| Mesures de chiffrement et de pseudonymisation | |
| Chiffrement | Le fournisseur cryptera les informations du client en transit sur Internet et au sein du réseau du fournisseur, ainsi qu’au repos au niveau du disque, de la base de données ou de l’application. Le fournisseur ne peut traiter aucune information du client qui n’est pas cryptée, sauf approbation du client. Les contrôles standard de protection des données, tels que le cryptage, doivent être utilisés conformément aux meilleures pratiques de l’industrie (par exemple, les directives TLS 1.2, AES, P12 Cert) pour sécuriser les informations des CGA. Les clés de cryptage des données personnelles traitées ou transférées depuis l’Europe seront stockées en Europe. |
| Pseudonymisation (tel que ce terme est défini dans le RGPD) concernant les Données Personnelles | Le fournisseur ne traitera les données personnelles pseudonymisées au nom du client que lorsque cela est approprié aux fins de la fourniture des services, garantissant ainsi qu’elles ne peuvent pas être associées à une personne concernée spécifique sans l’aide d’informations supplémentaires, à condition que ces informations supplémentaires soient stockées séparément, et fait l’objet de mesures techniques et organisationnelles appropriées. Dans la mesure où le client fournit au Fournisseur des données personnelles pseudonymisées à des fins de traitement, le Fournisseur ne tentera pas de réidentifier ou de réassocier ces données à un individu, sauf instruction contraire explicite du client. |
| Mesures pour assurer la confidentialité, l’intégrité, la disponibilité des systèmes et services | |
| Accords de confidentialité ou de non-divulgation | Les exigences relatives aux accords de confidentialité ou de non-divulgation reflétant les besoins de l’organisation en matière de protection des informations sont identifiées, régulièrement revues et documentées. |
| Mesures pour assurer la capacité de restaurer la disponibilité et l’accès aux informations en temps opportun en cas d’incident physique ou technique | |
| Sauvegardes | Le fournisseur doit effectuer ou faire effectuer des sauvegardes quotidiennes des informations du client sur les systèmes du fournisseur et stocker ces sauvegardes dans un format crypté standard de l’industrie dans un emplacement sécurisé. Sur demande raisonnable, le fournisseur doit fournir au client une copie de ses informations sauvegardées dans un format lisible par machine. |
| Mesures d’identification et d’autorisation des utilisateurs | |
| Politique de contrôle d’accès | Une politique de contrôle d’accès est établie, documentée et révisée en fonction des exigences de sécurité de l’entreprise et de l’information. |
| Mesures de protection des données pendant le stockage | |
| Pare-feu | Le fournisseur utilise un pare-feu pour protéger ses systèmes et son réseau contre les attaques externes et pour aider à prévenir les violations de données. |
| Mesures pour garantir la journalisation des événements | |
| Journalisation | Les journaux d’événements enregistrant l’accès des utilisateurs, les activités, les exceptions, les pannes, l’accès aux données, la suppression ou la restauration et les événements de sécurité des informations doivent être produits, conservés, stockés en toute sécurité et régulièrement révisés. Le client aura accès aux journaux d’accès pertinents sur demande. Les journaux des transmissions d’informations du client doivent être conservés, y compris, sans s’y limiter, l’identité des données transmises, le destinataire et la date de divulgation. Les journaux d’activité de l’administrateur doivent être conservés et fournis au client sur demande. |
| Mesures pour la gouvernance et la gestion internes de l’informatique et de la sécurité informatique | |
| Installation de logiciels sur des systèmes opérationnels | Des procédures sont mises en œuvre pour contrôler et interdire l’installation de logiciels non autorisés sur les systèmes opérationnels. |
| Contrôles contre les logiciels malveillants | Des contrôles de détection, de prévention et de récupération pour se protéger contre les logiciels malveillants sont mis en œuvre, associés à une formation et une sensibilisation appropriées des utilisateurs. |
| Continuité de la sécurité de l’information | Le plan de continuité des activités doit inclure des mesures pour maintenir le même niveau de contrôles de sécurité de l’information dans les sites de secours que ceux qui existent dans les sites principaux. |
| Mesures de certification/assurance des processus et des produits | |
| Politique de sécurité des informations | Le fournisseur a une politique de sécurité de l’information approuvée et publiée qui fournit une orientation et un soutien pour la sécurité de l’information (conformément aux besoins de l’entreprise et aux lois et réglementations applicables) et est régulièrement révisée, approuvée et publiée à l’intention de tout le personnel concerné. |
| Mesures pour garantir une conservation limitée des données | |
| Conservation limitée des données | Des mesures techniques et organisationnelles sont en place pour garantir que les données personnelles ne sont pas conservées plus longtemps que nécessaire, y compris des contrôles et des processus en place pour soutenir les instructions et les exigences du client concernant la conservation des données. |
| Mesures pour assurer la responsabilisation | |
| Responsabilité | Des mesures techniques et organisationnelles sont en place pour démontrer que le fournisseur/l’importateur de données a pris les mesures appropriées pour s’assurer que les principes de protection des données ont été mis en œuvre. |
| Modalités de contrôle des sous-traitants | |
| Contrôle des sous-traitants | Non applicable, aucune sous-traitance |