Certifications en matière de sécurité et de conformité

Comme Billtrust est un fournisseur de services cloud (CSP) que nos clients utilisent pour externaliser leurs produits et services, nous effectuons chaque année un audit SSAE 18 SOC 1 Type 2 et SOC 2 Type 2.  Nos audits sont effectués par un tiers indépendant accrédité.

Un audit SOC 1 évalue l'efficacité des contrôles internes menés par les CSP qui affectent les rapports financiers de leurs clients. La norme SSAE 18 (Statement on Standards for Attestation Engagements) indique quant à elle que l'audit a été effectué. Elle constitue la base du rapport SOC 1.

Un audit SOC 2 évalue l'efficacité du système d'un CSP, en fonction des critères de confiance de l'AICPA. Le rapport SOC 2 repose sur une attestation d'engagement en vertu de la section 101 des normes d'attestation (AT).  Au minimum, Billtrust inclut la sécurité, la confidentialité et la disponibilité des données dans son audit SOC 2.

ISO 27001:2022 est une norme internationale relative au management de la sécurité de l'information. Elle fournit une méthode systématique de gestion des informations sensibles des entreprises, garantissant leur confidentialité, leur intégrité et leur disponibilité. Cette norme définit les exigences relatives à l'établissement, à la mise en œuvre, à la tenue à jour et à l'amélioration continue d'un système de management de la sécurité de l'information (SMSI). L'obtention par Billtrust de la certification ISO 27001:2022 montre l'engagement mondial de notre organisation en faveur d'une gestion efficace de la sécurité de l'information, ce qui peut renforcer la confiance des clients et des partenaires à l'égard de tous les produits et services de Billtrust, aux États-Unis et dans l'Union européenne.

Billtrust est une entreprise qui défend des valeurs fortes, comme la responsabilité et l'intégrité. Notre Code de conduite nous guide dans la poursuite de notre activité, dans le respect des normes éthiques les plus strictes.

Billtrust s'engage à cultiver un environnement où les communications ouvertes et honnêtes sont la norme et non l'exception. Nous voulons que vous vous sentiez en confiance lors des échanges avec votre responsable ou l'équipe des ressources humaines à propos d'une possible violation des politiques et normes.

Si vous ne vous sentez pas à l'aise ou si vous préférez signaler une situation de manière anonyme, nous vous invitons à contacter cette ligne d'assistance téléphonique hébergée par un fournisseur tiers, EthicsPoint. Nous vous encourageons à signaler tout manquement à notre Code de conduite, mais aussi à nous demander conseils et à nous transmettre vos suggestions.

Les informations que vous fournissez nous seront envoyées par EthicsPoint de manière confidentielle et anonymisée, si tel est votre choix. Nous vous garantissons que vos commentaires seront pris en compte.

Consultez la FAQ EthicsPoint pour en savoir plus.

Effectuer un signalement

Deux moyens sont à votre disposition pour signaler une violation :

• Cliquez ici pour effectuer un signalement
OU
• Composez le numéro gratuit suivant depuis les États-Unis, Guam, Porto Rico ou le Canada : 844-629-2890

Une fois votre signalement effectué, vous recevrez un code unique appelé « clé de rapport ». Conservez cette clé ainsi que le mot de passe en lieu sûr. Après 5 à 6 jours ouvrés, utilisez-les pour consulter l'avancée de votre signalement et répondre à toute question éventuelle.

La norme de sécurité des informations PCI DSS (Payment Card Industry Data Security Standards) a pour but de prévenir la fraude grâce à un contrôle accru des données relatives aux cartes bancaires. Les entreprises de toutes tailles doivent respecter les normes PCI DSS si elles acceptent les cartes de paiement des cinq principales marques de cartes bancaires : Visa, MasterCard, American Express, Discover et Japan Credit Bureau (JCB). La conformité à la norme PCI DSS est requise pour toute entreprise qui stocke, traite ou transmet des données de paiement ou relatives au titulaire de la carte.

Billtrust réalise une évaluation PCI DSS annuelle en faisant appel à un évaluateur de sécurité qualifié (QSA) agréé. L'évaluation donne lieu à une attestation de conformité (AoC) et un rapport sur la conformité (RoC) émis par le QSA. La période de conformité commence dès l'attribution de l'attestation de conformité et dure un an. Billtrust est certifié conforme à la norme PCI DSS version 4.0.1, fournisseur de services Niveau 1.

Les clients qui utilisent les produits et services conforme à la norme PCI de Billtrust réduisent considérablement la portée, les coûts et les efforts de leurs propres évaluations de conformité PCI.

Billtrust est répertorié en tant que prestataire de services conforme sur les listes de prestataires de services approuvés par VISA.

