1. Gestion des Actifs & Politiques

A.5.9 Inventaire des informations et autres actifs associés

• L'Exigence :Vous devez maintenir un inventaire des actifs d'information et des appareils associés.
• Comment XFA aide :XFA génère automatiquement un inventaire précis et en temps réel de tous les appareils terminaux utilisés pour accéder aux informations de l'entreprise, marqués avec leur statut de sécurité.En savoir plus sur discovery →

A.5.10 Utilisation acceptable des informations et autres actifs associés

• L'Exigence :Les règles d'utilisation acceptable doivent être identifiées, documentées et mises en œuvre.
• Comment XFA aide :Au lieu d'une politique PDF statique, XFA garantit que votre politique d'appareils terminaux est techniquement appliquée sur tous les appareils, signalant ceux qui ne respectent pas vos normes d'"utilisation acceptable".

2. Sécurité des Ressources Humaines

A.6.3 Sensibilisation, éducation et formation à la sécurité de l'information

• L'Exigence :Le personnel doit recevoir une formation de sensibilisation appropriée et des mises à jour sur les politiques.
• Comment XFA aide :XFA guide et forme le personnel sur l'importance de certains paramètres de sécurité (par ex. chiffrement du disque) directement sur leur appareil. Il éduque les utilisateurs plutôt que de simplement les bloquer, servant de formation continue et juste-à-temps sur la sensibilisation à la sécurité.En savoir plus sur awareness →

3. Contrôle d'Accès & Travail à Distance

A.6.7 Travail à distance

• L'Exigence :Des mesures de sécurité doivent être mises en œuvre pour le personnel travaillant à distance.
• Comment XFA aide :XFA permet un travail à distance flexible tout en maintenant une sécurité stricte des terminaux. Il vérifie la sécurité de l'appareil (par ex. pare-feu activé, OS mis à jour) quel que soit l'emplacement.En savoir plus sur enforcement →

A.8.1 Appareils terminaux des utilisateurs

• L'Exigence :Les informations stockées ou traitées par les appareils terminaux des utilisateurs doivent être protégées.
• Comment XFA aide :C'est le cœur de XFA. Nous vous aidons à définir et appliquer une politique d'appareils terminaux appropriée (par ex. Chiffrement du Disque, Verrouillage de l'Écran) qui protège les données sur les ordinateurs portables, tablettes et téléphones.

A.8.5 Authentification sécurisée

• L'Exigence :Des technologies et procédures d'authentification sécurisées doivent être mises en œuvre.
• Comment XFA aide :XFA ajoute un facteur supplémentaire vital à votre authentification : la Confiance de l'Appareil. En intégrant XFA, vous garantissez que seuls les appareils sûrs et vérifiés peuvent s'authentifier dans vos systèmes.

4. Gestion des Vulnérabilités Techniques

A.8.7 Protection contre les logiciels malveillants

• L'Exigence :Une protection contre les logiciels malveillants doit être mise en œuvre.
• Comment XFA aide :XFA s'assure que les appareils exécutent les dernières versions d'OS—qui est la meilleure protection de base contre les malwares—et peut vérifier que le logiciel anti-malware est actif.

A.8.8 Gestion des vulnérabilités techniques

• L'Exigence :Les vulnérabilités techniques doivent être gérées et des mesures appropriées prises.
• Comment XFA aide :XFA applique la gestion des correctifs en exigeant que les appareils terminaux soient maintenus à jour avant d'accéder aux données de l'entreprise, atténuant efficacement les vulnérabilités techniques.

A.8.12 Prévention des fuites de données

• L'Exigence :Des mesures doivent être appliquées pour empêcher la divulgation non autorisée d'informations sensibles.
• Comment XFA aide :XFA applique strictement le Chiffrement du Disque Dur. Cela empêche les fuites de données même si un appareil est perdu ou volé, neutralisant le risque de sécurité physique.

CC6.1 Sécurité d'Accès Logique (Inventaire des Actifs)

• L'Exigence :L'entité doit mettre en œuvre des logiciels, infrastructures et architectures de sécurité d'accès logique sur les actifs d'information protégés pour les protéger des événements de sécurité. Cela inclut l'identification de tous les actifs (inventaire) qui accèdent au système.
• Comment XFA aide :XFA résout l'"angle mort" de la gestion des actifs grâce à sa fonction Discovery. Au lieu de s'appuyer sur des feuilles de calcul manuelles ou des inventaires uniquement gérés, XFA surveille en continu les journaux d'authentification de votre Identity Provider pour détecter chaque appareil accédant à vos plateformes professionnelles en temps réel. Cela fournit un inventaire complet et automatisé de tous les appareils d'entreprise, BYOD et sous-traitants, garantissant qu'aucun appareil ne passe inaperçu.En savoir plus sur discovery →

