TigerTel – Data Processing Addendum – Canada French
ADDENDUM POUR LE TRAITEMENT DES DONNÉES
Cet addenda au traitement des données (l’« APD ») est entré par et entre vous (“Client”,“vous,” and “vôtre”) (collectivement, avec ses sociétés affiliées, le « client ») et MAP Communications Canada, Inc. font sous le nom de TigerTel (collectivement, avec ses sociétés affiliées, le « fournisseur »). Le présent APD complète et est intégré à l’accord existant entre le Client et le Fournisseur (le « Contrat ») en vertu duquel le Fournisseur fournira des services (« Services ») au Client et a la même Date d’entrée en vigueur que l’Accord. Dans le cadre de la fourniture des Services au Client, le Fournisseur peut Traiter des Données Personnelles au nom du Client, et les parties conviennent de se conformer aux dispositions suivantes en ce qui concerne les Données personnelles.
1. Définitions
- « Affilié » désigne, à l’égard d’une entité, toute autre entité qui, maintenant ou à l’avenir, directement ou par l’intermédiaire d’un ou de plusieurs intermédiaires, contrôle, est contrôlée par cette entité ou l’un de ses successeurs ou est sous contrôle commun avec elle.
- “CCPA” désigne le California Consumer Privacy Act de 2018, le California Civil Code § 1798.100, tel que modifié par le California Privacy Rights Act, et les règlements d’application.
- “Contrôleur” désigne la définition d’un responsable du traitement, d’une entreprise ou d’un terme équivalent en vertu des lois sur la protection des données.
- “Données personnelles des clients” désigne toutes les données personnelles traitées par le fournisseur (ou un sous-traitant) au nom du client conformément à ou en relation avec le contrat. Les données personnelles du client n’incluent pas les données ou les informations dérivées du traitement qui ne constituent pas des données personnelles ou des données personnelles collectées par le fournisseur en tant que contrôleur indépendant.
- “Lois sur la protection des données” désigne toute loi, réglementation, règle, ligne directrice, directive ou norme de l’industrie internationale, nationale, fédérale, étatique, locale, municipale ou territoriale applicable concernant ou liée à la confidentialité des données, à la sécurité ou à la notification d’atteinte, y compris, mais sans s’y limiter, la Loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la CCPA, la Loi sur la protection de la vie privée du Colorado, la Loi sur la confidentialité des données du Connecticut, le RGPD, la loi fédérale mexicaine sur la protection des données, la loi sur la protection de la vie privée des consommateurs de l’Utah, le RGPD du Royaume-Uni, la loi sur la protection des données des consommateurs de Virginie et toute autre loi applicable de l’État sur la protection de la vie privée.
- “Personne concernée” désigne la définition d’une personne concernée, d’un consommateur ou d’un terme équivalent en vertu des lois sur la protection des données.
- “RGPD” désigne le règlement général sur la protection des données, règlement (UE) 2016/679.
- “Données personnelles” désigne (i) les renseignements qui identifient ou pourraient raisonnablement identifier une personne physique; ou (ii) des informations qui constituent des données personnelles, des informations personnelles, des informations personnellement identifiables, des informations personnelles non publiques, des informations de santé personnelles ou un terme équivalent en vertu des lois sur la protection des données.
- “Processus” ou “Traitement” désigne toute opération ou ensemble d’opérations effectuées sur des données personnelles ou sur des ensembles de données personnelles, que ce soit ou non par des moyens automatisés, y compris la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou la mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction, et toute autre action qui constitue un « traitement » ou un terme équivalent sous protection des données Lois.
- “Processeur” désigne la définition d’un sous-traitant, d’un fournisseur de services ou d’un terme équivalent en vertu des lois sur la protection des données.
- “Incident de sécurité” désigne tout accès non autorisé confirmé, divulgation, détournement, vol, perte, acquisition, utilisation, modification ou modification de la disponibilité des données personnelles.
- “Sous-traitant” désigne toute personne nommée par ou au nom du fournisseur pour traiter les données personnelles au nom du client en vertu de l’accord.
- “RGPD du Royaume-Uni” désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel et sur la libre circulation de ces données (règlement général sur la protection des données) tel qu’il fait partie de la loi de l’Angleterre et du Pays de Galles, de l’Écosse et de l’Irlande du Nord en vertu de l’article 3 de la loi de 2018 sur le retrait de l’Union européenne.
2. Terme.
- La durée du présent APD commencera à la date d’entrée en vigueur et se poursuivra tant que le fournisseur traite les données personnelles des clients.
3. Traitement des données personnelles des clients
- 3.1 Rôles des parties. Les parties reconnaissent et conviennent qu’en ce qui concerne le traitement des données personnelles du client, le client est le contrôleur et le fournisseur est le processeur.
- 3.2 Autorité du client. Le client déclare et garantit qu’il est et restera à tout moment pertinent dûment et effectivement autorisé à donner les instructions énoncées dans la section 3.3 ci-dessous en son nom.
