Politique de sécurité
- Amilon met en œuvre une politique de sécurité de l’information adaptée à son domaine de service, avec une attention particulière au traitement des données personnelles.
- Amilon met à jour sa politique de sécurité au moins une fois par an et en informe ses employés, ses collaborateurs et les tiers impliqués dans le traitement des données.
Rôles et responsabilités
- Amilon définit, documente et informe les autres sur les rôles et responsabilités du personnel impliqué dans la gestion des processus de protection des données.
- Les rôles et les domaines de responsabilité attribués aux principaux acteurs impliqués dans la gestion de la protection des données (par exemple, le responsable de la sécurité, l’auditeur de sécurité, le DPD) sont définis conformément au principe de séparation des tâches, c’est-à-dire qu’ils sont aussi distincts et indépendants que possible.
Gestion de l’accès
- Amilon établit, documente et met en œuvre une politique d’accès avec des règles précises de contrôle d’accès, avec des droits et des restrictions spécifiques en fonction du rôle joué par l’utilisateur dans le traitement des données personnelles.
- Sur la base de critères d’éligibilité vérifiés, Amilon identifie les rôles auxquels sont attribués des pouvoirs d’administrateur et limite leur attribution à un nombre minimum d’utilisateurs.
- Amilon met en place un système de contrôle d’accès pour tous les utilisateurs des systèmes d’information qui prévoit la création, l’approbation, le suivi et la suppression des comptes.
- L’utilisation de comptes génériques ou partagés n’est pas autorisée, les comptes sont donc individuels et uniques.
- Le mécanisme d’authentification mis en place permet d’accéder aux systèmes par l’utilisation d’un identifiant et d’un mot de passe ou par une authentification biométrique (empreintes digitales). Le mot de passe est complexe (longueur, chiffres, lettres, caractères spéciaux) et est valable pour une durée maximale de 90 jours. Après 90 jours, l’utilisateur est obligé de le changer.
- La politique de mot de passe est formellement documentée et distribuée au personnel.
- Les mots de passe des utilisateurs sont stockés sous forme hachée, c’est-à-dire cryptés avec un algorithme qui ne permet pas la réversibilité du cryptage.
Gestion des actifs
- Amilon établit un inventaire des actifs informatiques (matériel, logiciel, réseau) utilisés pour le traitement des données personnelles et le tient à jour ; l’inventaire contient les informations suivantes : actif, type, localisation, gestionnaire de l’actif, affectataire de l’actif.
- Amilon identifie le personnel qui peut ou non avoir accès à chaque actif informationnel, en particulier s’il est impliqué dans le traitement de données personnelles particulières.
Gestion du changement
- Amilon enregistre et contrôle toutes les modifications apportées à ses actifs informatiques par le personnel autorisé.
- Les tâches de développement sont effectuées dans un environnement protégé et séparé des systèmes informatiques utilisés pour le traitement des données personnelles.
- L’environnement de test, distinct des environnements de développement et de production, ne contient pas de données réelles et, si elles sont présentes, elles sont protégées par des mesures de sécurité équivalentes à celles présentes dans l’environnement de production.
- Amilon établit et documente une politique de gestion des changements qui définit les rôles et les responsabilités des fonctions concernées et le processus de contrôle.
Gestion des incidents
- Amilon met en œuvre un plan de gestion des incidents.
- Amilon met en œuvre une procédure de gestion des violations de données et de notification au contrôleur de la protection des données.
- Amilon dispose d’un registre des incidents à fort impact (y compris les violations de données) dans lequel il indique les mesures d’atténuation prises.
Continuité des activités et reprise après sinistre
- Amilon établit, documente et met en œuvre un plan de continuité des activités qui définit le niveau de service garanti et identifie les rôles et responsabilités impliqués dans le processus.
- Amilon établit, documente et met en œuvre un plan de reprise après sinistre.
Formation du personnel
- Les principes de base et les règles de protection des données sont diffusés à l’ensemble du personnel.
- Des formations spécifiques et des programmes de remise à niveau sont prévus pour le GDPR, en fonction du rôle joué par le personnel dans le traitement des données personnelles.
Journalisation et suivi
- Les journaux d’accès à tous les systèmes d’information sont suivis et stockés en toute sécurité.