CC6.1 Sécurité d'Accès Logique (Authentification & Confiance de l'Appareil)

• L'Exigence :L'entité doit mettre en œuvre des contrôles spécifiques pour identifier et authentifier les utilisateurs et les appareils associés, limitant l'accès aux seuls terminaux autorisés et sécurisés.
• Comment XFA aide :XFA renforce l'authentification en ajoutant la Confiance de l'Appareil comme couche vitale à votre processus de connexion. Il s'intègre directement avec votre Identity Provider pour appliquer les politiques d'accès, garantissant que seuls les appareils répondant à vos normes de sécurité spécifiques (par ex. chiffrés, mis à jour) peuvent s'authentifier.En savoir plus sur enforcement →

CC6.8 Code Non Autorisé et Malveillant (Protection contre les Malwares)

• L'Exigence :L'entité met en œuvre des contrôles pour prévenir ou détecter et agir sur l'introduction de logiciels non autorisés ou malveillants (malware).
• Comment XFA aide :XFA vérifie automatiquement que la protection anti-malware est active et fonctionne correctement sur chaque appareil avant d'accorder l'accès. Si un appareil ne dispose pas d'un logiciel antivirus ou si la protection est désactivée, la fonction Enforcement de XFA peut bloquer l'accès aux plateformes de l'entreprise.

CC7.1 Opérations Système (Gestion des Vulnérabilités)

• L'Exigence :L'entité utilise des procédures de détection et de surveillance pour identifier les changements de configurations et les susceptibilités aux vulnérabilités nouvellement découvertes (par ex. logiciels non corrigés).
• Comment XFA aide :XFA surveille en continu les appareils pour les vulnérabilités connues (CVEs) et vérifie si le Système d'Exploitation (OS) et le Navigateur sont à jour.

CC6.7 Transmission de Données (Prévention des Fuites de Données)

• L'Exigence :L'entité restreint la transmission, le mouvement et le retrait d'informations aux parties autorisées et les protège pendant la transmission (généralement via le chiffrement).
• Comment XFA aide :XFA vérifie et applique strictement le Chiffrement du Disque sur tous les terminaux. Cela garantit que si un appareil est perdu ou volé (physiquement "retiré"), les données restent illisibles et sécurisées.

CC2.2 & CC5.3 Communication et Sensibilisation à la Sécurité de l'Information

• L'Exigence :L'entité communique des informations pour améliorer les connaissances et la sensibilisation à la sécurité, garantissant que le personnel comprend ses responsabilités et les politiques de l'organisation (comme l'Utilisation Acceptable).
• Comment XFA aide :XFA transforme votre "Politique d'Utilisation Acceptable" d'un document statique en un flux de travail actif et éducatif. Lorsque l'appareil d'un utilisateur n'est pas conforme (par ex. le verrouillage d'écran est désactivé), XFA fournit des instructions de remédiation claires et étape par étape pour résoudre le problème eux-mêmes. Cela sert de formation continue et "juste-à-temps" sur la sensibilisation à la sécurité, enseignant aux employés pourquoi les paramètres sont importants et comment les maintenir, ce qui favorise une culture de sécurité proactive.En savoir plus sur awareness →

Article 21(2)(g) : Pratiques de Base en Cyber-Hygiène

• L'Exigence :Les entités doivent mettre en œuvre des pratiques de base en cyber-hygiène, y compris les principes de confiance zéro, les mises à jour logicielles, la configuration des appareils et la gestion des identités.
• Comment XFA aide :XFA automatise la "Cyber-Hygiène" en appliquant techniquement un niveau de sécurité de base sur l'ensemble de votre flotte. Il garantit que chaque appareil, qu'il soit d'entreprise ou BYOD, respecte les normes d'hygiène critiques (par ex. OS mis à jour, Pare-feu activé, Verrouillage d'écran configuré) avant de pouvoir accéder à votre réseau, automatisant efficacement le processus de vérification "Zero Trust".En savoir plus sur enforcement →

Article 21(2)(j) : Authentification Multi-facteurs (MFA)

• L'Exigence :Les entités doivent mettre en œuvre l'authentification multi-facteurs ou des solutions d'authentification continue pour sécuriser l'accès aux réseaux et systèmes d'information.
• Comment XFA aide :XFA renforce votre stratégie d'authentification en ajoutant la Confiance de l'Appareil comme facteur supplémentaire. Il s'intègre avec votre Identity Provider pour garantir que l'authentification ne concerne pas seulement qui est l'utilisateur (mot de passe/MFA), mais ce qu'il utilise. De plus, le Silent MFA de XFA utilise l'appareil sécurisé et vérifié lui-même comme second facteur transparent.

