Parlons-en

Parlons-en

Général

Les conditions décrites dans le présent document précisent les obligations de sécurité pour les services fournis par le Fournisseur. Si des données à caractère personnel sont traitées dans le cadre de ce service, ces obligations de sécurité comprennent les mesures techniques et organisationnelles (TOM) que le fournisseur, en tant que responsable du traitement des données à caractère personnel, doit au minimum maintenir pour protéger la sécurité des données à caractère personnel créées, collectées, reçues ou obtenues d'une autre manière dans le cadre de l'accord.

En cas de conflit ou d'incohérence entre les dispositions du DPA et les présentes obligations de sécurité, ces dernières prévaudront.

Section 1 : Définitions

Aux fins des présentes :

"Accord" : l'accord (y compris toutes les annexes, appendices et modifications) auquel les présentes conditions relatives à la sécurité de l'information sont annexées.

"GDPR" désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

"Information du Bénéficiaire" signifie toute information, donnée, dossier, logiciel, matériel, équipement, média et Données Personnelles fournis ou rendus accessibles par le Bénéficiaire, par tout personnel ou agent du Bénéficiaire ou par une tierce partie au Fournisseur conformément à la Convention.

"Une personne physiqueidentifiableest une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.

"Catégories particulières de données à caractère personnel" : les données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale ; les données génétiques, les données biométriques traitées dans le but d'identifier une personne physique de manière unique ; les données relatives à la santé ou les données relatives à la vie sexuelle ou à l'orientation sexuelle d'une personne physique.

On entend par "confidentialité des données" la protection des données à caractère personnel, notamment contre l'accès, l'utilisation, le traitement ou l'appropriation illicite.

"Obligations de sécurité" : processus, mesures techniques et organisationnelles conçus pour protéger les données, y compris les informations sur les bénéficiaires, contre la destruction accidentelle ou non autorisée, la perte accidentelle, l'altération, la divulgation ou l'accès non autorisé et contre toute autre forme de traitement non autorisé, comme indiqué dans le présent document.

"Fournisseur" désigne un organisme qui fournit un service qui traite ou héberge des données, y compris des informations sur le bénéficiaire, pour le compte du bénéficiaire. Lorsque des données personnelles sont gérées, le fournisseur est le responsable du traitement des données (" processeur de données " tel que défini par le GDPR ou toute autre loi applicable). 

"Sous-traitant/consultant" : tout fournisseur engagé par le fournisseur pour l'aider à traiter ou à héberger des données, y compris des informations sur le bénéficiaire (par exemple, un sous-traitant de données).

Section 2 : Évaluation des risques et traitement

Généralités : Entreprendre une gestion régulière des risques liés à l'information pour les aspects clés du service de manière rigoureuse et cohérente en utilisant une méthodologie structurée.

Le fournisseur s'engage à :

  1. Être responsable de l'identification des risques de sécurité, y compris les risques dans l'entreprise du fournisseur ainsi que les risques identifiés par le fournisseur dans sa propre chaîne d'approvisionnement en ce qui concerne la mission/le service fourni au bénéficiaire, et prendre les mesures nécessaires pour contrôler et atténuer ces risques.
  2. être responsable de la détermination et de l'évaluation des exigences législatives et réglementaires transfrontalières/multi-juridictionnelles, y compris celles relatives à la vie privée, à la protection des données, à l'exportation de cryptage et à la notification des violations de données

Section 3 : Politiques en matière de sécurité et de confidentialité des données

Généralités : Élaborer et distribuer des politiques complètes et approuvées en matière de sécurité de l'information et de confidentialité des données à toutes les personnes ayant accès aux informations sur les bénéficiaires et aux systèmes liés au présent accord.

Le fournisseur s'engage à :

  1. Mettre en œuvre les meilleures pratiques en matière de sécurité de l'information et de confidentialité des données.
  2. Disposer de politiques formelles en matière de sécurité de l'information et de confidentialité des données, approuvées par la direction et accessibles à tous les employés et à toutes les parties externes associées.
  3. suivre une formation générale de sensibilisation à la sécurité et à la confidentialité des données dans le cadre de son programme de sécurité de l'information et de confidentialité des données.

Section 4 : Organisation de la sécurité de l'information

Généralités : Fournir une structure et un mécanisme de gestion descendante pour coordonner les activités de sécurité et soutenir le programme/l'approche en matière de sécurité de l'information et de protection des données.

