DPA Mesures techniques et organisationnelles de Business Driver

Annexe 4 - Mesures techniques et organisationnelles du Business Driver

Digital Solution accorde une attention particulière à la sécurité et à la protection de ces données personnelles.

Pour la description suivante du statu quo des mesures élémentaires de protection des données, il n'est pas possible de couvrir toutes les mesures de sécurité adoptées par Digital Solution. En particulier en ce qui concerne la protection et la sécurité des données, il n'est pas possible de fournir des descriptions détaillées des mesures confidentielles, car la protection des mesures de sécurité pour éviter la divulgation non autorisée est au moins aussi importante que la mesure de sécurité elle-même.

Le Client est encouragé à parler de chaque problème concernant les mesures techniques et organisationnelles avec le responsable de compte du Client chez Digital Solution ou, le cas échéant, avec le Digital Solution DPO ([email protected]).

 

Protection des données par la protection des données et la conception par défaut (art. 25 L' article 2 du DPR G)

Dans Digital Solution, la protection des données est prise en compte dès que possible en utilisant des ensembles de paramètres compatibles avec la protection des données ("Protection des données dès la conception et protection des données par défaut") pour éviter un traitement illégal ou mauvaise utilisation des données. En adoptant des ensembles de paramètres techniques appropriés, nous entendons garantir la collecte et le traitement uniquement des données personnelles qui sont réellement nécessaires à une fin spécifique (principe de minimisation des données).

Pour obtenir un traitement à faible risque des données personnelles, les mesures de protection suivantes sont adoptées, entre autres:

 

Contrôle de l'accès aux données

Digital Solution applique des politiques détaillées auxquelles le personnel ayant accès aux systèmes d'information est tenu de se conformer et qui visent à garantir une conduite propre à garantir le respect des principes de confidentialité, de disponibilité et d'intégrité des données dans l'utilisation des ressources informatiques.

Digital Solution définit les profils d'accès en respectant le moindre privilège ("privilège minimum") nécessaire à l'exécution des tâches assignées. Les profils d'autorisation sont identifiés et configurés avant le début du traitement, afin de limiter l'accès aux seules données nécessaires à l'exécution de la tâche que l'individu doit effectuer. Ces profils font l'objet de contrôles périodiques visant à vérifier l'existence des conditions de conservation des profils attribués.

Informations d'authentification - Les systèmes sont configurés avec des méthodes appropriées pour n'autoriser l'accès qu'aux sujets possédant des informations d'authentification qui permettent leur identification univoque. Parmi ceux-ci, le code associé à un mot-clé, réservé et connu uniquement par le même; dispositif d'authentification en possession et à usage exclusif de l'utilisateur, éventuellement associé à un code d'identification ou à un mot-clé à usage unique ("OTP").

Mot de passe - En ce qui concerne les caractéristiques de base ou, obligation de modifier le premier accès, longueur minimale, absence d'éléments facilement référencés au sujet, règles de complexité, expiration, historique, évaluation de la robustesse, affichage et stockage, le mot-clé est géré conformément à la les meilleures pratiques de l'industrie. Des instructions ponctuelles sont fournies aux sujets auxquels les pouvoirs sont attribués en relation avec les méthodes à adopter pour assurer leur secret.

Journalisation - Les systèmes sont configurables avec des méthodes qui permettent le traçage des accès et, le cas échéant, des activités menées par les différents types d'utilisateurs protégés par des mesures de sécurité adéquates qui garantissent leur intégrité.

 

Contrôle de transmission

Le transfert de données personnelles à un tiers (par exemple, clients, sous-traitants, prestataire de services) n'est effectué qu'en présence d'un contrat spécifique et uniquement dans un but spécifique. Si des données personnelles sont transférées à des entreprises dont le siège social est en dehors de l'UE / EEE, Digital Solution établit la présence d'un niveau adéquat de protection des données dans le bureau ou l'organisation de destination conformément aux exigences de protection des données de l'Union européenne, par ex. en utilisant des contrats basés sur les clauses contractuelles du modèle de l'UE.

Sécurité des lignes de communication - En ce qui concerne sa compétence, Digital Solution a adopté des protocoles de communication sécurisés en adéquation avec les technologies disponibles (https, tsl, sftp, ftps).

 

Vérification de la disponibilité

Le contrôle de disponibilité est destiné à assurer la protection des données personnelles contre la destruction et la perte accidentelles.

Si les données personnelles ne sont plus nécessaires aux fins pour lesquelles elles ont été traitées, elles sont immédiatement supprimées. Il convient de noter qu'à chaque annulation, les données personnelles, dans un premier temps, ne sont bloquées, puis définitivement supprimées ultérieurement. Cette mesure est prise pour éviter les annulations accidentelles ou les dommages intentionnels.

Pour des raisons techniques, des copies des données personnelles peuvent être présentes dans les fichiers de sauvegarde et peuvent être effectuées en miroir des services. Sans préjudice de l'obligation de conservation des données de la Solution Digitale prévue par la loi (voir le Contrat de Traitement des Données), ces copies sont également supprimées, si nécessaire, avec un délai déterminé techniquement. La disponibilité des systèmes eux-mêmes est garantie conformément au niveau de sécurité nécessaire grâce aux mesures de sécurité relatives (par exemple, mise en miroir des disques durs, systèmes RAID, etc.).