Article 21(2)(h) : Cryptographie et Chiffrement

• L'Exigence :Les entités doivent utiliser la cryptographie et, le cas échéant, le chiffrement pour assurer la confidentialité et l'intégrité des données.
• Comment XFA aide :XFA vous permet de prouver et d'appliquer la conformité aux normes de chiffrement en vérifiant l'état du Chiffrement du Disque de chaque appareil. Si un appareil n'est pas chiffré, XFA peut bloquer l'accès aux données sensibles jusqu'à ce que le chiffrement soit activé, garantissant que la confidentialité des données n'est jamais compromise.

Article 21(2)(d) : Sécurité de la Chaîne d'Approvisionnement

• L'Exigence :Les entités doivent gérer les risques de cybersécurité provenant de leur chaîne d'approvisionnement et des relations avec les fournisseurs directs (y compris les sous-traitants et consultants).
• Comment XFA aide :Le risque de la chaîne d'approvisionnement entre souvent par les appareils non gérés des sous-traitants ou consultants. La fonction Discovery de XFA identifie chaque appareil accédant à vos ressources, y compris ceux appartenant à des partenaires externes. Vous pouvez ensuite appliquer les mêmes politiques de sécurité sur ces appareils externes sans avoir besoin de les gérer/posséder entièrement (MDM).

Article 21(2)(g) : Formation en Cybersécurité

• L'Exigence :Les entités doivent s'assurer que la direction et les employés suivent une formation en cybersécurité pour acquérir les connaissances et compétences nécessaires à l'identification des risques.
• Comment XFA aide :XFA transforme l'application des politiques en moment d'apprentissage. Au lieu d'un blocage silencieux, XFA fournit aux utilisateurs des Instructions de Remédiation claires et éducatives lorsque leur appareil n'est pas conforme. Cette formation "Juste-à-Temps" enseigne aux utilisateurs pourquoi des paramètres spécifiques (comme les mises à jour ou les verrouillages d'écran) sont critiques pour la sécurité, favorisant une culture de sensibilisation.En savoir plus sur awareness →

Article 8 : Identification (Gestion des Actifs ICT)

• L'Exigence :Les entités financières doivent identifier, classifier et documenter adéquatement toutes les fonctions commerciales, rôles et actifs (y compris les terminaux) supportés par les ICT pour gérer leurs dépendances et risques.
• Comment XFA aide :Vous ne pouvez pas protéger ce que vous ne voyez pas. XFA fournit un Inventaire en Temps Réel complet et automatisé de tous les appareils terminaux accédant à vos données ou systèmes financiers. Cela crée un "record of truth" dynamique pour vos actifs ICT, satisfaisant l'exigence d'identifier et de suivre les terminaux critiques pour votre livraison opérationnelle.En savoir plus sur discovery →

Article 9(4)(c) : Contrôle d'Accès & Gestion des Identités

• L'Exigence :Les entités doivent mettre en œuvre des politiques solides de gestion des identités et des accès, n'accordant l'accès qu'aux utilisateurs autorisés et empêchant l'accès non autorisé aux actifs ICT.
• Comment XFA aide :XFA implémente un modèle strict d'Accès Conditionnel pour les terminaux. Il garantit que l'accès aux systèmes ICT critiques n'est accordé que lorsque l'appareil répond à votre posture de sécurité définie.En savoir plus sur enforcement →

Article 9(2) : Mesures de Sécurité ICT (Gestion des Vulnérabilités)

• L'Exigence :Les entités doivent surveiller et contrôler en continu la sécurité des systèmes ICT pour minimiser le risque de corruption ou de perte de données, y compris la gestion des vulnérabilités logicielles.
• Comment XFA aide :XFA surveille en continu les appareils pour les vulnérabilités connues (CVEs) et vérifie si le Système d'Exploitation (OS) et le Navigateur sont à jour.

Article 9(4)(e) : Protection des Données (Chiffrement)

• L'Exigence :Les entités doivent mettre en œuvre des politiques et protocoles pour des mécanismes de chiffrement forts afin de protéger la disponibilité, l'authenticité, l'intégrité et la confidentialité des données (au repos et en transit).
• Comment XFA aide :Pour assurer l'intégrité et la confidentialité des données sur les terminaux, XFA impose le Chiffrement du Disque de manière généralisée. En appliquant ce contrôle technique, XFA garantit que même si un ordinateur portable contenant des données financières sensibles est perdu (affectant la disponibilité), la confidentialité de ces données reste intacte, conformément aux normes de protection de DORA.

