Sécurité

UiPath® goes to great lengths to ensure that data related to your RPA projects remains safe and secure, without exception. When using UiPath Task Mining, your data benefits from multiple layers of security and governance technologies, operational practices, and compliance policies that UiPath enforces.

UiPath Task Mining est composé de quatre composants principaux : l’application d’enregistrement, le préprocesseur de données, l’analyseur et le portail d’administration. Ensemble, ces composants exécutent des études sur les tâches effectuées par les utilisateurs dans votre environnement. À partir de ces études, UiPath Task Mining identifiera une liste de tâches automatisables et produira une carte de processus détaillée pour ces tâches. Ces études sont contrôlées par votre administrateur système et les données collectées au cours des études sont chiffrées pour garantir le respect de la confidentialité de vos utilisateurs.

Principes de conception de services

Le portail d'administration et l'analyseur sont fournis via un modèle de logiciel en tant que service (SaaS) conçu et hébergé dans Microsoft Azure. Ils utilisent tous les services Azure de base, notamment le calcul, le stockage, la mise en réseau, la base de données SQL, la configuration des applications, le stockage secret dans Key Vault et la gestion des identités et accès.

This allows us to focus on the unique aspects of running UiPath® services while taking advantage of, and building upon, Azure’s state-of-the-art capabilities in security, privacy, and compliance. We also utilize the industry certifications available through Azure.

Chez UiPath, nous partageons la responsabilité de protéger vos données avec Azure et adhérons strictement à leurs directives.

Cryptage des données

Nous chiffrons toutes les données client au repos dans tous les magasins de données faisant partie de notre service. Par exemple, nous utilisons un cryptage de données transparent dans les bases de données SQL.

Toutes les données sont transmises via des canaux protégés, qu'elles transitent par Internet ou au sein de nos composants de service internes.

Gestion des identités et des accès

We support account creation in our Automation Cloud^TM Platform using a variety of identity service providers, such as Google, Microsoft, and LinkedIn, as well as through native accounts. Post account creation, our services manage a given user’s access rights using application-managed, role-based access control checks.

Isolement des données du locataire

Les données de chaque locataire sont logiquement séparées des autres dans notre service afin que nous puissions appliquer des contrôles d'accès et d'autorisation à tous les locataires lorsqu'ils accèdent aux données dans le cadre de notre service.

Vie privée

UiPath® collects two categories of data from users to operate and improve Task Mining Services:

Données client : comprennent les données transactionnelles et interactionnelles identifiables par l'utilisateur dont nous avons besoin pour exploiter le service et gérer votre contrat avec UiPath
Journaux générés par le système : incluent les données d'utilisation des services qui peuvent être agrégées et contenir des éléments de données client

Du point de vue du RGPD, UiPath occupe le rôle du responsable du traitement. En tant que tels, nous honorons toutes les obligations du responsable du traitement de données en offrant aux clients un contrôle total sur leurs données, conformément à l'architecture et à l'implémentation du produit.

Nous nous sommes assurés de pouvoir exporter toutes vos données pour vous sur demande. Si vous fermez votre compte UiPath Task Mining, ou demandez autrement la suppression de données, nous supprimons ces dernières de nos systèmes après la période de suppression logicielle requise de 30 jours.

Nous recommandons à nos clients de déterminer si leur utilisation de notre service cloud est conforme à leurs obligations en matière de confidentialité. Pour plus d'informations sur la déclaration de confidentialité d'UiPath, la manière dont UiPath traite vos données lors de l'utilisation de services en ligne ainsi que nos engagements aux RGPD, consultez notre Politique de confidentialité.

Résidence et souveraineté des données

Nous savons que nos clients se soucient de l'emplacement de leurs données. Nous servirons l'intégralité du contenu et stockerons toutes les données utilisateur dans la région qui correspond aux exigences d'emplacement et de souveraineté de l'utilisateur payant. Pour afficher l'ensemble actuel de régions prises en charge, veuillez consulter Résidence des données (Data Residency). Nous continuerons à ajouter des régions supplémentaires au fur et à mesure que notre clientèle augmentera.

Remarque :

La résidence des données est appliquée car nous utilisons désormais Microsoft Cognitive Service pour le masquage des IPP, ce qui fonctionne en relation avec la région du locataire.

Pratiques de sécurité et de conformité

UiPath® addresses the following aspects of security and compliance in order to help prevent breaches and uphold the highest standards for data security, privacy, and availability:

Durcissement des systèmes

UiPath® Task Mining uses Azure's Platform-as-a-Service (PaaS) offering for much of its infrastructure. PaaS automatically provides regular updates for known security vulnerabilities.