Le fournisseur sera en mesure de démontrer

  1. Les responsabilités en matière de sécurité de l'information et de confidentialité des données au sein de l'organisation du fournisseur doivent être clairement définies.
  2. Disposer de l'expertise nécessaire en matière de sécurité de l'information et de confidentialité des données pour mettre en œuvre les mesures de sécurité énoncées dans les présentes Obligations de sécurité. Cette (ces) ressource(s) coopère(nt) avec le personnel de sécurité du Bénéficiaire si nécessaire.
  3. Le Fournisseur informera dûment le Bénéficiaire à l'avance de tout changement dans ses principaux sous-traitants tels que les services d'hébergement.

Sauf s'il en résulte autrement de la convention, le recours par le fournisseur à des sous-traitants nécessite l'accord écrit préalable du bénéficiaire.

Section 5 : Gestion des actifs et contrôles de confidentialité

Généralités : Documenter et convenir des obligations de confidentialité pour les informations liées à l'accord et déterminer le niveau de protection approprié à appliquer pour empêcher toute divulgation non autorisée.

  1. Les éventuelles obligations en matière d'accords de confidentialité ou de non-divulgation sont identifiées, respectées et régulièrement réexaminées.

Le fournisseur s'engage à :

  1. Ne pas divulguer ou utiliser les informations relatives au bénéficiaire qui peuvent être considérées comme des secrets d'affaires ou professionnels, sauf dans la mesure nécessaire à l'exécution de sa mission en vertu de la convention et avec l'acceptation du bénéficiaire.
  2. collecter, traiter, stocker ou traiter de toute autre manière les informations relatives au bénéficiaire dans le seul but de remplir ses obligations en vertu de la convention. En conséquence, le fournisseur ne vendra pas, ne partagera pas, ne transférera pas ou ne divulguera pas les informations relatives au bénéficiaire à un tiers, sans l'accord écrit préalable du bénéficiaire.
  3. ne pas collecter, traiter, stocker ou traiter d'une autre manière des catégories particulières de données à caractère personnel, sauf si la convention conclue avec le bénéficiaire l'exige expressément.
  4. Agir avec diligence lors de la manipulation des informations sur les bénéficiaires.
  5. Garantir la sécurité, l'intégrité et la cohérence des informations sur les bénéficiaires traitées par le fournisseur, qu'il s'agisse de documents papier ou électroniques.
  6. Ne pas copier ou reproduire les informations relatives au bénéficiaire sur des fichiers de données, des copies papier ou d'autres supports tangibles d'une manière qui permette la suppression non autorisée des informations ou de la classification du propriétaire.
  7. Retourner ou détruire, uniquement à la demande du Bénéficiaire, toutes les Informations sur le Bénéficiaire liées à la Convention immédiatement après l'expiration ou la résiliation de la Convention, sauf s'il est nécessaire pour le Fournisseur de conserver les Informations sur le Bénéficiaire pour des raisons légales ou réglementaires, auquel cas le point i) ci-dessous s'applique. Si les informations sur le bénéficiaire ont été cryptées, le fournisseur remettra toutes les clés de cryptage nécessaires pour décrypter les informations sur le bénéficiaire. Si la restitution est impossible, mais que la destruction est possible, le fournisseur mettra en place un processus de destruction sécurisée des supports contenant des informations sur les bénéficiaires - par exemple, le déchiquetage des documents papier ou la destruction physique (nettoyage des supports) des disques durs.
  8. Conserver en toute sécurité les informations relatives aux bénéficiaires qui doivent être conservées pour des raisons légales ou réglementaires (survie des obligations, par exemple, conservation des données) aussi longtemps que l'exige la loi ou la réglementation et ne les utiliser qu'aux fins ainsi requises.
  9. Disposer de politiques de contrôle de la conservation des copies de sauvegarde.

Section 6 : Sécurité des ressources humaines

Généralités : Veiller à ce que le personnel se comporte de manière à soutenir la politique et la stratégie en matière de sécurité de l'information et de protection de la vie privée et à ce qu'une protection adéquate soit assurée lors du traitement de toute donnée à caractère personnel.