1. Pare-feu

• L'Exigence :Chaque appareil connecté à Internet doit être protégé par un pare-feu pour créer une "zone tampon" entre l'appareil et les réseaux non fiables (comme Internet ou le Wi-Fi public). Les pare-feu de périmètre sont requis pour les réseaux de bureau. Les pare-feu logiciels sont requis pour tous les appareils des utilisateurs finaux, en particulier lors du travail à distance ou sur des réseaux non fiables.
• Comment XFA aide :XFA vérifie automatiquement que le pare-feu est activé et actif sur chaque appareil.En savoir plus sur enforcement →

2. Configuration Sécurisée

• L'Exigence :Les ordinateurs et les appareils réseau doivent être configurés pour réduire le niveau de vulnérabilités. Les configurations par défaut sont souvent non sécurisées et doivent être modifiées. Verrouillage de l'appareil : Les appareils doivent se verrouiller automatiquement lorsqu'ils sont laissés sans surveillance (avec un code PIN, un mot de passe ou la biométrie). Logiciels inutiles : Les logiciels et services inutilisés doivent être supprimés ou désactivés. Hygiène des mots de passe : Les mots de passe par défaut doivent être changés et des mots de passe forts utilisés.
• Comment XFA aide :XFA agit comme un auditeur continu pour la configuration sécurisée. Il vérifie les paramètres tels que le Verrouillage d'écran (garantissant que les appareils se verrouillent automatiquement) et vérifie la présence d'un Gestionnaire de mots de passe.

3. Contrôle d'Accès Utilisateur

• L'Exigence :L'accès aux données et services doit être limité aux utilisateurs et appareils autorisés. Comptes séparés : Les utilisateurs doivent utiliser un compte utilisateur standard pour le travail quotidien, pas un compte Administrateur (pour limiter l'impact des logiciels malveillants). Authentification : L'accès aux services doit être authentifié, en utilisant l'Authentification Multi-Facteurs (MFA) lorsque disponible.
• Comment XFA aide :XFA implémente un modèle d'accès Zero Trust en ajoutant la Confiance de l'Appareil à votre flux d'authentification. Il garantit que l'accès n'est accordé que lorsque l'utilisateur est authentifié et que l'appareil est vérifié comme sécurisé. De plus, XFA prend en charge le Silent MFA, utilisant l'appareil de confiance lui-même comme un second facteur fort et non-hameçonnable.

4. Protection contre les Logiciels Malveillants

• L'Exigence :Les appareils doivent avoir des mécanismes de protection contre les logiciels malveillants installés et actifs pour empêcher l'exécution de code malicieux. Logiciel Anti-Malware : Doit être installé, actif et configuré pour analyser les fichiers lors de l'accès. Mises à jour des signatures : Les fichiers de signatures doivent être mis à jour au moins quotidiennement. Liste blanche d'applications : Alternativement, seules les applications approuvées sont autorisées à s'exécuter.
• Comment XFA aide :XFA impose la présence d'un logiciel Anti-Malware / Antivirus. Avant qu'un appareil puisse se connecter, XFA vérifie que l'antivirus est en cours d'exécution. Si le logiciel est manquant, désactivé ou obsolète, XFA bloque l'accès et invite l'utilisateur à le corriger, garantissant qu'aucun appareil non protégé ne puisse introduire de logiciels malveillants dans votre environnement.

5. Gestion des Mises à Jour de Sécurité (Correctifs)

• L'Exigence :Tous les logiciels (Systèmes d'Exploitation et Applications) doivent être maintenus à jour et pris en charge par le fournisseur. OS pris en charge : Les appareils doivent exécuter un Système d'Exploitation qui reçoit encore des mises à jour de sécurité (par ex., pas Windows 7). Correctifs sous 14 jours : Les mises à jour de sécurité "Critiques" et "Haut-Risque" doivent être installées dans les 14 jours suivant leur publication.
• Comment XFA aide :XFA automatise la vérification des mises à jour d'OS et de navigateur. Il vérifie la version du système d'exploitation et du navigateur à chaque connexion. Vous pouvez définir des politiques pour bloquer les appareils exécutant des versions plus anciennes que le seuil autorisé (garantissant le respect du délai de 14 jours), obligeant effectivement les utilisateurs à mettre à jour leurs appareils pour retrouver l'accès aux outils de travail.

6. BYOD, Travail à Domicile et à Distance

• L'Exigence :Cyber Essentials traite tout appareil accédant aux données organisationnelles comme "dans le périmètre", quel que soit le propriétaire ou l'emplacement. Périmètre BYOD : Les appareils personnels utilisés pour les e-mails ou applications professionnels doivent respecter les 5 contrôles ci-dessus (y compris OS pris en charge, verrouillage d'écran et pas de jailbreak/root). Travail à domicile : Pour les travailleurs à distance, la "frontière du réseau" est l'appareil lui-même. Par conséquent, les pare-feu logiciels doivent être actifs sur l'appareil.
• Comment XFA aide :Vérifier, pas gérer : XFA valide la posture de sécurité des appareils personnels (BYOD) sans nécessiter une inscription MDM complète, que les utilisateurs refusent souvent pour des raisons de confidentialité. Bloquer les appareils à risque : Il détecte et bloque les appareils mobiles "jailbreakés" ou "rootés", qui sont interdits sous Cyber Essentials. Conformité portable : En vérifiant le Pare-feu logiciel et l'État des correctifs directement sur le terminal, XFA garantit que la conformité voyage avec l'appareil, satisfaisant les exigences pour les travailleurs à domicile et à distance sans avoir besoin d'auditer leurs réseaux domestiques.

