Certifications en matière de sécurité et de conformité

En savoir plus sur la façon dont nous assurons la sécurité de vos données

En tant que fournisseur de services cloud pour ses produits et services, Billtrust stocke et gère les données de ses clients conformément aux lois et réglementations applicables pour vous aider à respecter vos obligations. Nos services cloud d'entreprise sont validés de manière indépendante par des audits tiers, une auto-évaluation continue et un contrôle juridique.

SSAE 18 SOC 1 et SOC 2

Comme Billtrust est un fournisseur de services cloud (CSP) que nos clients utilisent pour externaliser leurs produits et services, nous effectuons chaque année un audit SSAE 18 SOC 1 Type 2 et SOC 2 Type 2.  Nos audits sont effectués par un tiers indépendant accrédité.

Un audit SOC 1 évalue l'efficacité des contrôles internes menés par les CSP qui affectent les rapports financiers de leurs clients. La norme SSAE 18 (Statement on Standards for Attestation Engagements) indique quant à elle que l'audit a été effectué. Elle constitue la base du rapport SOC 1.

Un audit SOC 2 évalue l'efficacité du système d'un CSP, en fonction des critères de confiance de l'AICPA. Le rapport SOC 2 repose sur une attestation d'engagement en vertu de la section 101 des normes d'attestation (AT).  Au minimum, Billtrust inclut la sécurité, la confidentialité et la disponibilité des données dans son audit SOC 2.

Conformité à la norme PCI

Badge du registre mondial des prestataires de services Visa

La norme de sécurité des informations PCI DSS (Payment Card Industry Data Security Standards) a pour but de prévenir la fraude grâce à un contrôle accru des données relatives aux cartes bancaires. Les entreprises de toutes tailles doivent respecter les normes PCI DSS si elles acceptent les cartes de paiement des cinq principales marques de cartes bancaires : Visa, MasterCard, American Express, Discover et Japan Credit Bureau (JCB). La conformité à la norme PCI DSS est requise pour toute entreprise qui stocke, traite ou transmet des données de paiement ou relatives au titulaire de la carte.

Billtrust réalise une évaluation PCI DSS annuelle en faisant appel à un évaluateur de sécurité qualifié (QSA) agréé. L'évaluation donne lieu à une attestation de conformité (AoC) et un rapport sur la conformité (RoC) émis par le QSA. La période de conformité commence dès l'attribution de l'attestation de conformité et dure un an. Billtrust est certifié conforme à la norme PCI DSS version 3.2.1, fournisseur de services Niveau 1.

Les clients qui utilisent les produits et services conforme à la norme PCI de Billtrust réduisent considérablement la portée, les coûts et les efforts de leurs propres évaluations de conformité PCI.

Billtrust est répertorié en tant que prestataire de services conforme sur les listes de prestataires de services approuvés par VISA.

Confidentialité HIPAA

Logo conforme HIPAA

La loi américaine HIPAA (Health Insurance Portability and Accountability Act) concerne l'utilisation, la divulgation et la protection des informations de santé personnellement identifiables. Elle s'applique aux cabinets médicaux, hôpitaux, sociétés d'assurance et autres établissements de santé qui ont accès aux informations de santé protégées des patients (PHI), ainsi qu'à leurs partenaires commerciaux, tels que les fournisseurs de services cloud et informatiques, qui traitent les PHI en leur nom. (La plupart des entités couvertes ne s'occupent pas elles-mêmes de gérer les réclamations ou le traitement des données. Elles confient plutôt ces tâches à des partenaires commerciaux.)

Billtrust agit en tant que partenaire commercial de certains de nos clients qui sont des entités couvertes.

La loi HIPAA exige que les entités couvertes signent un accord de partenariat avec leurs partenaires commerciaux (dans ce cas, Billtrust lorsque nous fournissons des services aux entités couvertes) pour s'assurer qu'ils protègent adéquatement les PHI. Ces accords de partenariat clarifient et limitent la façon dont le partenaire peut gérer les PHI, et établissent le respect des dispositions de sécurité et de confidentialité énoncées dans la loi HIPAA et HITECH. Il n'existe actuellement pas de certification officielle pour la conformité à la loi HIPAA ou HITECH, mais Billtrust se soumet à une évaluation annuelle des risques.