Le fournisseur s'engage à :

  1. Veiller à ce que toutes les informations sur les bénéficiaires ne soient mises à la disposition que du personnel, des sous-traitants et des consultants qui ont un besoin professionnel légitime d'accéder aux informations sur les bénéficiaires.
  2. S'assurer que tout le personnel du fournisseur, les sous-traitants et les consultants reçoivent une formation adéquate et des instructions claires pour répondre aux besoins de fournir les services convenus au Bénéficiaire, en particulier pour la portée de tout traitement de données à caractère personnel.
  3. S'assurer que les membres de son personnel, les sous-traitants et les consultants qui effectuent des tâches pour le bénéficiaire sont conscients des obligations de confidentialité du fournisseur en vertu de la convention ainsi que de l'utilisation acceptée de l'information, des installations et des systèmes du bénéficiaire et qu'ils ont signé les ententes appropriées.
  4. Communication des informations sur le bénéficiaire aux seules personnes autorisées.
  5. Prendre des mesures disciplinaires efficaces et mesurées à l'encontre des personnes qui accèdent aux données à caractère personnel sans autorisation.
  6. Être en mesure de certifier et d'attester à tout moment les noms et les coordonnées (tels que le numéro de téléphone et l'adresse électronique) de tous ses employés, consultants, sous-traitants et autres personnes travaillant sous la responsabilité du fournisseur et qui exécutent des services dans le cadre de la convention. Ces informations ne peuvent être utilisées par le Bénéficiaire que dans des situations d'audit comme référence pour vérifier la validité des droits d'accès délivrés aux systèmes informatiques ou aux locaux du Bénéficiaire.
  7. Tenir une liste à jour avec les détails d'identification des administrateurs du système (par exemple, le nom, le prénom, la fonction ou le domaine organisationnel) et les tâches assignées, et la fournir rapidement au bénéficiaire sur demande en cas d'audit.
  8. Être responsable d'informer le Bénéficiaire sans délai excessif de tout changement concernant son personnel clé qui travaille sur la mission ou fait partie de la convention, y compris la fonction de personne de contact pour le Bénéficiaire.
  9. Permettre au bénéficiaire de transférer des parties des informations relatives au personnel du fournisseur à un tiers si ce dernier héberge un service pour le compte du bénéficiaire auquel le fournisseur doit avoir accès.
  10. Accepter que le Bénéficiaire ait le droit de demander et de recevoir des engagements individuels de la part des employés, consultants, sous-traitants et autres représentants du Fournisseur, déclarant que la personne en question a compris et se conformera à certaines obligations et à l'utilisation acceptée des systèmes et des installations.

Section 7 : Sécurité physique et environnementale

Généralités : Protéger les équipements et les services des installations informatiques contre les attaques malveillantes, les dommages accidentels, les risques naturels et l'accès physique non autorisé, afin de garantir que les équipements essentiels sont disponibles en cas de besoin et d'éviter que des services importants ne soient perturbés par la perte ou la détérioration d'équipements ou d'installations.

Locaux du fournisseur du fournisseur

Le fournisseur s'engage à :

  1. Respecter toutes les lois et réglementations applicables, y compris, mais sans s'y limiter, les lois et réglementations relatives à la protection de la vie privée, et veiller à ce que toutes les autorisations requises soient obtenues auprès des autorités compétentes lors de l'exécution de sa mission dans le cadre de l'accord.
  2. Respecter les dispositions suivantes pour sécuriser les informations ou les biens du bénéficiaire s'ils sont traités ou stockés dans les locaux du fournisseur, de son sous-traitant et/ou de son consultant :
  1. S'assurer que tout centre de données hébergeant des informations, des applications et des infrastructures du bénéficiaire dispose d'une protection physique et environnementale appropriée, conformément à la législation et à la réglementation applicables et aux meilleures pratiques du secteur.
  2. Disposer d'un périmètre adéquat et de contrôles d'entrée conformes aux normes et aux réglementations locales afin de s'assurer que seul le personnel autorisé a accès au site.
  • La prévention de l'accès de personnes non autorisées à l'équipement de traitement des données où les informations sur les bénéficiaires sont traitées ou utilisées est assurée par les moyens suivants :
  • Protection et restriction des voies d'accès.
  • Établir des procédures d'autorisation d'accès pour les employés et les tiers, y compris la documentation correspondante.
  • Tous les accès aux centres de données où sont hébergées les informations sur les bénéficiaires sont enregistrés et surveillés.
  • Création de zones de sécurité dans les centres de données, par exemple pour les téléphones et les ordinateurs personnels.
  • Réglementation et restrictions concernant les cartes.
  • Les données d'authentification doivent être individuelles.
  • Prévoir que les entrées des installations de traitement des données (les salles abritant le matériel informatique et les équipements connexes) puissent être fermées à clé.
  • Les centres de données où sont hébergées les informations sur les bénéficiaires sont sécurisés par un système d'alarme et d'autres mesures de sécurité appropriées.
  1. Veiller à ce que les informations relatives aux bénéficiaires soient protégées contre le vol, la manipulation ou la destruction.

