust agit en tant que partenaire commercial de certains de nos clients qui sont des entités couvertes.
La loi HIPAA exige que les entités couvertes signent un accord de partenariat avec leurs partenaires commerciaux (dans ce cas, Billtrust lorsque nous fournissons des services aux entités couvertes) pour s'assurer qu'ils protègent adéquatement les PHI. Ces accords de partenariat clarifient et limitent la façon dont le partenaire peut gérer les PHI, et établissent le respect des dispositions de sécurité et de confidentialité énoncées dans la loi HIPAA et HITECH. Il n'existe actuellement pas de certification officielle pour la conformité à la loi HIPAA ou HITECH, mais Billtrust se soumet à une évaluation annuelle des risques.
Conformité à la NACHA
La NACHA (National Automated Clearing House Association) est l'instance qui supervise le Réseau ACH. Elle gère le développement, l'administration et les règles du réseau de paiement qui relie les institutions financières des États-Unis. Le Réseau, qui transfère directement de l'argent et des informations d'un compte bancaire à un autre, prend en charge plus de 90 % de la valeur totale des paiements électroniques aux États-Unis. La NACHA favorise le développement et la diversification des paiements électroniques en prenant en charge les Paiements directs et par Virement bancaire effectués par le biais de transactions ACH, comme les paiements par carte de crédit et de débit ; les paiements uniques et récurrents ; les transactions gouvernementales et commerciales ; les paiements internationaux ; et les autres types de paiement ainsi que les informations qui leur sont associés. Les Règles d'exploitation et les directives de la NACHA sont publiées annuellement par l'association.
Billtrust traite les paiements ACH pour le compte de ses clients, à la fois en tant que Fournisseur de services tiers et en tant qu'Expéditeur tiers. Billtrust effectue un audit externe annuel indépendant de ses opérations ACH, conformément aux Règles d'exploitation ACH.
Préparation en cas de pandémie, continuité des activités et reprise après sinistre
Billtrust prend part à une évaluation annuelle des risques liés à la continuité des activités et à la reprise après sinistre. Nos plans sont basés sur la norme NFPA1600 pour la gestion des catastrophes et des situations d'urgences et de continuité des activités (édition 2022).
Billtrust prend part à une évaluation annuelle des risques liés à la continuité des activités et à la reprise après sinistre. Nos plans sont basés sur la norme NFPA1600 pour la gestion des catastrophes et des situations d'urgences et de continuité des activités (édition 2022).
Suite à la COVID-19, Billtrust a également mis en place un plan en cas de pandémie qui est testé chaque année. Plus de 90 % des employés de Billtrust ont su remplir leurs fonctions tout en travaillant à distance. Ce plan fait toujours partie de la stratégie de continuité des activités de Billtrust.