Confiance et garantie

FAQ

Comment Tenable protège mes données ?

Tenable a à cœur de protéger la confidentialité, l'intégrité et la disponibilité de toutes les données des clients. Les données de Tenable Vulnerability Management sont chiffrées lors des transferts et stockées à l'aide des mécanismes de chiffrement TLS. Le chiffrement AES-256 est appliqué aux couches de l'infrastructure d'application.

La plateforme cloud Tenable repose sur des réseaux privés isolés. Elle utilise plusieurs contrôles réseau tels que l'isolement des conteneurs, des restrictions de trafic entrant/interne, et la surveillance des débits, des sources et des types de trafic à différents endroits du réseau.

Tenable implémente également des contrôles d'accès multiples pour aider les clients à contrôler l'accès aux données. De plus, Tenable effectue des scans fréquents de vulnérabilité, de conteneurs Docker et des applications web afin d'évaluer la sécurité de manière périodique.

Pour une description détaillée des mesures de sécurité appliquées, consultez la fiche technique sur la sécurité et confidentialité des données.

Quelles sont les données client gérées par Tenable Vulnerability Management ?

En définitive, Tenable Vulnerability Management gère des données client dans un seul et unique but, celui d'offrir une expérience exceptionnelle de gestion des assets et des vulnérabilités pour sécuriser les environnements que les clients utilisent. Dans cette optique, Tenable Vulnerability Management gère trois catégories de données client :

1. Données relatives aux assets et aux vulnérabilités
2. Données relatives à la performance environnementale
3. Données relatives à l'utilisation client

Quels assets client et données de vulnérabilité la plateforme Tenable Vulnerability Management gère-t-elle ?

Tenable Vulnerability Management répertorie les assets présents au sein des réseaux des clients et gère les attributs des assets, qui peuvent inclure adresse IP, adresse MAC, nom NetBIOS, système d'exploitation et version, ports actifs et bien plus encore.

Tenable Vulnerability Management recueille des données détaillées sur la configuration et les vulnérabilités passées et actuelles, qui peuvent inclure criticité, exploitabilité et état de la remédiation, ainsi qu'activité réseau. De plus, si le client complète les données de Tenable Vulnerability Management par des intégrations à des produits tiers, tels que des systèmes de gestion des assets et des systèmes de gestion des correctifs, Tenable Vulnerability Management peut gérer les données de ces produits.

Tenable analyse-t-elle ou utilise-t-elle des données client ?

Tenable anonymise et analyse des données client dans le but de déterminer les tendances relatives au secteur, à l'augmentation des vulnérabilités et à leur atténuation, ainsi qu'aux événements de sécurité. À titre d'exemple, la mise en corrélation d'une vulnérabilité et de la technique d'exploitation utilisée représente des avantages considérables pour les clients Tenable. Les données collectées dans notre cloud n'incluent aucune donnée de scan contenant des PII ou des données personnelles. Les données susceptibles de permettre l'identification d'un client sont anonymisées avant d'être ajoutées à notre plateforme analytique, grâce à un hachage renforcé à sens unique utilisant la fonction SHA-256. Les analyses avancées et la corrélation optimisée de données client avec des événements et tendances de sécurité et du secteur constituent d'autres avantages de l'analyse des données effectuée par Tenable. La collecte et l'analyse de ce type de données permettent également aux clients de comparer leurs performances à leurs homologues du secteur ou dans le monde entier. Tenable donne la possibilité aux clients qui le souhaitent de désactiver ce traitement.

Les utilisateurs peuvent-ils refuser la collecte des données d'état et de santé ?

Pour garantir les performances et la disponibilité de la plateforme Tenable Vulnerability Management, et offrir une expérience optimale à ses utilisateurs, Tenable Vulnerability Management collecte des informations relatives à la santé et à l'état des applications de chaque client. Cela inclut la fréquence de communication de l'outil de scan avec la plateforme, le nombre d'assets analysés et les versions des logiciels déployés, ainsi que d'autres données télémétriques génériques permettant d'identifier et de gérer tout problème potentiel aussi rapidement que possible.