Locaux du bénéficiaire

Le fournisseur devra (le cas échéant) :

  1. S'assurer que tous les employés et sous-traitants connaissent et respectent les dispositions du Bénéficiaire en matière de sûreté et de sécurité lorsqu'ils effectuent des travaux dans les locaux du Bénéficiaire. Le fournisseur est responsable de s'informer, d'informer ses employés et ses sous-traitants des règlements de sûreté et de sécurité applicables dans les locaux du bénéficiaire de temps à autre.
  2. Veiller à ce que l'accès aux locaux et aux biens du bénéficiaire soit soumis à des règles spécifiques :
  1. Les réglementations locales relatives aux locaux du Bénéficiaire doivent être respectées lorsque le Fournisseur fournit des services dans le cadre de la Convention.
  2. Lorsqu'il travaille dans les locaux du Bénéficiaire, le personnel du Fournisseur doit porter une carte d'identité ou un badge de visiteur visible à tout moment.
  • Les procédures de demande et les conditions de responsabilité pour l'admission dans les locaux du Bénéficiaire sont stipulées par le Bénéficiaire et doivent être traitées conformément aux procédures du Bénéficiaire si aucune autre disposition n'est spécifiquement convenue.
  1. Après avoir terminé sa mission dans le cadre de la Convention, ou lorsque le personnel du Fournisseur est affecté à d'autres tâches, le Fournisseur informera sans délai le Bénéficiaire du changement, et restituera ou modifiera la distribution des clés, des cartes-clés, des certificats, des badges de visiteur et de tout autre matériel distribué.
  2. La perte de clés ou de cartes-clés du Bénéficiaire est signalée sans délai au Bénéficiaire conformément aux instructions définies dans la Convention ou, si cela n'a pas été spécifiquement convenu, conformément aux procédures générales du Bénéficiaire en matière de droits d'accès.
  3. En cas de non-respect de la convention par le fournisseur, le bénéficiaire a le droit de refuser, avec effet immédiat, l'accès aux locaux du bénéficiaire et de demander que toutes les clés, cartes-clés, etc. remises lui soient restituées sans délai.

Section 8 : Communication et gestion des opérations

Généralités : Protéger les informations critiques et sensibles du bénéficiaire lorsqu'elles sont traitées par le fournisseur ou lorsqu'elles sont transmises entre le bénéficiaire et les fournisseurs.

Le fournisseur s'engage à :

