Centre de conformité M-Files
M-Files exploite un système de gestion de la qualité et de la sécurité de l’information certifié ISO et SOC afin de vous garantir un service sûr et de qualité.
ISO/IEC 27001:2013
M-Files a été certifié conforme aux exigences de la norme ISO/IEC 27001:2013 par une tierce partie indépendante. Cette certification couvre les opérations M-Files dans le Cloud.
SOC 2 et SOC 3
M-Files a été certifié conforme au rapport SOC 2 selon les Trust Services Criteria définis par l’American Institute of Certified Public Accountants (AICPA).
M-Files est également certifié SOC 3, selon ces mêmes critères (critères de confiance portant sur la sécurité, la disponibilité et la confidentialité).
ISO 9001:2015
M-Files a été certifié conforme aux exigences de la norme ISO 9001:2015 par une tierce partie indépendante. La certification couvre la conception, le développement, la distribution et le support pour les logiciels de gestion de l’information et leurs services afférents.
RGPD
M-Files respecte le RGPD tant dans le traitement que dans le contrôle des données à caractère personnel. Concernant le traitement des données, M-Files respecte les réglementations applicables du RGPD pour tous les services pertinents fournis aux clients. M-Files collaborera également avec ses clients afin de les aider à respecter les obligations qui leur incombent en qualité de contrôleurs des données.
Nous nous engageons à respecter des normes strictes en matière de sécurité de l’information, de protection des données et de transparence, ainsi qu’à gérer vos données conformément au RGPD. Nos déclarations en matière de confidentialité et autres documents liés au RGPD peuvent être consultés sur notre page Politique de confidentialité.
ISO/IEC 27017:2015
Associée à la même famille de normes qu’ISO/IEC 27001, la norme ISO/IEC 27017 garantit des contrôles renforcés pour les fournisseurs de services en cloud et leurs clients. Le système de gestion de la sécurité de l’information de notre fournisseur d’infrastructure de cloud, Microsoft Azure, a été certifié conforme aux exigences de la norme ISO/IEC 27017:2015.
ISO/IEC 27018:2014
La norme ISO/IEC 27018 garantit des contrôles renforcés pour les fournisseurs de services d’informatique en cloud public en charge du traitement des données personnelles. Le système de gestion de la sécurité de l’information de notre fournisseur d’infrastructure de cloud, Microsoft Azure, a été certifié conforme aux exigences de la norme ISO/IEC 27018:2014.
ISO 22301:2012
La norme ISO 22301:2012 sur la gestion de la continuité des affaires garantit l’engagement en matière de continuité des affaires et de préparation aux situations d’urgence. Cette certification atteste du respect de pratiques rigoureuses afin de se protéger des incidents perturbateurs, réduire leur probabilité de survenance, y répondre et de s’en rétablir lorsqu’ils surviennent. Le système de gestion de la continuité des affaires de notre fournisseur d’infrastructure de cloud, Microsoft Azure, a été certifié conforme aux exigences de la norme ISO 22301:2012.
Gestion des archives – SÄHKE2, DoD 5015.2, MoReq2, etc.
Sähke2 est une norme relative à la gestion des archives mise en place par les Archives nationales de Finlande. M-Files a été certifié conforme aux exigences de la norme SÄHKE2 par une tierce partie indépendante.
M-Files est officiellement certifié conforme SÄHKE2 en Finlande et respecte également les exigences principales d’autres spécifications sur la gestion des archives, telles que DoD 5015.2 et MoReq2.
FDA 21 CFR partie 11
Le système de gestion de la qualité de M-Files est compatible avec ou répond aux exigences de la réglementation américaine 21 CFR Partie 11 concernant les documents et les signatures électroniques.
La Partie 11 énonce
– des exigences portant sur le système informatique même
– des exigences auxquelles il n’est possible de répondre que par l’intermédiaire de procédures ou de personnel locaux
Nous avons préparé un document de déclaration de conformité qui définit clairement celles que nous considérons comme appartenant à ce dernier type, ainsi que quelques bonnes pratiques ou recommandations. La dernière règle de 21 CFR Partie 11 ayant été à l’origine publiée en 1997, certaines de ses exigences nécessitent une interprétation ou une clarification à la lumière des normes TI actuelles.