Tenable utilise des données de santé et d'état pour détecter et gérer d'éventuels problèmes dans les délais impartis, conformément à ses engagements en termes de SLA. Les clients ne peuvent par conséquent pas s'opposer à cette collecte.

Quelles sont les données recueillies par Tenable Vulnerability Management  ?

Pour évaluer et améliorer l'expérience qu'elle offre à ses clients, Tenable collecte des données d'utilisation client anonymisées. Ces données incluent l'accès à des pages, les clics et autres activités utilisateur qui permettent à chacun de simplifier et d'améliorer l'expérience utilisateur.

Les utilisateurs peuvent-ils s'opposer à la collecte de leurs données d'utilisation ?

Oui, Un client peut demander que son conteneur ne fasse plus l'objet du processus de collecte.

Où sont stockées les données client ?

enable s'appuie sur des centres de données et des services fournis par Amazon Web Services (AWS) pour mettre sa solution Tenable Vulnerability Management à disposition de ses clients. La collecte et le traitement des données de scan des clients s'effectuent sur la plateforme cloud Tenable dans la région géographique où le compte du client est hébergé, sauf si le client choisit explicitement une autre région géographique pour stocker ses données. Les régions actuelles sont les suivantes :

• États-Unis, région est
• États-Unis, région ouest
• États-Unis d'Amérique
• Londres
• Francfort
• Sydney
• Singapour
• Canada
• Japon

À l'avenir, la plateforme Tenable.io prendra en charge d'autres pays.

Le stockage de l'ensemble des données client est assuré par des services AWS régionaux sécurisés. Les certifications AWS relatives à la protection des données au sein de l'UE s'appliquent au cloud Tenable. Pour plus d'informations, rendez-vous sur : https://aws.amazon.com/compliance/eu-data-protection/.

Un client peut-il exiger que des données restent dans une région/un pays spécifique ?

Oui. Les données sont stockées dans le pays sélectionné lors de la création du compte.

Comment les données client sont-elles protégées dans Tenable Vulnerability Management ?

Tenable met en œuvres de nombreuses mesures de sécurité pour garantir la sécurité et la confidentialité des données de Tenable Vulnerability Management.Pour une description détaillée des mesures de sécurité appliquées, consultez la fiche technique sur la sécurité et la confidentialité des données.

Comment Tenable garantit-elle un processus de développement sécurisé ?

Des détails complets sont disponibles sur la fiche technique sur la sécurité et confidentialité des données.

Tenable dispose d'une équipe interfonctionnelle dédiée pour le cycle de vie de développement logiciel sécurisé (SSDLC). Dans le but de garantir la sécurité et la qualité de ses produits, Tenable a recours à des tests de sécurité automatisés pour identifier toute vulnérabilité potentielle dans le code source, les dépendances et l'infrastructure sous-jacente avant de les mettre à la disposition de ses clients. Tenable utilise des tests statiques de sécurité des applications (SAST), des examen des dépendances et des bibliothèques tierces, des tests dynamiques de la sécurité des applications (DAST), ainsi que des tests de vulnérabilité d'images de conteneur. Des critères d'évaluation stricts sont respectés et appliqués tout au long du processus de développement.

Quels sont les moyens disponibles pour la sécurité des applications client ?