  1. Mettre en place une protection appropriée de la sécurité de l'information et de la confidentialité des données dans tous les lieux où sont traitées les informations sur les bénéficiaires, conformément à la législation et aux réglementations applicables, ainsi qu'aux meilleures pratiques de l'industrie. Cela comprend, sans s'y limiter : les routines d'administration de la sécurité, le contrôle d'accès, la protection contre les logiciels malveillants, la détection des incidents, la gestion des journaux, l'analyse de la vulnérabilité, les tests de pénétration, la reprise après sinistre, la gestion des clés, la gestion de la sécurité du réseau, les pare-feux les plus modernes et la protection physique des ressources informatiques.
  2. Mettre en œuvre des mesures appropriées pour surveiller ses administrateurs de système et s'assurer qu'ils agissent conformément aux instructions reçues. Pour ce faire, il faut
  3. Nomination individuelle des administrateurs de système.
  4. Adoption de mesures appropriées pour enregistrer les journaux d'accès des administrateurs de système et les conserver de manière sûre, précise et non modifiée pendant au moins six mois.
  • Pour les administrateurs de système ayant potentiellement accès à des informations hautement critiques sur le bénéficiaire, y compris des catégories particulières de données à caractère personnel, effectuer des audits bimensuels des activités des administrateurs afin d'évaluer la conformité avec les tâches assignées, les instructions reçues du bénéficiaire ou de son adjoint et les lois applicables.
  1. Garder les informations du bénéficiaire classées par le bénéficiaire comme strictement confidentielles, y compris les catégories spéciales de données à caractère personnel, fortement cryptées au moyen d'un cryptage de pointe lorsqu'elles sont en transit et au repos.
  2. Ne pas fournir de services ou de logiciels nuisibles au traitement des informations sur les bénéficiaires ou à leur(s) système(s).
  3. Disposer d'un processus formel et bien défini de gestion des changements, y compris la gestion des correctifs de sécurité, qui comporte au minimum une procédure formelle de "demande de changement" (RFC), une méthode structurée pour tester les changements avant de les mettre en production, une procédure formelle d'approbation des changements proposés, la communication des changements à toutes les personnes et parties prenantes concernées et un ensemble défini de procédures pour remédier aux changements infructueux et aux événements imprévus.
  4. Effectuer la communication des données relatives aux informations sur le bénéficiaire de manière sécurisée (par exemple, en utilisant un cryptage fort de bout en bout pendant la transmission ou en utilisant des liens de communication auxquels le bénéficiaire fait confiance). Toute exception à cette règle nécessite le consentement écrit du bénéficiaire.
  5. Évitez de stocker les informations relatives aux bénéficiaires sur des supports de stockage mobiles à des fins de transport et sur des ordinateurs portables ou d'autres appareils mobiles ou uniquement avec une protection par cryptage forte.
  6. Dans la mesure du possible, toutes les transmissions de données, y compris les informations sur les bénéficiaires, sont enregistrées afin de permettre un contrôle.
  7. Permettre l'accès aux informations concernant le Bénéficiaire uniquement au personnel du Fournisseur qui est responsable de l'affectation. Si l'un des membres du personnel du fournisseur obtient un accès non autorisé aux informations concernant le bénéficiaire, il doit le signaler sans délai au bénéficiaire.
  8. Veiller à ce que le stockage des informations relatives aux bénéficiaires soit séparé de manière adéquate afin d'éviter tout mélange accidentel avec les données d'autres clients sur différents types de supports et que le service fournisse une résilience, ce qui s'applique également aux sauvegardes. En outre, le fournisseur doit mettre en œuvre des mesures appropriées pour garantir que les données à caractère personnel collectées à des fins différentes peuvent être traitées séparément. Pour ce faire, il doit
  9. L'accès aux données personnelles est séparé par la sécurité des applications pour les utilisateurs appropriés.
  10. Les modules de la base de données du fournisseur permettent de déterminer quelles données à caractère personnel sont utilisées à quelles fins (c'est-à-dire par fonctionnalité et par fonction).
  • Au niveau de la base de données, les données personnelles sont stockées dans différentes tables normalisées, séparées par module ou fonction qu'elles supportent.
  1. Veiller à ce que les interfaces, les processus par lots et les rapports soient conçus uniquement pour des objectifs et des fonctions spécifiques, de sorte que les données à caractère personnel collectées à des fins spécifiques soient traitées séparément.
  2. Veiller à ce que des copies de sauvegarde des informations sur le bénéficiaire traitées pour le compte du bénéficiaire soient effectuées et que ces copies de sauvegarde puissent être restaurées lorsque les informations sur le bénéficiaire sont traitées dans l'environnement du fournisseur.
  3. Veiller à ce que les copies de sauvegarde soient traitées avec la même confidentialité que les informations originales sur le bénéficiaire.
  4. Veiller à ce que les copies de sauvegarde soient conservées séparément des informations originales sur le bénéficiaire afin d'éviter la destruction simultanée des données originales et de la copie de sauvegarde en cas de catastrophe.
  5. S'assurer que les sauvegardes quotidiennes sont conservées pendant au moins 180 jours si cela n'est pas spécifiquement stipulé dans l'accord.
  6. Veiller à ce que les systèmes et les réseaux exploités par le fournisseur et liés à sa mission dans le cadre du contrat soient configurés de manière cohérente et précise et que les paramètres de sécurité approuvés soient appliqués afin que les systèmes et les réseaux fonctionnent comme prévu, soient disponibles en cas de besoin et ne révèlent pas de détails techniques superflus.
  7. Veiller à ce que l'environnement utilisé pour les fonctions spécifiées dans la convention soit surveillé de manière à permettre la détection et la traçabilité de tout événement portant atteinte aux informations du bénéficiaire et/ou à la sécurité informatique.
  8. Maintenir les pistes d'audit nécessaires, conformément à la législation applicable ou à toute autre disposition de l'accord.
  9. Sur demande du bénéficiaire, fournir des pistes d'audit et des journaux d'événements de sécurité concernant les informations relatives au bénéficiaire.

Section 9 : Contrôle d'accès

Généralités : Seules les personnes autorisées ont accès aux applications, systèmes d'information, réseaux et dispositifs informatiques de l'entreprise, veiller à ce que la responsabilité individuelle soit assurée et accorder aux utilisateurs autorisés des privilèges d'accès suffisants pour leur permettre de s'acquitter de leurs tâches sans pour autant leur permettre d'outrepasser leur autorité.