Sauvegarde et restauration - Des mesures appropriées sont prises pour assurer la restauration de l'accès aux données en cas de dommage aux mêmes outils ou aux outils électroniques, à certains moments compatibles avec les droits des parties intéressées. Lorsque les accords contractuels le prévoient, un plan de continuité opérationnelle intégré, le cas échéant, au plan de reprise après sinistre est utilisé; ils garantissent la disponibilité et l'accès aux systèmes même en cas d'événements négatifs importants qui persistent dans le temps.

Protection contre les virus et les logiciels malveillants - Les systèmes sont protégés contre le risque d'intrusion et l'action des programmes en activant périodiquement des instruments électroniques adaptés. Des outils antivirus constamment mis à jour sont utilisés.

 

Contrôle de séparation

Les données personnelles sont utilisées uniquement à des fins internes (par exemple dans le cadre de la relation avec le client). Un transfert à un tiers, tel qu'un sous-traitant, s'effectue exclusivement dans le respect des accords contractuels et de la législation sur la protection des données.

Les employés reçoivent des instructions pour collecter, traiter et utiliser les données personnelles uniquement dans le contexte et aux fins fixés par les tâches qu'ils doivent effectuer (par exemple, la fourniture du service). Au niveau technique, les fonctions multi-clients, la séparation des fonctions et la séparation des systèmes de production et de test sont utilisées à cet effet.

 

Centre de données - L'accès physique au centre de données est limité aux parties autorisées uniquement

Pour plus de détails sur les mesures de sécurité adoptées en référence aux services de centre de données fournis par les processeurs de données supplémentaires, tels qu'identifiés dans le DPA, il est fait référence aux mesures de sécurité indiquées décrites par les mêmes gestionnaires supplémentaires et mises à disposition sur les sites institutionnels concernés aux adresses suivantes adresses (ou à celles qui seront ultérieurement mises à disposition par les Gérants Supplémentaires):

Pour les services de centre de données fournis par Amazon Web Services https://aws.amazon.com/it/compliance/data-center/controls/
Pour les services de centre de données fournis par Microsoft: https://www.microsoft.com/en-us/trustcenter
Pour les services de centre de données fournis par Hetzner Gmbh: https://www.hetzner.com/rechtliches/datenschutz
Pour les services de centre de données fournis par Aruba Spa: https://www.cloud.it/gdpr-protezione-dati-normativa-ue.aspx

 

Durcissement

Des activités de renforcement spécifiques sont en place pour prévenir la survenue d'incidents de sécurité en minimisant les faiblesses architecturales des systèmes d'exploitation, des applications et des équipements réseaux compte tenu notamment de la diminution des risques liés aux vulnérabilités du système, la diminution des risques liés au contexte applicatif présent sur les systèmes et à l'augmentation des niveaux de protection des services fournis par les systèmes eux-mêmes.

 

Évaluation de la vulnérabilité et test de pénétration

Digital Solution réalise périodiquement des activités d'analyse de vulnérabilité visant à détecter l'état d'exposition aux vulnérabilités connues, tant en relation avec les infrastructures que les domaines d'application, en tenant compte des systèmes en fonctionnement ou en développement.

S'ils sont jugés appropriés par rapport aux risques potentiels identifiés, ces contrôles sont périodiquement intégrés à des techniques de Test de Pénétration spécifiques, à travers des simulations d'intrusions utilisant différents scénarios d'attaque, dans le but de vérifier le niveau de sécurité des applications / systèmes / réseaux à travers les activités qui visent à exploiter les vulnérabilités détectées pour contourner les mécanismes de sécurité physiques / logiques et y avoir accès.

Les résultats des contrôles sont minutieusement et minutieusement examinés afin d'identifier et de mettre en œuvre les points d'amélioration nécessaires pour garantir le haut niveau de sécurité requis.

 

Gesthione de la réponse à un événement imprévu

Digital Solution gère les événements liés à la sécurité en utilisant des procédures et processus opérationnels standard basés sur des outils basés sur les «meilleures pratiques ITIL», afin de rétablir un fonctionnement sans problème dès que possible. Les incidents de sécurité sont surveillés et analysés rapidement par l'organisation Digital Solution pour la gestion de la sécurité. Selon la nature de l'événement, les spécialistes et les équipes d'assistance nécessaires et compétents de Digital Solution participeront au processus. À l'heure actuelle, cette gestion de la réponse à un événement inattendu est activée.

 

Certifications

Actuellement, Digital Solution évalue la possibilité d'activer les processus d'obtention des certifications suivantes:

Informations sur l'utilisation des cookies

Ce site ou des outils tiers utilisés par celui-ci utilisent des cookies nécessaires au fonctionnement et utiles aux fins décrites dans la politique de cookies . Si vous souhaitez en savoir plus ou vous désinscrire de tout ou partie des cookies, consultez la politique des cookies. En fermant cette bannière, en faisant défiler cette page, en cliquant sur un lien ou en poursuivant la navigation de toute autre manière, vous consentez à l'utilisation de cookies. OK

Offrez à votre équipe un environnement de travail partagé pour créer et organiser: personne ne peut faire mieux

Commencez votre essai gratuit maintenant
Conditions générales
OK, j'ai lu