Tenable contribue à la sécurisation des données et au contrôle des accès pour ses clients via plusieurs mécanismes, dont notamment :

• Les données de Tenable.io sont chiffrées lors des transferts et pendant le stockage à l'aide des mécanismes de chiffrement AES-256 et TLS. Les clés de chiffrement sont stockées de façon sécurisée et l'accès est limité.Le chiffrement est appliqué aux différentes couches de l'infrastructure d'application et la divulgation de clés est interdite.
• Nous protégeons nos systèmes contre les attaques par force brute en verrouillant les comptes après cinq (5) tentatives de connexion infructueuses.
• Pour sécuriser l'accès à leur plateforme, les clients peuvent configurer une authentification à deux facteurs grâce aux services fournis par Twillo.
• Les clients ont la possibilité d'intégrer Tenable Vulnerability Management à leur déploiement SAML. Tenable Vulnerability Management prend en charge les demandes initiées par les IdP et les SP. Enfin, les utilisateurs peuvent réinitialiser leur mot de passe directement dans l'application via leur adresse e-mail.
• Les clients peuvent créer des connexions personnalisées à Tenable Vulnerability Management via l'API documentée ou le SDK intégré. Il est possible d'octroyer et de contrôler les accès en créant des « clés » API spécifiques. L'utilisation de clés distinctes correspondant à différentes intégrations est prise en charge sans avoir à saisir d'identifiants utilisateur.
• Les données collectées dans notre cloud n'incluent aucune donnée de scan contenant des informations d'identification personnelle (PII) ou des données personnelles. Toute donnée permettant potentiellement d'identifier le client est anonymisée via un hachage renforcé unidirectionnel avec SHA-256.
• Pour éviter toute interception de données, l'ensemble des communications avec la plateforme est chiffré via le protocole SSL (TLS-1.2). Les négociations SSL non sécurisées d'ancienne génération sont par ailleurs rejetées pour garantir un niveau optimal de protection.

Comment les données sont-elles chiffrées ?

Toutes les données de la plateforme Tenable.io, quel que soit leur statut, sont chiffrées à l'aide d'au moins un niveau de chiffrement, comme les mécanismes AES-256 et TLS.

Données au repos : Les données sont stockées sur un support chiffré via au moins un niveau de chiffrement AES-256.

Certaines catégories de données incluent un second niveau de chiffrement au niveau du fichier.

Données transférées : Les données transférées sont chiffrées via le protocole TLS v1.2 par le biais d'une clé 4 096 bits (transports internes inclus).

Communication du capteur Tenable Vulnerability Management : Le trafic émanant des outils de scan en direction de la plateforme est toujours initié par l'outil de scan, en mode sortant uniquement, sur le port 443. Le trafic est chiffré via une communication SSL s'appuyant sur le protocole TLS 1.2 par le biais d'une clé 4 096 bits. Cela élimine la nécessité d'apporter des modifications au pare-feu et permet au client de contrôler les connexions grâce à des règles définies au niveau du pare-feu.

• Authentification des outils de scan auprès de la plateforme
• La plateforme génère une clé aléatoire d'une longueur de 256 bits pour chaque scanner connecté au conteneur et transmet cette clé au scanner pendant le processus d'établissement de la liaison.
• Les scanners utilisent cette clé pour s'authentifier auprès du contrôleur lorsqu'ils demandent des tâches, lors des mises à jour de plug-in et des mises à jour relatives au scanner binaire.
• Communication des tâches des outils de scan à la plateforme
• Les scanners contactent la plateforme toutes les 30 secondes.
• Si une tâche doit être effectuée, la plateforme génère une clé aléatoire de 128 bits.
• Le scanner interroge la plateforme sur la politique à appliquer.
• Le contrôleur utilise la clé pour chiffrer la politique, qui inclut les informations d'authentification à utiliser lors du scan.

Sauvegarde/réplication : Les instantanés de volume et les réplications de données sont stockés avec le même niveau de chiffrement que leur source, soit au moins le protocole AES-256. L'ensemble des opérations de réplication sont effectuées via le fournisseur. Tenable ne sauvegarde aucune donnée sur des supports hors site physiques ni dans des systèmes physiques.

Données indexées : Les données indexées sont stockées sur un support chiffré via au moins un niveau de chiffrement AES-256.

Informations d'authentification des scans : Les informations d'authentification des scans sont stockées au sein d'une politique chiffrée avec la clé AES-256 globale des conteneurs. Lorsque des scans sont lancés, la politique est chiffrée avec une clé 128 bits aléatoire à usage unique et transmise à l'aide du protocole TLS v1.2 avec une clé 4 096 bits.