Authentification

Le fournisseur s'engage à :

  1. Accéder à l'information, aux fonctions ou aux locaux du bénéficiaire uniquement dans la mesure décrite dans les obligations spécifiquement convenues par écrit entre le bénéficiaire et le fournisseur et après l'approbation requise.
  2. Veiller à ce qu'une politique de mot de passe solide s'applique à tous les services informatiques utilisés dans le cadre du présent accord.
  3. Fournir un accès à distance avec une authentification à deux facteurs pour l'administrateur informatique et pour chaque utilisateur accédant aux informations sur les bénéficiaires.
  4. Suspendre automatiquement les droits d'accès après plusieurs tentatives de connexion infructueuses ou soumettre un captcha après quelques tentatives de connexion infructueuses.
  5. Enregistrer les tentatives de connexion réussies et échouées et mettre ces enregistrements à disposition à des fins de contrôle et de suivi.
  6. Déconnexion automatique des identifiants d'utilisateurs qui n'ont pas été utilisés pendant une longue période.

Autorisation

Le fournisseur s'engage à :

  1. disposer d'une politique d'autorisation pour l'accès et l'introduction des informations sur les bénéficiaires dans les services, ainsi que pour la lecture, la modification et la suppression des informations sur les bénéficiaires stockées.
  2. Veiller à ce que l'accès à des fonctions spécifiques soit basé sur des rôles et/ou des attributs assignés individuellement à chaque compte d'utilisateur.

Administration des utilisateurs pour les ressources informatiques du fournisseur

Le fournisseur s'engage à :

  1. Veiller à ce que l'étendue de l'accès soit toujours basée sur le principe du "moindre privilège nécessaire".
  2. Tenir un registre de chaque modification de ses droits d'accès et conserver ces registres pendant au moins 18 mois à compter de la date à laquelle le droit d'accès a été modifié.
  3. Fournir sur demande une liste actualisée de toutes les personnes qui ont accès aux informations ou aux fonctionnalités relatives aux bénéficiaires et dont les droits d'accès sont contrôlés par le fournisseur.
  4. Disposer d'une procédure documentée et veiller à ce que tous les accès aux informations ou aux fonctionnalités relatives aux bénéficiaires soient contrôlés sur une base individuelle et que toutes les activités soient enregistrées conformément à la législation applicable et aux meilleures pratiques du secteur.
  5. Mettre à la disposition des bénéficiaires des journaux d'événements relatifs à l'administration par les utilisateurs de l'accès aux informations sur les bénéficiaires.
  6. Veiller à ce que tous les droits d'accès liés aux informations ou aux fonctionnalités relatives aux bénéficiaires soient réexaminés au moins tous les six mois.
  7. Veiller à ce que tous les identifiants soient personnels et utilisés uniquement par la ou les personne(s) désignée(s).
  8. Disposer d'une procédure de contrôle des droits d'accès des administrateurs.
  9. Veiller à ce que tout accès aux ressources informatiques utilisées dans le cadre de l'accord soit effectué de manière sécurisée.
  10. Permettre au bénéficiaire, à tout moment, de révoquer ou d'initier la révocation des droits d'accès aux informations du bénéficiaire dans le cas où le fournisseur ne se conforme pas à ces obligations de sécurité ou à la convention ou pour toute autre raison légitime.

Administration des utilisateurs pour les ressources informatiques du bénéficiaire

  1. Les droits d'accès aux ressources informatiques du Bénéficiaire ne sont accordés qu'au personnel du Fournisseur affecté aux services tels que spécifiés dans la Convention.
  2. Les droits d'accès aux ressources informatiques du bénéficiaire sont accordés et révoqués pour le personnel du fournisseur conformément aux procédures du bénéficiaire.
  3. Les méthodes à utiliser pour l'accès à distance à l'environnement du Bénéficiaire sont spécifiées dans la Convention. Aucune autre forme d'accès à distance à l'équipement ou aux services du Bénéficiaire n'est autorisée.

Contrôles d'application spécifiques relatifs aux données personnelles

Le fournisseur assure un accès correct aux données à caractère personnel :

  1.  
  2. Mesures de protection pour les données personnelles saisies dans les applications, ainsi que pour la lecture, la modification et la suppression des données personnelles stockées.
  3. mettre en œuvre des mesures appropriées pour garantir qu'il est possible de vérifier et d'établir si et par qui les données à caractère personnel ont été introduites dans les systèmes de traitement des données ou supprimées.
  4. Fournir une capacité de contrôle des personnes qui suppriment, ajoutent ou modifient les données à caractère personnel.
  5. Permettre au bénéficiaire de vérifier et d'établir si et par qui des données à caractère personnel ont été introduites, modifiées ou supprimées des systèmes de traitement des données.