Exigence 12.5.1 : Inventaire des Actifs

• L'Exigence :Maintenir un inventaire à jour de tous les composants matériels et logiciels (y compris les composants système comme les appareils des utilisateurs finaux) qui sont dans le périmètre de PCI DSS.
• Comment XFA aide :XFA fournit un Inventaire en Temps Réel automatisé de chaque appareil accédant à votre environnement. Au lieu d'une feuille de calcul statique obsolète dès qu'elle est rédigée, XFA découvre et enregistre continuellement les appareils lors de leur authentification, fournissant à l'auditeur une liste précise et dynamique des actifs dans le périmètre.En savoir plus sur discovery →

Exigence 5.2.1 : Protection contre les Logiciels Malveillants

• L'Exigence :Des mécanismes anti-malware doivent être déployés sur tous les composants système qui peuvent être couramment affectés par des logiciels malveillants. La solution doit être active, maintenue à jour et effectuer une surveillance ou une analyse continue.
• Comment XFA aide :Avant d'autoriser l'accès au CDE ou aux applications de l'entreprise, XFA vérifie que le logiciel Anti-Malware / Antivirus est installé, actif et en cours d'exécution sur l'appareil.En savoir plus sur enforcement →

Exigence 6.3.3 : Gestion des Vulnérabilités (Correctifs)

• L'Exigence :Tous les composants système doivent être protégés contre les vulnérabilités connues en installant les correctifs et mises à jour de sécurité applicables. Les correctifs de sécurité critiques doivent être installés dans un délai d'un mois après leur publication.
• Comment XFA aide :Avec XFA, vous pouvez appliquer une Politique de Gestion des Correctifs stricte au point d'entrée. Vous pouvez configurer XFA pour bloquer l'accès aux appareils exécutant des versions d'OS plus anciennes qu'un seuil spécifique (par exemple, pour garantir qu'ils sont dans la fenêtre de correctif critique), forçant effectivement l'installation des mises à jour avant que l'accès ne soit accordé.

Exigence 8.4.2 & 8.4.3 : Authentification Forte (MFA)

• L'Exigence :Des mesures de contrôle d'accès fortes doivent être mises en œuvre. L'Authentification Multi-Facteurs (MFA) est requise pour tout accès non-console au CDE pour le personnel ayant un accès administratif, et généralement pour tout accès à distance.
• Comment XFA aide :XFA renforce votre authentification au-delà des simples identifiants utilisateur. Il ajoute la Confiance de l'Appareil comme facteur critique. En s'intégrant à votre Identity Provider, XFA garantit que l'accès n'est accordé qu'aux appareils de confiance et vérifiés. De plus, le Silent MFA de XFA utilise l'appareil sécurisé et vérifié lui-même comme second facteur transparent.

Exigence 2.2 : Configuration Sécurisée

• L'Exigence :Les composants système doivent être configurés et gérés de manière sécurisée. Cela inclut le changement des paramètres par défaut du fournisseur, la suppression des logiciels inutiles et la garantie que les paramètres de sécurité sont définis.
• Comment XFA aide :XFA vous permet de définir et d'appliquer une baseline sécurisée pour tous les terminaux. Il vérifie les paramètres de configuration critiques tels que le Verrouillage d'écran (pour empêcher l'accès physique non autorisé) et l'État du Pare-feu (Exig. 1.4.1). Toute déviation de cette baseline déclenche une alerte ou un blocage d'accès, garantissant le respect continu des normes de configuration sécurisée.