Gestion des clés : Les clés sont stockées de manière centralisée et sont chiffrées à l'aide d'une clé basée sur le rôle de l'utilisateur. Leur accès est limité.L'ensemble des données chiffrées stockées peut être associé à une nouvelle clé. Les clés de chiffrement des fichiers de données sont différentes pour chaque site régional, de la même façon que les clés au niveau des disques. La divulgation des clés est interdite et les procédures de gestion des clés sont révisées tous les ans.

Les clients peuvent-ils charger leurs propres clés ?

La gestion des clés ne peut pas être configurée par le client. Tenable gère les clés et la rotation des clés.

Tenable dispose-t-elle de certifications relatives à la sécurité ou à la confidentialité, telles que Privacy Shield ou CSA STAR ?

Tenable a reçu les certifications suivantes :

• CSA (Cloud Security Alliance) STAR
• Privacy Shield
• ISO 27001
• NIAP (National Information Assurance Program)
• Autorisation FedRAMP pour Tenable Vulnerability Management et Tenable Web App Scanning

Comment les informations d'identification personnelle (PII) sont-elles protégées par Tenable ?

Tout est mis en œuvre pour que la plateforme Tenable Vulnerability Management ne collecte pas de données à caractère personnel dans un format qui exigerait des certifications ou des mesures de sécurité additionnelles. Les données collectées dans notre cloud n'incluent aucune donnée de scan contenant des PII ou des données personnelles. Les données susceptibles de permettre l'identification d'un client sont anonymisées avant d'être ajoutées à notre plateforme analytique, grâce à un hachage renforcé à sens unique utilisant la fonction SHA-256. Cela inclut les numéros de carte bancaire, les numéros de sécurité sociale et autres vérifications. Lorsque les plugins de Tenable détectent des chaînes de caractères susceptibles de contenir des informations sensibles ou à caractère personnel, la plateforme masquera au moins 50 % des caractères pour protéger les données pouvant se révéler sensibles.

Les données client sont-elles cloisonnées ?

Les données de chaque client sont marquées à l'aide d'un « identifiant de conteneur » qui correspond à un abonnement client spécifique. Cet identifiant de conteneur garantit que l'accès aux données d'un client est exclusivement limité au client en question.

Quels moyens de contrôle de la sécurité protègent Tenable Vulnerability Management ?

Tenable utilise ses propres solutions pour effectuer des scans quotidiens, hebdomadaires ou mensuels de tous les ordinateurs portables, infrastructures et environnements cloud de l'entreprise. Tous les résultats sont analysés, classés et suivis conformément à la politique de gestion des vulnérabilités Tenable.Le programme de gestion des vulnérabilités de Tenable comprend les scans authentifiés, par agent, des applications web et des bases de données. En outre, les contrôles suivants sont en place :

• Les pare-feu et la segmentation réseau contrôlent les accès.
• Des outils et processus automatisés surveillent la disponibilité et les performances de la plateforme Tenable Vulnerability Management, et détectent les comportements inhabituels.
• Les journaux sont surveillés 24 h/24, 7 j/7, 365 j/an par des systèmes automatisés et les équipes de Tenable sont disponibles 24 h/24, 7 j/7, 365 j/an en cas d'événement.
• Tests d'intrusion de nos applications, services et activités dans leur ensemble.
• Tenable s'appuie sur un comité de signalement des vulnérabilités pour être informé de toute faiblesse ou vulnérabilité identifiée par la communauté des chercheurs en sécurité et y apporter la réponse adéquate. Au fur et à mesure que les signalements identifiés sont triés et font l'objet d'une réponse, Tenable publie des avis de sécurité à l'intention de ses clients, de ses prospects et de la communauté.
• Tenable évalue chaque fournisseur tiers dans le cadre d'un programme rigoureux de gestion des risques.

