A) Mesures organisationnelles |
A-1) Adoption d'une politique de gestion de la sécurité de l'information et d'une politique de protection des données personnelles en conformité avec la politique de confidentialité, basée sur l'analyse des risques, afin de garantir la confidentialité, la disponibilité et l'intégrité des données personnelles pour protéger les droits et libertés des parties intéressées; A-2) Procédures d'accès aux structures physiques, dûment protégées, uniquement aux sujets autorisés sous réserve d'une reconnaissance appropriée; A-3) Politique de l'utilisateur et Discipline: Des politiques et réglementations détaillées sont appliquées, auxquelles tous les utilisateurs ayant accès aux services informatiques doivent se conformer pour garantir la sécurité des systèmes; A-4) Autorisation d'accès logique - Tous les systèmes informatiques ne sont accessibles qu'avec des profils d'accès pour ce qui est nécessaire à la tâche effectuée. Les profils d'autorisation sont identifiés et configurés avant l'accès; A-5) Il existe une procédure de gestion des accidents liée aux outils de surveillance technique des systèmes auxquels du personnel spécialisé est proposé, avec identification, en cas d'accident, des interventions à préparer dans un ordre logiquement déterminé, pour garantir la restauration du service dans les plus brefs délais, ainsi que pour en vérifier les conséquences, établir un rapport, dont dépendent les résultats des mesures de protection supplémentaires, en tout cas sans préjudice de la vérification de l'adéquation des systèmes de protection en place; A-6) Procédure de gestion de l'assistance - Les interventions d'assistance sont gérées selon une procédure qui vérifie l'authenticité de la demande et fournit le support en minimisant le traitement des données personnelles, grâce à un personnel dûment formé et à des outils techniques respectant les normes de sécurité. Également via un service de système de tickets mis à la disposition du CLIENT, il sera toujours possible de connaître les détails de l'intervention, la durée, la date et l'opérateur (via un code unique qui lui est attribué), ainsi que de vérifier, par le responsable du traitement, l'authenticité de la demande de support; A-7) Dans tous les cas, les niveaux d'accès aux systèmes du CLIENT pour fournir une assistance technique ne seront attribués qu'à certains employés spécifiquement autorisés avec des identifiants d'authentification conformes aux normes internationales; A-8) Engagement à la confidentialité de tous les employés par écrit avant d'accéder aux systèmes; A-9) Chaque employé ne peut traiter que les informations pour lesquelles il a été autorisé concernant les tâches accomplies et dûment formé, par le biais de mises à jour périodiques, pour traiter les données avec la plus grande confidentialité et sécurité, conformément à la législation sur la protection de la vie privée; A-10) Règlement intérieur pour les employés, concernant l'utilisation des outils informatiques et les contrôles potentiels de l'employeur; A-11) Procédures de protection contre les attaques par l'ingénierie sociale avec la formation spécifique du personnel associée; A-12) Procédures de choix des fournisseurs appropriés axées sur le contrôle de la qualité, de la sécurité et du respect de la législation en vigueur des biens ou services offerts; A-13) Procédure de vérification de la nécessité d'une DPIA, Analyse d'impact sur la protection des données concernant les systèmes informatiques utilisés conformément à la législation sur la vie privée; A-14) Violation de données - Il existe une procédure de gestion des incidents susceptibles d'affecter les données personnelles, basée sur la répartition des rôles en fonction de la compétence, la vérification du préjudice potentiel (présumé ou constaté), la gestion des contre-mesures ainsi que les méthodes de partage avec le CLIENT des informations relatives aux violations de données personnelles et pour l'adoption des obligations connexes requises par la législation sur la protection de la vie privée; A-15) Procédures d'élimination de la documentation analogique et des systèmes informatiques contenant potentiellement des informations, à l'aide d'outils appropriés (tels que des déchiqueteurs de documents et des entreprises d'élimination certifiées); A-16) Mise à jour des mesures organisationnelles qui seront vérifiées tous les six mois; |
B) Mesures techniques |
B-1) Identifiants d'authentification - L'accès aux systèmes est basé exclusivement sur des identifiants d'authentification uniques, basés sur un code PIN confidentiel ou une clé d'accès et avec des mesures de sécurité conformes aux normes internationales; B-2) Gestion des mots de passe d'accès selon les bonnes pratiques, en fonction de la longueur, de la complexité, de l'expiration, de la robustesse confiées à des sujets dûment instruits sur son utilisation et son stockage; B-3) Administrateurs système - Pour les utilisateurs ayant le rôle d'administrateurs système, dont les fonctions sont attribuées avec des nominations spécifiques et par écrit, un système de gestion des journaux non modifiable est mis en œuvre, correctement configuré pour suivre les activités menées et permettre un suivi ultérieur pour vérifier la régularité des transactions. Une procédure est ensuite activée pour vérifier le travail des administrateurs système dans le cadre du plan de sécurité de l'information élaboré en interne et pour le respect de la législation sur la protection de la vie privée et également pour améliorer les mesures de protection; B-4) Utilisation de systèmes de cryptage basés sur des algorithmes et protocoles informatiques conformes aux normes internationales; B-5) Système de détection d'intrusion IDS / IPS et Système de prévention d'intrusion en tant que systèmes de détection d'intrusion, pour détecter les cyberattaques à l'avance; B-6) Adoption de systèmes de pare-feu comme composants de défense périmétrique des réseaux informatiques et pour protéger les lignes de communication; B-7) Antivirus et logiciels malveillants mis à jour périodiquement contre le risque d'intrusion et d'action illégale des programmes; B-8) Systèmes d'enregistrement pour la surveillance du système, le stockage des événements survenus et l'identification des accès; B-9) Systèmes de sauvegarde et de restauration, avec procédure de gestion relative; B-10) Continuité des activités pour la résilience des systèmes en cas d'accident; B-11) Évaluation de la vulnérabilité et test de pénétration - Des activités d'analyse de la vulnérabilité du système sont effectuées périodiquement à la fois sur les domaines d'infrastructure et d'application, ainsi que des tests de pénétration périodiques, en supposant différents scénarios d'attaque, dans le but de vérifier le niveau de sécurité des applications/systèmes/réseaux et donc sur la base des rapports relatifs, améliorer les mesures de sécurité; B-12) Choix du CENTRE DE DONNÉES avec la norme de NIVEAU 4; B-13) Mise à jour constante des systèmes informatiques, mesures techniques, au fur et à mesure des changements technologiques et avec une vérification constante selon des délais préétablis ainsi qu'une vérification constante, à partir de sources fiables, des problèmes de sécurité des produits et services informatiques utilisés pour la mise à jour relative. |
Titre du document: | DPA |
---|---|
Version du document: | V.1.2 |
Date du dernier ajustement: | 19/11/2024 |