Exigence 12.6 : Formation à la Sensibilisation à la Sécurité

• L'Exigence :Un programme formel de sensibilisation à la sécurité doit être mis en œuvre pour informer tout le personnel de la politique et des procédures de sécurité des données des titulaires de cartes.
• Comment XFA aide :XFA transforme la politique de sécurité d'un document à "lire et signer" en une pratique active et quotidienne. Lorsque XFA détecte un paramètre non conforme (par exemple, "Votre OS est obsolète"), il fournit à l'utilisateur des Instructions de Remédiation spécifiques sur la façon de le corriger. Ce feedback continu et contextuel renforce la formation à la sécurité en temps réel, aidant le personnel à comprendre son rôle dans le maintien de la sécurité des appareils.En savoir plus sur awareness →

§ 164.310(c) : Sécurité des Postes de Travail (Protections Physiques)

• L'Exigence :Mettre en œuvre des protections physiques pour tous les postes de travail qui accèdent aux ePHI afin de restreindre l'accès aux utilisateurs autorisés. Cela inclut de s'assurer que les écrans ne sont pas visibles par des personnes non autorisées et que les appareils sont sécurisés lorsqu'ils sont sans surveillance.
• Comment XFA aide :Bien que XFA soit un logiciel, il applique une "sécurité physique numérique". XFA vérifie et applique les paramètres de Verrouillage d'écran sur tous les appareils (ordinateurs portables et mobiles). Si un utilisateur a configuré son appareil sur "ne jamais se mettre en veille" ou a désactivé l'exigence de mot de passe, XFA signale l'appareil comme non conforme et peut bloquer l'accès jusqu'à ce que le paramètre soit corrigé, garantissant que les ePHI ne sont pas exposées sur un écran sans surveillance.En savoir plus sur enforcement →

§ 164.312(a)(2)(iv) : Chiffrement et Déchiffrement (Protections Techniques)

• L'Exigence :Mettre en œuvre un mécanisme pour chiffrer et déchiffrer les informations de santé protégées électroniquement (ePHI). Bien que "adressable" (flexible), le chiffrement est la norme de l'industrie pour rendre les ePHI illisibles si un appareil est perdu ou volé.
• Comment XFA aide :XFA transforme cette spécification adressable en un contrôle obligatoire. Il vérifie strictement que le Chiffrement Complet du Disque est actif. Si un appareil contenant potentiellement des ePHI en cache n'est pas chiffré, XFA bloque son accès au réseau.

§ 164.308(a)(5)(ii)(B) : Protection contre les Logiciels Malveillants (Protections Administratives)

• L'Exigence :Des procédures de protection contre, de détection et de signalement des logiciels malveillants doivent être mises en œuvre.
• Comment XFA aide :XFA agit comme un gardien qui vérifie que le logiciel Anti-Malware / Antivirus est présent et actif avant d'accorder l'accès aux systèmes ePHI. De plus, en appliquant les Mises à jour OS (gestion des correctifs), XFA réduit la surface d'attaque, empêchant les malwares d'exploiter des vulnérabilités connues pour accéder aux données des patients.

§ 164.312(a)(1) : Contrôle d'Accès & Identification Unique de l'Utilisateur

• L'Exigence :Mettre en œuvre des politiques et procédures techniques pour les systèmes d'information électroniques qui maintiennent les ePHI afin de n'autoriser l'accès qu'aux personnes ou programmes logiciels auxquels des droits d'accès ont été accordés.
• Comment XFA aide :XFA améliore le contrôle d'accès standard en ajoutant la Confiance de l'Appareil à l'équation. La conformité HIPAA standard se concentre souvent sur l'ID utilisateur, mais si un utilisateur valide se connecte depuis un ordinateur portable personnel infecté, les ePHI sont à risque. XFA s'assure que l'accès n'est accordé que lorsque l'Appareil lui-même est fiable et vérifié, empêchant effectivement les terminaux non autorisés ou non sécurisés de toucher aux données de santé sensibles.

§ 164.308(a)(1)(ii)(D) : Revue des Activités du Système d'Information (Inventaire des Actifs)

• L'Exigence :Mettre en œuvre des procédures pour examiner régulièrement les enregistrements des activités du système d'information, tels que les journaux d'audit, les rapports d'accès et les rapports de suivi des incidents de sécurité. Vous ne pouvez pas examiner l'activité sur des appareils dont vous ignorez l'existence.
• Comment XFA aide :XFA fournit un Inventaire en Temps Réel complet de tous les appareils accédant à votre environnement ePHI (DSE, stockage cloud, etc.). Il enregistre chaque tentative d'accès, l'appareil utilisé et sa posture de sécurité à ce moment. Cet inventaire automatisé est essentiel pour l'"Analyse des Risques" requise par HIPAA (§ 164.308(a)(1)(ii)(A)), garantissant qu'aucun appareil "Shadow IT" ne traite les données des patients sans surveillance.En savoir plus sur discovery →

§ 164.312(e)(1) : Sécurité de la Transmission

• L'Exigence :Mettre en œuvre des mesures de sécurité techniques pour se protéger contre l'accès non autorisé aux informations de santé protégées électroniquement transmises sur un réseau de communication électronique.
• Comment XFA aide :Une transmission sécurisée nécessite des terminaux sécurisés. En vérifiant que le Pare-feu est activé sur chaque appareil, XFA s'assure que l'appareil est protégé contre les attaques réseau lorsqu'il est connecté à des réseaux publics ou semi-publics.