Section 10 : Acquisition, développement et maintenance des systèmes d'information

Généralités : Veiller à ce que les obligations en matière de sécurité de l'information soient considérées comme faisant partie intégrante des obligations de l'entreprise, pleinement prises en compte et approuvées dans le cadre des activités d'acquisition, de développement et de maintenance des systèmes.

Le fournisseur s'engage à :

  1. Utiliser une méthodologie de développement de systèmes structurée et approuvée pour intégrer les fonctionnalités requises en matière de sécurité de l'information et de protection de la vie privée dans les systèmes au cours du développement.
  2. Demander et utiliser la méthodologie de développement de systèmes approuvée par le bénéficiaire dans le cas où des systèmes ou des applications sont développés directement pour le bénéficiaire.
  3. Veiller à ce que des contrôles appropriés soient conçus dans les applications utilisées pour la fourniture de services informatiques au bénéficiaire, y compris les applications développées par le bénéficiaire lui-même, afin de garantir un traitement correct. Ces contrôles comprennent l'authentification, la gestion des sessions, le contrôle d'accès et l'autorisation, la validation des entrées, l'encodage et l'encodage des sorties, la cryptographie, le traitement des erreurs, la journalisation, la protection des données, la sécurité des communications et la configuration de la sécurité.
  4. Utiliser des techniques de cryptage appropriées pour protéger les informations sur les bénéficiaires classées comme confidentielles et strictement confidentielles (lorsque le cryptage ne peut être mis en œuvre, des contrôles compensatoires appropriés doivent être mis en œuvre pour réduire le risque de divulgation non autorisée).
  5. Veiller à ce que la gestion des clés de chiffrement soit en place pour permettre l'application des techniques de chiffrement autorisées.
  6. Soutenir l'utilisation de la cryptographie par des procédures et des protocoles pour la création, la modification, la révocation, la destruction, la distribution, la certification, le stockage, l'utilisation et l'archivage des clés cryptographiques afin de garantir la protection des clés contre la modification et la divulgation non autorisée.
  7. Les modifications apportées aux systèmes existants doivent suivre un processus formel de documentation, de spécification, d'essai, de contrôle de la qualité et de gestion de la mise en œuvre.
  8. Veiller à ce que des tests de vérification soient effectués chaque fois que des modifications importantes sont apportées à l'application et que ces tests de vérification comprennent également des tests de sécurité de l'application.
  9. Veiller à ce que, lors de l'utilisation d'informations en direct provenant d'un environnement de production à des fins de test dans le cadre du développement d'un système, les informations soient rendues non identifiables (c'est-à-dire qu'il soit impossible de les associer à une personne ou à un utilisateur) si cela est possible. Rendre les données à caractère personnel non identifiables est un processus à sens unique, c'est-à-dire qu'il ne doit pas être possible de générer les données à caractère personnel d'origine par quelque moyen que ce soit à partir des données à caractère personnel rendues non identifiables. S'il n'est pas possible d'utiliser des informations de test non identifiables, les instructions données par le bénéficiaire doivent être suivies dans le traitement des informations de test. L'obtention d'informations à des fins de test à partir d'un environnement de production nécessite toujours le consentement écrit préalable du bénéficiaire.
  10. Si le bénéficiaire l'exige avant la signature de la convention, garantir au bénéficiaire l'accès à tout code source développé ou conservé en tant que livraison ou résultat dans le cadre de la convention par le biais d'un accord de séquestre avec une partie externe de confiance (par exemple, un cabinet d'avocats ou une chambre de commerce).

Section 11 : Gestion des incidents liés à la sécurité de l'information

Généralités : Identifier et résoudre rapidement et efficacement les incidents de sécurité, minimiser leur impact et réduire le risque que des incidents similaires se produisent à l'avenir.