De quelle manière les outils de scan Tenable Vulnerability Management sont-ils sécurisés ?

Les outils de scan qui se connectent à la plateforme jouent un rôle majeur pour la sécurité du client, en collectant des informations sur les assets et les vulnérabilités. La protection de ces données et la sécurisation des canaux de communication sont des fonctions fondamentales de Tenable VulnerabilityManagement. Tenable Vulnerability Management prend en charge plusieurs outils de scan (ou capteurs) : outils de scan des vulnérabilités Nessus, outils de scan passifs et agents Nessus.

Ces capteurs se connectent à la plateforme Tenable Vulnerability Management après authentification et établissement d'une liaison, le tout au moyen de communications chiffrées. Une fois la liaison établie, Tenable Vulnerability Management gère l'ensemble des mises à jour (plug-ins, code, etc.) pour s'assurer que les capteurs sont à jour en toutes circonstances.

Le trafic émanant des outils de scan en direction de la plateforme est toujours initié par l'outil de scan, en mode sortant uniquement, sur le port 443. Le trafic est chiffré via une communication SSL s'appuyant sur le protocole TLS 1.2 par le biais d'une clé 4 096 bits. Cela élimine la nécessité d'apporter des modifications au pare-feu et permet au client de contrôler les connexions grâce à des règles définies au niveau du pare-feu.

• Authentification des outils de scan auprès de la plateforme
• La plateforme génère une clé aléatoire d'une longueur de 256 bits pour chaque scanner connecté au conteneur et transmet cette clé au scanner pendant le processus d'établissement de la liaison.
• Les scanners utilisent cette clé pour s'authentifier auprès du contrôleur lorsqu'ils demandent des tâches, lors des mises à jour de plug-in et des mises à jour relatives au scanner binaire.
• Communication des tâches des outils de scan à la plateforme
• Les scanners contactent la plateforme toutes les 30 secondes.
• Si une tâche doit être effectuée, la plateforme génère une clé aléatoire de 128 bits.
• Le scanner interroge la plateforme sur la politique à appliquer.
• Le contrôleur utilise la clé pour chiffrer la politique, qui inclut les informations d'authentification à utiliser lors du scan.

Comment la disponibilité de la plateforme Tenable Vulnerability Management est-elle gérée ?

Tout est mis en œuvre pour que les services Tenable Vulnerability Management offrent une disponibilité de 99,95 % ou plus, un pourcentage qui atteint en pratique 100 % pour la plupart des services. Tenable a publié un accord SLA qui décrit son engagement à garantir la disponibilité de la plateforme pour l'ensemble des utilisateurs et détaille la façon dont des crédits sont accordés aux clients en cas de temps d'arrêt non planifié.

L'état « Disponible » est déterminé par des tests de disponibilité publics réalisés par un prestataire tiers qui vérifie régulièrement la disponibilité de l'ensemble des services. Le taux de disponibilité des services (actuels et anciens) est disponible à l'adresse : https://status.tenable.com/.

Tenable Vulnerability Management s'appuie sur la plateforme AWS et d'autres technologies de référence pour garantir que l'expérience client est associée à un service optimal et à une qualité globale de premier plan. Voici une liste non exhaustive des solutions déployées et des avantages apportés aux clients :

• Elasticsearch Clusters : Les clusters Elasticsearch sont associés à une disponibilité extrêmement élevée et peuvent être restaurés suite à la perte de nœuds maîtres, de nœuds lb et d'au moins un (1) nœud de données, sans répercussions sur la disponibilité des services.
• Elastic Block Stores : Ils sont utilisés pour prendre des instantanés chaque jour et stocker huit (8) copies
• Écosystème Kafka : Kafka et Zookeeper répliquent tous les deux des données dans le cluster pour fournir une tolérance aux pannes, en cas de défaillance catastrophique de n'importe quel nœud.
• Instances Postgres : Elles gèrent le framework de microservices back-end pour le stockage de 30 jours d'instantanés.