Eudralex Vol. 4 Annexe 11
Le système de gestion de la qualité (QMS) de M-Files est compatible avec ou répond aux exigences de la réglementation EudraLex Volume 4, Good Manufacturing Practice (bonnes pratiques de fabrication, BPF), Annexe 11 : Computerised Systems (systèmes informatisés) (2011).
L’Annexe 11 énonce essentiellement deux types d’exigences. Tout d’abord, certaines exigences peuvent être appliquées à un système informatique individuel qui est utilisé dans le cadre des BPF. Nous avons préparé un document de déclaration de conformité dans lequel nous expliquons la manière dont le QMS de M-Files répond à chacune de ces exigences. Nous établissons également une distinction entre les cas dans lesquels une exigence peut être remplie par les qualités du logiciel et ceux qui nécessitent un processus au niveau local.
Enfin, l’Annexe 11 contient des exigences concernant la manière dont l’organisation doit remplir son rôle TI de façon générale. Dans notre déclaration de conformité, nous expliquons comment le QMS de M-Files répond à de telles exigences par le biais de divers processus et pratiques de travail prédéfinis.
HIPAA
Le logiciel M-Files peut être utilisé pour promouvoir le respect de la règle de sécurité de la loi américaine sur la portabilité et la responsabilité des assurances maladie (Health Insurance Portability and Accountability Act – HIPAA) de 1996. Microsoft Azure et M-Files peuvent être validés ensemble pour offrir aux clients une solution conforme HIPAA.
Nous avons préparé un document de déclaration de conformité qui couvre les deux principaux cas d’usage prévu de M-Files. Dans le premier cas d’usage, M-Files est utilisé comme référentiel contenant des informations sur la santé protégées par l’HIPAA et nécessite donc l’intégration au système de mesures de sécurité, de contrôles et d’alertes appropriés. Dans le second cas d’usage, M-Files est utilisé comme outil de gestion de la qualité, de PON, de formation et de qualification du personnel de l’organisation, mais ne contient pas d’informations réelles sur les patients ou leur santé.
Certaines règles de l’HIPAA énoncent clairement des caractéristiques attendues du système logiciel. Pour de tels cas, nous expliquons comment M-Files répond à chacune de ces exigences. D’autres règles de l’HIPAA concernent les processus locaux, les pratiques de travail et le personnel. Pour plusieurs de ces règles, nous proposons un certain nombre de bonnes pratiques et de conseils utiles sur la manière dont M-Files peut contribuer à la conformité HIPAA grâce à ses fonctionnalités d’automatisation, de notifications, d’alertes et de contrôle d’accès.
SOX-404
Le kit de conformité M-Files, l’extension spécifique à la qualité, la conformité et la réglementation de la plateforme principale de M-Files, a été développé et testé dans le respect des meilleures pratiques connues de l’industrie du logiciel par une équipe de développement professionnelle en interne. Le développement produit, les tests, la diffusion et le support de M-Files sont effectués selon le système de qualité de M-Files Corporation.
Les exigences de qualité, de conformité et de réglementation ont été prises en compte dans la conception, le développement et les tests du logiciel de base de M-Files et de ses modules complémentaires. Les réglementations dont nous avons connaissance en la matière comprennent, mais sans s’y limiter, ISO 9001:2015, ISO 13485, 21 CFR Partie 11, 21 CFR Partie 820, Eudralex BPF Annexe 11 : Computerised systems (systèmes informatisés), SOX-404, HIPAA et RGPD.
FIPS 140-2 Niveau 2
La publication 140-2 de la Federal Information Processing Standard (FIPS) (FIPS PUB 140-2) est une norme de sécurité informatique du gouvernement américain utilisée pour l’accréditation de modules de chiffrement. Les fournisseurs peuvent valider leurs modules de chiffrement par rapport à cette norme.
Le module de chiffrement, Microsoft Enhanced Cryptographic Provider, exploité par M-Files, est validé par la FIPS 140-2.
M-Files Server effectue un chiffrement AES-256 par le biais du fournisseur de chiffrement amélioré Microsoft (RSAENH) qui est intégré aux systèmes d’exploitation Windows. Le module RSAENH encapsule l’algorithme AES dans un module de chiffrement accessible via la CryptoAPI de Microsoft. M-Files a lié dynamiquement le module RSAENH à l’application M-Files Server et utilise la CryptoAPI de Microsoft pour le chiffrement. M-Files Server utilise ainsi un chiffrement validé par la FIPS 140-2.