Le fournisseur s'engage à :

  1. Fournir des informations sur les incidents.
  2. Consigner tout incident de sécurité détecté, ainsi que les procédures de récupération des données suivies et l'identification de la personne qui les a exécutées.
  3. Signaler sans délai excessif tout incident grave, y compris la fraude, susceptible d'inclure ou d'affecter le bénéficiaire ou ses employés, clients ou partenaires commerciaux. Le fournisseur prendra, en consultation avec le bénéficiaire, toutes les mesures nécessaires pour atténuer le préjudice éventuel que de tels incidents peuvent causer.
  4. Coopérer avec le Bénéficiaire dans le traitement d'un tel incident tel que décrit dans le paragraphe ci-dessus et donner au Bénéficiaire un aperçu complet de la cause et des conséquences de l'incident.
  5. Remettre un rapport écrit indiquant la cause de l'incident, les conséquences de l'incident et les mesures prises pour éviter des événements similaires.
  6. Signaler sans délai toute demande d'accès à des informations sur le bénéficiaire, y compris des données à caractère personnel, émanant d'une tierce personne, y compris d'un fonctionnaire ou d'une autorité de contrôle des données.

Fournir une assistance et un soutien raisonnable au bénéficiaire en cas d'action en justice impliquant ou nécessitant des informations sur le bénéficiaire (par exemple, des demandes de découverte électronique ou des enquêtes médico-légales).

Section 12 : Gestion de la continuité des activités

Généralités : Préparation aux perturbations dans des circonstances normales et aux états d'urgence. Aider à aligner les objectifs de continuité des activités afin de fournir une résilience contre les perturbations et de minimiser l'impact sur le Bénéficiaire en cas de catastrophe ou d'urgence.

Le fournisseur s'engage à :

  1. Assurer sa capacité à poursuivre ses activités et la suffisance de ses ressources en cas de perturbations dans des circonstances normales et pour les états d'urgence.
  2. Élaborer des dispositifs de continuité, y compris des plans de continuité des activités, en fonction de l'accord et conformément aux meilleures pratiques en matière de sécurité.
  3. Procéder à des évaluations des risques afin d'identifier tout événement susceptible d'interrompre les processus opérationnels et, dans une mesure raisonnable, mettre en place des dispositifs de continuité complets afin d'atténuer les effets de ces événements.
  4. Atténuer tout risque substantiel de dépendance du personnel clé (par exemple, par le transfert de connaissances à d'autres membres du personnel) afin d'assurer la continuité.
  5. tester régulièrement les mesures garantissant la fourniture des services lorsque de telles mesures sont mises en place.
  6. S'assurer qu'il existe un calendrier de tests qui détaille comment et quand chaque élément des dispositions de continuité doit être et a été testé. Les preuves des tests effectués doivent être conservées par le fournisseur et mises à la disposition du bénéficiaire sur demande, démontrant que les opérations/services peuvent reprendre dans les délais convenus.

Veiller à ce que les dispositions de continuité relatives à tout sous-traitant supplémentaire existent comme spécifié dans le plan de continuité.

Section 13 : Conformité

Généralités : Gérer un programme de conformité conçu pour fournir une assurance quant à l'efficacité des contrôles tels que définis dans l'accord.

Le fournisseur s'engage à :

  1. Veiller à ce que tous les employés du fournisseur, ainsi que les sous-traitants et les consultants, et leurs employés, se conforment aux présentes obligations de sécurité et à toute autre obligation de sécurité supplémentaire énoncée dans l'accord.
  2. Fournir au bénéficiaire une notification annuelle de conformité relative à ces obligations de sécurité, y compris les incidents apparus avec tout risque pour les informations du bénéficiaire.
  3. Le Bénéficiaire convient que si le Fournisseur ne respecte pas ces obligations de sécurité, ou toute autre obligation de sécurité supplémentaire énoncée dans la Convention, et que ce non-respect n'est pas résolu dans les 30 jours suivant la réception d'un avis écrit, le Bénéficiaire peut, sans pénalité, moyennant un nouvel avis au Fournisseur, résilier partiellement ou entièrement la Convention ou tout bon de commande émis dans le cadre de cette dernière.
  4. Permettre au Bénéficiaire d'effectuer des audits afin de vérifier la conformité du Fournisseur avec ces Obligations de Sécurité et toutes Obligations de Sécurité supplémentaires énoncées dans la Convention, y compris la désignation d'un tiers indépendant.
  5. Comme alternative à d) : Le fournisseur peut démontrer qu'il respecte ces obligations de sécurité en fournissant au bénéficiaire des rapports d'audit de tiers indépendants.
  6. maintenir des processus permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles énoncées dans les présentes obligations de sécurité afin de garantir la sécurité du traitement des informations relatives aux bénéficiaires.

Accueil
Solutions

Études de cas

À propos de nous

Blog