À quel endroit les données sont-elles répliquées ?

Les données répliquées sont stockées dans la même région.

Quelles procédures de reprise après sinistre sont mises en œuvre ?

Les sinistres sont des événements qui aboutissent à une perte irréversible de données ou d'équipements dans une ou plusieurs régions.

Les procédures de reprise après sinistre de Tenable Vulnerability Management prévoient plusieurs niveaux et sont conçues pour réagir à des situations pouvant se produire à n'importe quel endroit, d'une fois tous les cinq ans à une fois tous les 50 ans. En fonction de la portée du sinistre, les procédures de reprise peuvent nécessiter de 60 minutes à 24 heures.

Qui peut accéder aux données client ?

Les clients déterminent les personnes pouvant accéder à leurs données, notamment en attribuant des rôles et des autorisations à leur personnel, et en octroyant des accès temporaires par le biais de l'équipe d'assistance de Tenable.

Comment les rôles et autorisations utilisateur sont-ils gérés ?

Les administrateurs client de Tenable Vulnerability Management peuvent attribuer des rôles utilisateur (de base, standard, administrateur et désactivé) pour gérer les accès aux scans, politiques, outils de scan, agents et listes d'assets. Les clients peuvent également attribuer des groupes d'accès au sein de leur entreprise pour consulter des assets spécifiques et les vulnérabilités associées dans les résultats agrégés des scans, exécuter des scans sur des cibles spécifiques et afficher des résultats de scans individuels.

Les équipes de Tenable peuvent-elles accéder aux données client ?

Oui, L'assistance technique de Tenable restreint le privilège d'emprunt d'identité de Tenable Vulnerability Management à un sous-ensemble de rôles senior autorisés. Avec l'autorisation du client, des membres senior autorisés de l'équipe d'assistance globale de Tenable peuvent appliquer l'emprunt d'identité à des comptes d'utilisateur pour exécuter des opérations dans Tenable Vulnerability Management ous l'identité d'un autre utilisateur sans avoir besoin du mot de passe de ce dernier.

L'équipe d'assistance de Tenable, ou le client, peuvent demander l'activation de cette fonctionnalité. Si l'assistance technique de Tenable a besoin d'appliquer l'emprunt d'identité à un utilisateur Tenable Vulnerability Management, un ticket est créé et fait l'objet d'un suivi jusqu'à sa validation. L'assistance technique envoie un e-mail au client après avoir identifié le besoin d'un emprunt d'identité pour l'entreprise. Le client doit confirmer par e-mail que l'assistance technique est autorisée à emprunter l'identité de l'utilisateur. L'assistance technique n'emprunte pas l'identité de l'utilisateur tant que le client n'a pas donné son autorisation. Une autorisation est nécessaire pour chaque ticket transmis à l'assistance. Les autorisations font l'objet d'un suivi dans le cadre du ticket initial. Tenable n'interviendra à aucun moment sur une simple confirmation.

Tenable met en œuvre un processus d'embauche et de cessation d'emploi bien défini. Il est ainsi demandé à l'ensemble de ses collaborateurs de signer des accords de non-divulgation lors de leur embauche. L'intégralité des comptes et des clés d'accès sont par ailleurs immédiatement révoqués dès qu'un collaborateur quitte l'entreprise.Il est demandé à l'ensemble des équipes opérationnelles Tenable Vulnerability Management de se soumettre à une vérification de leurs antécédents par un tiers.

Qui peut utiliser un compte en se faisant passer pour l'utilisateur ?