Cycle de vie de développement sécurisé

UiPath® security and development teams work hand in hand to address security threats throughout the development process of UiPath Task Mining.

Les équipes effectuent une modélisation des menaces lors de la conception des services. Elles adhèrent aux meilleures pratiques de conception et de codage et vérifient la sécurité du produit final à l'aide d'une approche à plusieurs volets qui s'appuie sur des outils internes, des outils commerciaux d'analyse statique et dynamique, des tests de pénétration internes ainsi que des programmes de primes de bogues externes.

Nous surveillons également les vulnérabilités introduites dans notre base de code via des bibliothèques tierces et minimisons notre dépendance à ces bibliothèques ainsi que les risques auxquels elles nous exposent. Le paysage de la sécurité étant en constante évolution, nos équipes se tiennent informées des pratiques les plus récentes en la matière. Nous formons également tous les ingénieurs et le personnel d'exploitation travaillant sur les services cloud UiPath chaque année.

Disponibilité du service et des données

Ensuring that UiPath® Task Mining services are available so you can access your organization’s assets is of the utmost importance to us. That is why we rely on Azure’s backup mechanism and practice data recovery.

Nous utilisons d'autres sécurités intégrées pour garantir la disponibilité des données. Une attaque par déni de service distribué (malicious distributed denial-of-service, DDoS), par exemple, pourrait affecter la disponibilité du service UiPath Task Mining. Azure dispose d'un système de défense DDoS qui participe à la prévention des attaques contre notre service. Ce système utilise des techniques de détection et d'atténuation standard telles que les cookies SYN, la limitation de débit et les limites de connexion.

Il a été est conçu non seulement pour résister aux attaques de l'extérieur, mais aussi de l'intérieur.

Test de site en direct

Nous émulons des tactiques accusatoires sur nos services et notre infrastructure sous-jacente au moyen d'équipes rouges internes.

L'objectif est d'identifier les vulnérabilités concrètes, les erreurs de configuration et autres failles de sécurité de manière contrôlée afin que nous puissions tester l'efficacité de nos capacités de prévention, de détection et de réponse.

Réponse aux incidents de sécurité

Nous nous efforçons de minimiser la surface d'attaque de nos services et de réduire la probabilité qu'une violation de données se produise. Cela n'empêche toutefois pas certains incidents de sécurité de se produire.

En cas de violation, nous utilisons des plans de réponse de sécurité pour minimiser les fuites, les pertes ou la corruption de données. Nous assurons la transparence de nos opérations à nos clients tout au long de l'incident. Notre équipe de SRE et de sécurité 24h/24 et 7j/7 vous aide à identifier rapidement le problème et à utiliser les ressources de l'équipe de développement nécessaires pour contenir l'impact de l'incident.

Une fois que l'équipe a contenu le problème, notre processus de gestion des incidents de sécurité se poursuit pendant que nous en identifions la cause première et suivons les changements nécessaires pour nous assurer d'éviter tout problème similaire à l'avenir.

Contrôle d'accès à la production

Nous maintenons un contrôle strict sur les personnes qui ont accès à notre environnement de production et aux données clients.

L'accès n'est accordé qu'au niveau de moindre privilège requis et uniquement après que des justifications appropriées ont été fournies et vérifiées. Si un membre de l'équipe requiert un accès pour résoudre un problème urgent ou déployer un changement de configuration, il doit demander un accès « juste à temps (just in time) » au service de production.

L'accès est révoqué dès que la situation est résolue. Les demandes d'accès et les approbations sont suivies. Si le nom d'utilisateur et le mot de passe de l'un de nos développeurs ou de notre personnel d'exploitation ont été volés, les données sont toujours protégées, car nous utilisons une authentification à deux facteurs pour tous les accès au système de production.

Gestion des secrets

Les secrets que nous utilisons pour gérer et maintenir le service, tels que les clés de cryptage, sont gérés, stockés et transmis en toute sécurité via le portail de gestion Azure.

Tous les secrets sont pivotés à une cadence régulière et peuvent être pivotés à la demande dans le cas d'un événement de sécurité.

With a solid foundation for security and privacy, UiPath® is working towards obtaining industry certifications and accreditations over the next year, which include Veracode continuous for our Cloud Platform, ISO 27001:2013, and ISO 27017, CSA Star and SOC 1 Type 2.