Mesures de Sécurité – Mesures techniques et organisationnelles pour les activités de téléservices (télésurveillance, télévidéosécurités et télémaintenance) Chubb Delta télésurveillance, marque commerciale SMC.
Les mesures techniques et organisationnelles suivantes ont été mises en œuvre par Chubb Delta Télésurveillance pour la protection, la collecte, le traitement et / ou l’utilisation des informations personnelles.
A. Généralités
Actions mises en œuvre afin d’assurer que les processus liés à la protection des données personnelles soient à jour, correctement mis en œuvre, appliqués par tout le personnel et adaptés en cas de besoin :
- Procédure en cours pour adopter des “Règles d’Entreprise Contraignantes” BCRPolitique de confidentialité
- Revue annuelle des mesures techniques et organisationnelles d’efficacité et de probabilité
- Évaluation des données à haut risque et des activités de traitement et développement de solutions pour prévenir ou réduire les risques
- Application de politiques et procédures robustes de protection des données et de sécurité des informations
- Mise en œuvre d’un « plan de réponse aux violations de données » robuste, qui traite de la réponse à apporter et de la correction de toute violation de données réelle le cas échéant
- Processus de traitement des demandes et des réclamations
- Formation régulière des employés (en ligne et en présentiel)
- Examiner et auditer les fonctions / processus, activités et systèmes vis-à-vis de nos procédures et de la réglementation
- PIA (évaluation des risques) de nos outils, systèmes et fournisseurs au-delà des exigences RGPD
- Campagne de sensibilisation au phishing et continue pour tous les employés et consultants travaillant sur le réseau de l’entreprise
- Mise en place d’une infrastructure de gouvernance en mesure de garantir le respect de la confidentialité des données. Celle-ci consiste en :
Un responsable de l’éthique et de la conformité (ECO)
Un programme médiateur
Une équipe en charge des données privées avec une personne dédiée au niveau européen pour le groupe
Un Délégué à la Protection des Données (DPO)
Un comité consultatif sur la protection des données
Un service pour la protection des données
B. Contrôle des accès physique
Afin de prévenir les accès non autorisés à nos centres de données, nous mettons en place :
- Sécurité électronique 24/7
- Contrôle d’accès par badge avec accès restreint
- Sécurité physique telle que sasse d’accès, porte blindée
- Enregistrement et limitation des visiteurs, contrôle des pièces d’identité, port de badge
- Vidéosurveillance
C. Contrôle des accès aux données
Mise en place de process automatiques pour la consultation / transmission des données :
- Authentification des utilisateurs par login / mot de passe (une politique des mots de passe est en place)
- Gestion des droits d’accès utilisateur
- Mise en place d’anti-virus et de pare-feu
- Création de profil utilisateur, gestion de ces profils pour les équipes Système d’Information
- Utilisation de VPN
- L’usage des équipements IT personnel n’est pas autorisé (BYOD)
D. Utilisation et stockage des données
Prévention des accès non autorisés aux données personnelles (lecture, écriture, copie, suppression) :
- Droits et autorisation en fonction du besoin
- Nombre d’administrateurs réduit au maximum
- Administration des droits par des administrateurs systèmes définis
- Règles de création des mots de passe incluant le nombre de caractère, la complexité et la durée de vie
- Log sur l’accès aux applications, en particulier la saisie, la modification et l’effacement des données
- Destruction certifiée des documents papiers contenant des données personnelles
- Règles de chiffrement des données définies pour les données personnelles exportées en dehors de nos pare-feux
- Des dispositions sont prises pour rendre les informations stockées inexploitables ou irrécupérables avant la destruction ou la restitution des équipements
E. Contrôle du transfert de données
Afin de veiller à la confidentialité et l’intégrité des données lors du transfert d’informations de données personnelles et du transport de supports de stockage de données :
- Mise en place de liens dédiés ou tunnel VPN
- Chiffrement des données pour la transmission via internet (par exemple HTTPS et SFTP)
- Cryptage des documents et mot de passe lorsqu’ils sont donnés à des prestataires extérieurs
- Chiffrement des emails sur demande client ou lorsque des données confidentielles sont identifiées
E. Disponibilité des centres de télésurveillance / Restauration
Moyens de protection contre les destructions accidentelles ou délibérées ou la perte des systèmes garantissant la restauration en cas de problème :
- Réplication en temps réel des données entre nos 2 datacenters sur 2 lieux géographiques différents
- Test régulier de la bonne restauration des données
- Groupes électrogènes et onduleurs pour garantir une alimentation électrique permanente et sans faille
- Contrôle et régulation de la température des datacenters
- Détection et extinction incendie
G. Contrôle de séparation
Garantir que les données collectées pour différents besoins puissent être traitées séparément :
- Evaluation des données pour les nouveaux systèmes et les évolutions de systèmes
- Identifier les différentes catégories de données et leurs fonctions dans les systèmes
- Etablissement d’une base de données des droits d’accès conformément aux règles de moindre privilège
- Gestion des droits au niveau du compte client
- Séparation des bases de données de test et base de données de production