§ 164.308(a)(5)(ii)(A) : Rappels de Sécurité

• L'Exigence :Des mises à jour de sécurité périodiques sont requises pour renforcer la sensibilisation à la sécurité.
• Comment XFA aide :Au lieu de newsletters annuelles génériques, XFA fournit un feedback spécifique et actionnable lorsque l'appareil d'un utilisateur devient non sécurisé (par exemple, "Votre pare-feu est désactivé"). Cette invite éducative immédiate renforce les politiques de sécurité exactement quand l'utilisateur a besoin de les entendre, maintenant la sensibilisation à la sécurité au premier plan.En savoir plus sur awareness →

Article 32(1)(a) : Chiffrement des Données Personnelles

• L'Exigence :Le responsable du traitement et le sous-traitant mettent en œuvre des mesures appropriées, notamment "la pseudonymisation et le chiffrement des données à caractère personnel." Le chiffrement est explicitement cité comme méthode principale pour atténuer les risques.
• Comment XFA aide :XFA transforme le chiffrement d'une politique en une réalité technique. Il vérifie et applique strictement le Chiffrement Complet du Disque sur chaque appareil accédant aux données personnelles. En s'assurant que le support de stockage lui-même est chiffré, XFA garantit que les données restent inintelligibles même si l'appareil physique est perdu ou volé.En savoir plus sur enforcement →

Article 32(1)(b) : Confidentialité & Intégrité

• L'Exigence :Les entités doivent assurer "la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement." Cela signifie prévenir l'accès non autorisé aux données (confidentialité) et s'assurer que les systèmes ne sont pas compromis (intégrité).
• Comment XFA aide :XFA protège la confidentialité en appliquant un modèle d'accès Zero Trust. Il garantit que seuls les utilisateurs autorisés sur des appareils sécurisés et vérifiés peuvent accéder aux systèmes contenant des données personnelles. En bloquant l'accès aux appareils sans Verrouillage d'écran ou avec un Pare-feu désactivé, XFA empêche l'accès non autorisé qui pourrait compromettre la confidentialité des données.

Article 32(1)(d) : Tests et Évaluations Réguliers

• L'Exigence :Les entités doivent avoir un processus pour "tester, analyser et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement."
• Comment XFA aide :XFA remplace les audits manuels par une Surveillance Continue. Au lieu d'une vérification annuelle, XFA évalue la posture de sécurité (version OS, état du chiffrement, pare-feu) de chaque appareil à chaque connexion. Cela fournit une évaluation en temps réel et automatisée de vos mesures techniques, vous donnant des preuves concrètes que vos contrôles de sécurité sont efficaces et actifs 24h/24 et 7j/7.

Article 25 : Protection des Données dès la Conception et par Défaut

• L'Exigence :Le responsable du traitement met en œuvre des mesures techniques appropriées conçues pour mettre en œuvre efficacement les principes de protection des données (Privacy by Design) et garantit que, par défaut, seules les données personnelles nécessaires à chaque finalité spécifique du traitement sont traitées.
• Comment XFA aide :XFA applique un état "Sécurisé par Défaut" pour vos terminaux. En empêchant l'accès depuis des appareils non sécurisés (par ex., ceux avec protection anti-malware désactivée), XFA garantit que l'état "par défaut" de toute interaction avec vos données est sécurisé. Il bloque proactivement les risques plutôt que d'y réagir, s'alignant parfaitement avec le principe de privacy by design.

Article 5(2) : Principe de Responsabilité

• L'Exigence :Le responsable du traitement est responsable du respect des principes de traitement des données (y compris l'Intégrité et la Confidentialité) et doit être en mesure de le démontrer.
• Comment XFA aide :XFA fournit les preuves nécessaires à la responsabilité. Grâce à son Inventaire d'Appareils complet et ses journaux d'accès, XFA vous permet de démontrer exactement quels appareils ont eu accès aux données personnelles et qu'ils respectaient les normes de sécurité. Cette documentation automatisée est inestimable lors d'une enquête réglementaire pour prouver que vous avez pris des "mesures appropriées" pour sécuriser les données.En savoir plus sur discovery →

1. Fonction : IDENTIFY (ID)

ID.AM-01 : Inventaire des Actifs

• L'Exigence :Des inventaires de matériel, logiciels, services et systèmes sont maintenus pour créer une vue précise de la surface d'attaque de l'organisation.
• Comment XFA aide :XFA résout le défi du "Shadow IT" en fournissant un Inventaire en Temps Réel automatisé. Il découvre continuellement chaque appareil (y compris BYOD et appareils de contractuels) dès qu'il accède à vos plateformes. Cela crée un enregistrement dynamique et toujours précis de votre parc de terminaux, bien supérieur aux feuilles de calcul statiques.En savoir plus sur discovery →