Seuls les administrateurs de compte, ainsi que les membres de l'équipe d'assistance senior de Tenable sont autorisés à appliquer l'emprunt d'identité. Tous les comptes permettant l'emprunt d’identité requièrent une authentification à deux facteurs, et ce pour des raisons de sécurité. Tenable effectue des audits internes relatifs à l'emprunt d'identité et chaque client peut également auditer les emprunts d'identité sur ses comptes. Tous les emprunts d'identité sont consignés dans des journaux d'audit, et tous les clients de Tenable peuvent auditer les emprunts d'identité via l'API. Tenable décrit la procédure à suivre pour extraire des journaux d'audit dans le document public suivant : https://developer.tenable.com/reference#audit-log. Veuillez noter qu'un compte automatisé, ([email protected]), peut de temps à autre apparaître dans ces journaux d'audit.

Les données quittent-elles le pays lorsque Tenable résout un problème technique ?

Tenable met tout en œuvre pour garantir que les données client sont protégées et que leurs politiques sont respectées lors de la collaboration avec les clients afin que les données restent dans la région exigée. Toutefois, l'emprunt d'identité peut entraîner un transfert de données depuis leur emplacement principal. Dans certains cas, il convient d'appliquer la procédure 24 h/24, 7 j/7 lorsque des opérations sont nécessaires au-delà des heures d'ouverture locales. Il est aussi possible que des clients envoient un rapport par e-mail à Tenable ou ne respectent pas eux-mêmes leur propre politique en envoyant des e-mails en dehors de leur région.

Pour les clients utilisant un produit Tenable qui a obtenu une autorisation FedRAMP, ces données ne quittent pas les États-Unis.

L'équipe d'assistance de Tenable a-t-elle accès au réseau interne du client ?

Non. L'ensemble du trafic est initié par l'outil de scan, en mode sortant uniquement. Les scanners sont installés derrière le pare-feu du client qui peut ainsi contrôler l'accès des scanners via son pare-feu.

Quelle est la politique de Tenable Vulnerability Management en matière de rétention de données ?

La politique de Tenable Vulnerability Management et d'autres produits hébergés par Tenable est de 12 mois de rétention des données pour les clients existants. En ce qui concerne les clients qui mettent fin à un abonnement, les données sont conservées 30 jours à compter de la date d'arrêt. La politique de Tenable.io en matière de rétention des données appliquée aux scans PCI correspond aux exigences actuelles établies par le Conseil des normes de sécurité PCI.

Pendant combien de temps les données des scans actifs sont-elles conservées ?

La capacité à mesurer l'évolution dans le temps est une fonction fondamentale de la plateforme Tenable Vulnerability Management.Tenable Vulnerability Management stockera automatiquement les données client pendant 15mois pour permettre aux clients d'analyser leurs performances sur une période d'un an.

Si un client résilie son abonnement au service Tenable Vulnerability Management, pendant combien de temps les données sont-elles conservées ?

Si le compte d'un client arrive à expiration ou est résilié, Tenable conservera les données telles qu'à la date d'expiration, et ce pendant 30 jours maximum. Passé ce délai, ces données seront supprimées et ne pourront pas être récupérées.

Pendant combien de temps les données relatives à la réglementation PCI sont-elles conservées ?

Les données faisant l'objet d'un processus de validation de la conformité PCI sont conservées pendant un délai d'au moins trois ans après la date d'attestation PCI, tel qu'exigé par la réglementation PCI. Tenable conserve ces données pendant ce délai, même si le client choisit de supprimer ses scans ou son compte, ou de résilier son abonnement au service Tenable Vulnerability Management.

Combien de temps les données d'utilisation de Tenable Vulnerability Management sont-elles conservées ?

Pour garantir la meilleure expérience possible, Tenable collecte ces informations tant qu'un conteneur client reste actif. Si le client résilie son abonnement au service, les données sont conservées pendant 30 jours maximum.

La plateforme Tenable Vulnerability Management est-elle certifiée Common Criteria ?

La certification Critères commun ne s'applique généralement pas aux solutions SaaS, la fréquence de leurs mises à jour ne permettant pas de procéder à une certification qui nécessite habituellement de six à neuf mois (6-9) mois. Tenable dispose de la certification Critères communs pour les produits Tenable Security Center, Nessus Manager, Nessus Agent et Log Correlation Engine (LCE).