Conformité à la NACHA

Logo NACHA

La NACHA (National Automated Clearing House Association) est l'instance qui supervise le Réseau ACH. Elle gère le développement, l'administration et les règles du réseau de paiement qui relie les institutions financières des États-Unis. Le Réseau, qui transfère directement de l'argent et des informations d'un compte bancaire à un autre, prend en charge plus de 90 % de la valeur totale des paiements électroniques aux États-Unis. La NACHA favorise le développement et la diversification des paiements électroniques en prenant en charge les Paiements directs et par Virement bancaire effectués par le biais de transactions ACH, comme les paiements par carte de crédit et de débit ; les paiements uniques et récurrents ; les transactions gouvernementales et commerciales ; les paiements internationaux ; et les autres types de paiement ainsi que les informations qui leur sont associés. Les Règles d'exploitation et les directives de la NACHA sont publiées annuellement par l'association.

Billtrust traite les paiements ACH pour le compte de ses clients, à la fois en tant que Fournisseur de services tiers et en tant qu'Expéditeur tiers. Billtrust effectue un audit externe annuel indépendant de ses opérations ACH, conformément aux Règles d'exploitation ACH.

Préparation en cas de pandémie, continuité des activités et reprise après sinistre

Billtrust prend part à une évaluation annuelle des risques liés à la continuité des activités et à la reprise après sinistre. Nos plans sont basés sur la norme NFPA1600 pour la gestion des catastrophes et des situations d'urgences et de continuité des activités (édition 2022).

Billtrust prend part à une évaluation annuelle des risques liés à la continuité des activités et à la reprise après sinistre. Nos plans sont basés sur la norme NFPA1600 pour la gestion des catastrophes et des situations d'urgences et de continuité des activités (édition 2022).

Suite à la COVID-19, Billtrust a également mis en place un plan en cas de pandémie qui est testé chaque année. Plus de 90 % des employés de Billtrust ont su remplir leurs fonctions tout en travaillant à distance. Ce plan fait toujours partie de la stratégie de continuité des activités de Billtrust.

Lutte contre le blanchiment d'argent

Billtrust dispose d'un programme de lutte contre le blanchiment d'argent (AML) conçu pour répondre à ses obligations contractuelles avec ses banques sponsors. Le but de ce programme de lutte contre le blanchiment d'argent, le terrorisme, la corruption et d'autres crimes financiers est d'établir le cadre général de la lutte contre le blanchiment d'argent et le financement du terrorisme et de former du personnel aux procédures internes et juridiques. Ce programme peut également être appelé KYC (Know Your Customer), CDD (Customer Due Diligence) ou CIP (Customer Identification Program).

Certification au Bouclier de protection des données

Nous ne comptons plus sur le Bouclier de protection des données UE-États-Unis pour transférer les informations personnelles de l'EEE et du Royaume-Uni vers les États-Unis. Nous continuons toutefois à appliquer les Principes du Bouclier de protection aux données personnelles que nous avons reçues de l'EEE et du Royaume-Uni. Billtrust reste conforme aux Cadres des Boucliers de protection des données UE-États-Unis et Suisse-États-Unis.

Billtrust Collections (iController) et Order2Cash conformes à la norme ISO 27001:2013

La norme ISO/IEC 27001:2013 est une norme de sécurité qui spécifie de manière formelle les bonnes pratiques de gestion de la sécurité et des contrôles de sécurité dans le cadre d'un système de management de la sécurité de l'information (SMSI). En tant que spécification formelle, elle impose des exigences qui définissent la manière de mettre en œuvre, de contrôler, de surveiller et d'améliorer en permanence un SMSI. La certification ISO/IEC 27001:2013 facilite la conformité de Billtrust Collections (iController) et Order2Cash à de nombreuses exigences réglementaires et légales liées à la sécurité de l'information. Le processus de certification associé est assuré par des auditeurs tiers indépendants. Notre conformité à cette norme témoigne de notre engagement en matière de sécurité de l'information afin de protéger les données et les informations traitées au sein de notre organisation.