ID.RA-01 : Gestion des Risques (Vulnérabilités)

• L'Exigence :Les vulnérabilités de cybersécurité sont identifiées, documentées et évaluées.
• Comment XFA aide :XFA évalue continuellement les CVE de votre flotte. En surveillant la version des Systèmes d'Exploitation et des Navigateurs sur chaque appareil, XFA signale les appareils exécutant des logiciels obsolètes, vous permettant d'identifier et de quantifier le risque des terminaux non corrigés dans votre environnement.En savoir plus sur enforcement →

2. Fonction : PROTECT (PR)

PR.AA-01 : Gestion des Identités et des Accès (Zero Trust)

• L'Exigence :Les identités et les identifiants sont gérés, et l'accès est accordé selon le principe du moindre privilège et du zero trust (vérification de l'identité et du contexte).
• Comment XFA aide :XFA implémente un modèle d'accès Zero Trust en ajoutant le "Contexte de l'Appareil" à vos décisions d'accès. Il garantit que l'accès n'est pas accordé simplement parce que l'utilisateur est connu, mais parce que l'appareil est vérifié comme sécurisé. Si un appareil est risqué (par ex., pare-feu désactivé), XFA bloque l'accès, garantissant que seuls les terminaux de confiance interagissent avec vos ressources.

PR.AA-05 : Authentification (MFA)

• L'Exigence :L'accès aux systèmes et aux actifs est protégé par des mécanismes d'authentification robustes (par ex., authentification multi-facteurs) proportionnels au risque.
• Comment XFA aide :XFA renforce votre flux d'authentification en intégrant la Confiance de l'Appareil comme facteur non négociable. De plus, le Silent MFA de XFA utilise l'appareil sécurisé et vérifié lui-même comme second facteur transparent.

PR.PS-01 : Gestion de la Configuration

• L'Exigence :Les pratiques de gestion de configuration sont appliquées pour assurer la sécurité des plateformes et services (par ex., baselines sécurisées).
• Comment XFA aide :XFA applique une Baseline de Configuration Sécurisée sur toute votre flotte. Il vérifie les paramètres critiques comme le Verrouillage d'écran (pour empêcher l'accès physique non autorisé) et l'État du Pare-feu. Les appareils qui s'écartent de cette baseline sont automatiquement signalés ou bloqués, garantissant une adhérence continue à vos standards de sécurité.

PR.PS-02 : Sécurité Logicielle (Correctifs)

• L'Exigence :Les logiciels sont maintenus, mis à jour et corrigés pour atténuer les vulnérabilités connues.
• Comment XFA aide :XFA applique la Gestion des Correctifs au point d'entrée. Il bloque l'accès des appareils exécutant des versions d'OS plus anciennes que votre seuil autorisé. Cela force effectivement les utilisateurs à appliquer les mises à jour pour retrouver l'accès à leurs outils de travail, garantissant que votre flotte reste corrigée et résiliente contre l'exploitation.

PR.DS-01 : Sécurité des Données (Chiffrement)

• L'Exigence :La confidentialité, l'intégrité et la disponibilité des données au repos sont protégées (par ex., via le chiffrement).
• Comment XFA aide :Avec XFA, vous pouvez appliquer le Chiffrement Complet du Disque sur tous les terminaux. En vérifiant ce statut à chaque connexion, XFA garantit que même si un appareil est physiquement perdu ou volé, les données stockées restent cryptographiquement protégées et inaccessibles.

3. Fonction : DETECT (DE)

DE.CM-01 : Surveillance Continue

• L'Exigence :L'environnement physique et logique est surveillé pour identifier les événements de cybersécurité potentiels et vérifier l'efficacité des mesures de protection.
• Comment XFA aide :Chaque fois qu'un utilisateur se connecte, XFA vérifie la posture de sécurité de l'appareil. Cela fournit un flux constant de données confirmant que vos mesures de protection (comme l'antivirus et le chiffrement) sont actives et efficaces, détectant instantanément toute dégradation de la sécurité.

4. Fonction : GOVERN (GV)

GV.PO-01 : Gestion des Politiques

• L'Exigence :La politique de cybersécurité organisationnelle est établie, communiquée et appliquée.
• Comment XFA aide :Au lieu d'espérer que les utilisateurs lisent un PDF, XFA applique techniquement la politique (par ex., "Tous les appareils doivent être chiffrés"). Lorsqu'un utilisateur viole la politique, XFA fournit un retour immédiat et des Instructions de Remédiation, garantissant que la politique est comprise et suivie en pratique, pas seulement en théorie.En savoir plus sur awareness →