La loi américaine HIPAA (Health Insurance Portability and Accountability Act) concerne l'utilisation, la divulgation et la protection des informations de santé personnellement identifiables. Elle s'applique aux cabinets médicaux, hôpitaux, sociétés d'assurance et autres établissements de santé qui ont accès aux informations de santé protégées des patients (PHI), ainsi qu'à leurs partenaires commerciaux, tels que les fournisseurs de services cloud et informatiques, qui traitent les PHI en leur nom. (La plupart des entités couvertes ne s'occupent pas elles-mêmes de gérer les réclamations ou le traitement des données. Elles confient plutôt ces tâches à des partenaires commerciaux.)

Billtrust agit en tant que partenaire commercial de certains de nos clients qui sont des entités couvertes.

La loi HIPAA exige que les entités couvertes signent un accord de partenariat avec leurs partenaires commerciaux (dans ce cas, Billtrust lorsque nous fournissons des services aux entités couvertes) pour s'assurer qu'ils protègent adéquatement les PHI. Ces accords de partenariat clarifient et limitent la façon dont le partenaire peut gérer les PHI, et établissent le respect des dispositions de sécurité et de confidentialité énoncées dans la loi HIPAA et HITECH. Il n'existe actuellement pas de certification officielle pour la conformité à la loi HIPAA ou HITECH, mais Billtrust se soumet à une évaluation annuelle des risques.

La NACHA (National Automated Clearing House Association) est l'instance qui supervise le Réseau ACH. Elle gère le développement, l'administration et les règles du réseau de paiement qui relie les institutions financières des États-Unis. Le Réseau, qui transfère directement de l'argent et des informations d'un compte bancaire à un autre, prend en charge plus de 90 % de la valeur totale des paiements électroniques aux États-Unis. La NACHA favorise le développement et la diversification des paiements électroniques en prenant en charge les Paiements directs et par Virement bancaire effectués par le biais de transactions ACH, comme les paiements par carte de crédit et de débit ; les paiements uniques et récurrents ; les transactions gouvernementales et commerciales ; les paiements internationaux ; et les autres types de paiement ainsi que les informations qui leur sont associés. Les Règles d'exploitation et les directives de la NACHA sont publiées annuellement par l'association.

Billtrust traite les paiements ACH pour le compte de ses clients, à la fois en tant que Fournisseur de services tiers et en tant qu'Expéditeur tiers. Billtrust effectue un audit externe annuel indépendant de ses opérations ACH, conformément aux Règles d'exploitation ACH.

Billtrust prend part à une évaluation annuelle des risques liés à la continuité des activités et à la reprise après sinistre. Nos plans sont basés sur la norme NFPA1600 pour la gestion des catastrophes et des situations d'urgences et de continuité des activités (édition 2022).

Suite à la COVID-19, Billtrust a également mis en place un plan en cas de pandémie qui est testé chaque année.  Plus de 90 % des employés de Billtrust ont su remplir leurs fonctions tout en travaillant à distance. Ce plan fait partie de la stratégie de continuité des activités de Billtrust.

Billtrust dispose d'un programme de lutte contre le blanchiment d'argent (AML) conçu pour répondre à ses obligations contractuelles avec ses banques sponsors. Le but de ce programme de lutte contre le blanchiment d'argent, le terrorisme, la corruption et d'autres crimes financiers est d'établir le cadre général de la lutte contre le blanchiment d'argent et le financement du terrorisme et de former du personnel aux procédures internes et juridiques. Ce programme peut également être appelé KYC (Know Your Customer), CDD (Customer Due Diligence) ou CIP (Customer Identification Program).

Billtrust respecte le cadre de protection des données UE–États-Unis (le « CPD UE–États-Unis ») et son extension au Royaume-Uni, ainsi que le cadre de protection des données Suisse–États-Unis (le « CPD Suisse–États-Unis »), tels que définis par le ministère américain du commerce. Nous avons certifié au ministère américain du commerce que nous adhérons aux principes du cadre de protection des données UE–États-Unis en ce qui concerne le traitement des données à caractère personnel provenant de l'Union européenne en vertu du CPD UE–États-Unis et provenant du Royaume-Uni (et de Gibraltar) en vertu de l'extension au Royaume-Uni du CPD UE–États-Unis. Nous avons également certifié au ministère américain du commerce que nous adhérons aux principes du cadre de protection des données Suisse–États-Unis concernant le traitement des données à caractère personnel provenant de Suisse en vertu du CPD Suisse–États-Unis (collectivement dénommés « Principes du CPD »).

Pour en savoir plus sur le CPD et pour consulter notre certification, rendez-vous sur Cadre de protection des données.