Normes de sécurité
Dernière révision : 9 mai 2018

I.  Mesures techniques et organisationnelles

Nous nous engageons à protéger les informations de nos clients.  Tenant compte des meilleures pratiques, des coûts de mise en œuvre, de la nature, de la portée, des circonstances et des finalités du traitement, ainsi que de la probabilité différente de survenue et de la gravité du risque d'atteinte aux droits et libertés des personnes physiques, nous prenons les mesures techniques et organisationnelles suivantes.  Lors de la sélection des mesures, la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes sont prises en compte. Une récupération rapide après un incident physique ou technique est garantie.

Notre Programme de confidentialité des données est établi pour maintenir une structure de gouvernance globale des données et des informations sécurisées tout au long de leur cycle de vie. Ce programme est piloté par le bureau du responsable de la protection des données, qui supervise la mise en œuvre des pratiques de confidentialité et des mesures de sécurité. Nous testons et évaluons régulièrement l'efficacité de son programme de protection des données et de ses normes de sécurité.

1. Confidentialité. « La confidentialité signifie que les données personnelles sont protégées contre toute divulgation non autorisée. »  

Nous utilisons plusieurs mesures physiques et logiques pour protéger la confidentialité des données personnelles de ses clients. Ces mesures comprennent :   

Sécurité physique  

• Systèmes de contrôle d'accès physique en place (Contrôle d'accès au badge, Surveillance de sécurité d’événements etc.) 
• Systèmes de surveillance, y compris les alarmes et, le cas échéant, la surveillance CCTV
• Politiques de bureaux rangés et contrôles en place (verrouillage des ordinateurs non surveillés, classeurs verrouillés, etc.)  
• Gestion d’accès des visiteurs
• Destruction de données sur des supports physiques et des documents (déchiquetage, démagnétisation, etc.) 

Contrôle d’accès et prévention d’accès non autorisé

• Restrictions d'accès utilisateur appliquées et autorisations d'accès basées sur les rôles fournis/révisés selon le principe de séparation des tâches
• Méthodes d’authentification et d’autorisation sécurisées (Authentification multifactorielle, autorisation basée sur un certificat, désactivation/déconnexion automatique, etc.) 
• Gestion de mot de passe centralisée et politiques de mots de passe forts/complexes (nombre de caractères ou complexité des caractères minimum, expiration de mots passe, etc.)   
• Accès contrôlé aux e-mails et à Internet
• Gestion antivirus
• Système de gestion de la prévention des intrusions

Chiffrement  

• Chiffrement de la communication externe et interne via des protocoles cryptographiques forts
• Chiffrement des données PII/SPII au repos (bases de données, répertoires partagés, etc.)   
• Chiffrement de disque complet pour les PC et les portables de l’entreprise
• Chiffrement des médias de stockage
• Les connexions à distance aux réseaux de l'entreprise sont chiffrées par VPN
• Sécurisation du cycle de vie des clés de chiffrement

Minimisation des données

• Minimisation PII/SPI dans les applications, le débogage et les journaux de sécurité
• Utilisation de pseudonymes dans les données personnelles pour empêcher l'identification directe d'un individu
• Séparation des données stockées par fonction (test, développement, en ligne)
• Séparation logique des données par droits d'accès basés sur les rôles
• Durée de conservation des données définie pour les données personnelles

Tests de sécurité

• Test de pénétration pour les réseaux et plates-formes d'entreprise critiques hébergeant des données personnelles
• Vérifications régulières de réseau et de vulnérabilités

2. Intégrité. « L'intégrité consiste à assurer l'exactitude (intégrité) des données et le bon fonctionnement des systèmes. Lorsque le terme intégrité est utilisé en relation avec le terme « données », il exprime le fait que les données sont complètes et inchangées. »  

Des contrôles appropriés de changement et de gestion des journaux sont en place, en plus des contrôles d'accès pour pouvoir maintenir l'intégrité des données personnelles telles que :    

Gestion des modifications et des versions  

• Processus de gestion des modifications et des versions, y compris (analyse d'impact, approbations, tests, avis de sécurité, mise en scène, surveillance, etc.)  
• Provision d’accès basée sur les rôles et les fonctions (ségrégations des tâches) sur les environnements de production

Journalisation et surveillance

• Enregistrement dans les journaux des accès et changements aux données
• Audit et journaux de sécurité centralisés
• Contrôle de l'exhaustivité et de l'exactitude du transfert de données (contrôle de bout en bout)

3. Disponibilité. « La disponibilité des services et des systèmes informatiques, des applications informatiques et des fonctions de réseau informatique ou d'information est garantie, si les utilisateurs sont en mesure de les utiliser comme prévu à tout moment. »    

Nous mettons en œuvre des mesures de continuité et de sécurité appropriées pour maintenir la disponibilité de ses services et des données résidant dans ces services :    

• Tests de basculement réguliers appliqués aux services critiques
• Surveillance et rapports complets des performances/de la disponibilité pour les systèmes critiques
• Programme de réponse aux incidents de sécurité
• Données critiques soit dupliquées ou sauvegardées (Sauvegardes cloud/Disques dur/Duplication de base de données, etc.) 
• Entretien planifié de logiciels, d’infrastructure et de sécurité en place (Mises à jour logiciels et de sécurité etc.)   
• Systèmes redondants et résilients (grappes de serveurs, bases de données en miroir, configurations à haute disponibilité, etc.) situés sur des emplacements hors site et/ou séparés géographiquement
• Utilisation d'alimentation sans interruption, défaillance de matériel et de systèmes réseau redondants
• Systèmes d’alarme et de sécurité en place
• Mesures de protection physique en place pour les sites critiques (protection contre les surtensions, sols surélevés, systèmes de refroidissement, détecteurs d'incendie et/ou de fumée, systèmes d'extinction d'incendie, etc.) 
• Protection DDoS pour maintenir la disponibilité
• Tests de charge et de stress

4. Instructions de traitement de données. « Les instructions de traitement de données visent à garantir que les données personnelles ne seront traitées que conformément aux instructions du responsable du traitement et aux mesures prises par l'entreprise. »  

Nous avons établi des politiques et des accords de confidentialité internes et menons des formations régulières sur la confidentialité pour les employés afin de garantir le traitement des données personnelles en accord avec les préférences et instructions des clients.   

• Modalités de vie privée et de confidentialité en place dans les contrats des employés
• Formations régulières sur la confidentialité et la sécurité des données pour les employés
• Dispositions contractuelles appropriées concernant les accords avec les sous-traitants pour gérer les droits de contrôle éducatifs
• Contrôles de confidentialité réguliers pour les fournisseurs de services externes 
• Fournir aux clients un contrôle total sur leurs préférences en matière de traitement des données
• Audits de sécurité réguliers