- Les actions prises par les administrateurs du système, y compris l’ajout, la modification ou la suppression des privilèges des utilisateurs, font l’objet d’un suivi.
- L’accès aux journaux et toute modification sont à leur tour suivis par les journaux.
- Un processus de contrôle périodique des journaux est mis en place.
Sécurité des bases de données et des serveurs
- Les bases de données et les serveurs d’application sont configurés selon le principe de la minimisation des données (les systèmes ne contiennent pas plus de données que ce qui est strictement nécessaire).
- Des comptes distincts sont nécessaires pour opérer au niveau des bases de données et des serveurs d’application, tandis qu’au niveau du système d’exploitation, des privilèges minimums sont accordés.
Sécurité des postes de travail
- Les utilisateurs assignés à la station de travail ne peuvent pas désactiver ou contourner les paramètres de sécurité.
- Un logiciel anti-virus et de signature de détection est configuré sur tous les ordinateurs.
- Les ordinateurs sont configurés pour verrouiller automatiquement la session après une certaine période d’inactivité de l’utilisateur (5 minutes).
- L’utilisateur est bloqué pendant 10 minutes en cas de 5 saisies erronées du mot de passe d’accès.
- Les mises à jour pertinentes publiées par le développeur du système d’exploitation sont installées régulièrement.
- La possibilité de transférer des données personnelles du poste de travail vers un support de stockage externe (par exemple USB, disques durs externes, CD/DVD) est découragée par la définition de normes comportementales.
Sécurité des réseaux et des communications
- Les transmissions d’informations via Internet sont protégées par l’utilisation de protocoles de communication cryptés ; en particulier, Amilon adopte les protocoles https/ftps.
- L’accès aux systèmes informatiques via le réseau sans fil n’est permis qu’aux utilisateurs et aux systèmes autorisés par le département des systèmes.
- Si nécessaire, l’accès à distance n’est effectué que par des dispositifs préautorisés par le biais d’un réseau privé virtuel (VPN).
- Le trafic entrant et sortant des systèmes informatiques est surveillé et contrôlé par des pare-feu et des systèmes de détection d’intrusion.
Sauvegarde et restauration
- Les sauvegardes sont stockées de manière sécurisée, selon des règles et des procédures établies en fonction du type de données et du service qui les utilise.
- L’exécution des sauvegardes est contrôlée et des tests de restauration périodiques sont effectués pour évaluer leur cohérence et leur exhaustivité.
- Des sauvegardes totales et incrémentielles des données relatives aux mouvements des cartes cadeaux sont effectuées quotidiennement.
Appareil mobile
- L’utilisation des appareils mobiles et portables est réglementée par la rédaction et la publication de règles de comportement.
Sécurité du cycle de vie des applications
- Au cours des premières étapes du développement d’un logiciel, certaines exigences de sécurité sont définies.
- Le cycle de vie des applications est guidé par l’utilisation et la consultation des meilleures pratiques et des normes de codage sécurisé (https://safecode.org/).
- Une évaluation des vulnérabilités et des tests de pénétration sont effectués périodiquement.
- Les correctifs sont testés et autorisés dans l’environnement de test avant d’être installés dans l’environnement de production.
Suppression et élimination des données
- Tous les dispositifs sont susceptibles d’être réécrits avant leur élimination.
- Amilon décourage l’utilisation de supports papier pour les documents contenant des données personnelles et/ou classifiées ; toutefois, lorsque cela est nécessaire, ces documents sont stockés en toute sécurité dans des armoires et/ou des tiroirs verrouillés, ou détruits de manière sécurisée.
- Les dispositifs informatiques dont les données ne peuvent être effacées de manière sûre sont physiquement détruits de manière à rendre les données irrécupérables.
Sécurité physique
- Les systèmes d’information sont protégés par des barrières physiques contre les accès non autorisés.
- Les entrées dans les salles contenant des systèmes d’information sont enregistrées et contrôlées.
- Le personnel d’entretien et les visiteurs sont enregistrés et accompagnés par une personne de contact interne autorisée pendant toute la durée de leur visite.
- Amilon dispose d’un plan de sécurité physique et, grâce à un programme d’information approprié, il est rappelé à ses employés et collaborateurs qu’ils doivent adopter un comportement approprié.
- L’accès aux bureaux par le personnel est autorisé par l’utilisation de badges magnétiques.