- 3.3 Traitement par le fournisseur des données personnelles des clients.
- (a) Le fournisseur ne traitera les données personnelles du client que dans le but de fournir les services et conformément aux instructions écrites du client, y compris les dispositions de la présente DPA.
- (b) Il est interdit au fournisseur de traiter les données personnelles des clients à des fins ou d’une manière non autorisée par le présent DPA ou nécessaire pour exécuter les services en vertu du contrat. Le fournisseur peut traiter les données personnelles des clients aux fins suivantes:
- (i) Pour un usage interne par le fournisseur pour construire ou améliorer la qualité de ses services, à condition que l’utilisation n’inclue pas la création ou la modification de profils de personnes concernées à utiliser pour fournir des services à une autre entreprise, ou la correction ou l’augmentation des données personnelles acquises auprès d’une autre source;
- (ii) Pour détecter les incidents de sécurité ou vous protéger contre les activités frauduleuses ou illégales;
- (iii) Pour se conformer aux lois fédérales, étatiques ou locales;
- (iv) Pour se conformer à une enquête, une enquête, une citation à comparaître ou une citation à comparaître civile, pénale ou réglementaire par les autorités fédérales, étatiques ou locales;
- (v) Pour coopérer avec les organismes d’application de la loi concernant la conduite ou l’activité que le client, le fournisseur ou le sous-traitant (s) croit raisonnablement et de bonne foi peut violer la loi fédérale, étatique ou locale; et
- (vi) Pour exercer ou défendre des réclamations légales.
- (c) Il est interdit au fournisseur de vendre, de louer, de louer, d’octroyer des licences ou de partager à des fins de publicité croisée ou ciblée les données personnelles du client.
- (d) Le fournisseur se conformera aux lois sur la protection des données et informera immédiatement le client si le fournisseur décide qu’il ne peut plus respecter ses obligations en vertu des lois sur la protection des données.
- 3.4 Détails du traitement. Les détails de ce traitement sont précisés en détail dans la pièce A du présent APD et peuvent être modifiés par les parties si nécessaire. Le fournisseur n’est tenu d’exécuter les instructions supplémentaires que dans la mesure où elles sont conformes aux termes et à la portée de l’Accord et du présent APD.
- 3.5 Responsabilité du client. Le Client est seul responsable de sa conformité à toutes les lois sur la protection des données qui lui sont applicables. Le client déclare et garantit qu’il a obtenu tous les consentements, licences et autorisations nécessaires, le cas échéant, requis des personnes concernées et de tiers, et comme l’exigent les lois sur la protection des données pour le traitement du fournisseur.
4. Personnel du fournisseur.
- 4.1 Le fournisseur doit restreindre ses employés du traitement des données personnelles des clients sans l’autorisation du fournisseur et doit limiter le traitement à ce qui est nécessaire pour les fonctions de l’individu spécifique dans le cadre de la fourniture des services par le fournisseur.
- 4.2 Le fournisseur doit s’assurer que tous ses employés qui traitent les données personnelles des clients seront soumis à des obligations contractuelles pour: (a) garder confidentielles toutes les données personnelles du client; (b) suivre les mesures de sécurité des données appropriées; et (c) coopérer avec le Client en ce qui concerne les demandes des personnes concernées conformément à la section 8.
5. Sous-traitants.
- 5.1 Approbation des sous-traitants. Le client fournit au fournisseur une autorisation générale d’engager des sous-traitants. Dans la mesure requise par les lois sur la protection des données, le fournisseur doit informer le client de toute modification prévue concernant l’ajout ou le remplacement de sous-traitants. À moins que le Client ne s’oppose par écrit au Sous-traitant dans les 7 (sept) jours, la demande sera réputée approuvée.
- 5.2 Accord de sous-traitement; Responsabilité. Le fournisseur a ou doit conclure un accord écrit avec chaque sous-traitant (le « contrat de sous-traitement ») contenant des obligations de protection des données non moins protectrices que celles du présent DPA en ce qui concerne les données personnelles du client, dans la mesure applicable à la nature des services fournis par ce sous-traitant.
- 5.3 Copies des ententes de sous-traitant. Le fournisseur doit fournir au client pour examen des copies des accords de sous-processeur que le client peut raisonnablement demander de temps à autre.
6. Sécurité
- Le fournisseur doit mettre en œuvre et maintenir les mesures de sécurité techniques, organisationnelles et physiques nécessaires pour protéger la disponibilité, la confidentialité et l’intégrité des données personnelles des clients. Ces mesures doivent, au minimum, satisfaire aux exigences énoncées dans la pièce B et dans les lois sur la protection des données.
7. Transferts transfrontaliers
- 7.1 Dans la mesure où les données personnelles des clients sont transférées en vertu de l’Accord de l’Espace économique européen ou du Royaume-Uni à un pays qui n’a pas reçu de détermination d’adéquation de la Commission européenne (ou du Bureau du Commissaire à l’information dans le cas de transferts en provenance du Royaume-Uni), y compris les transferts vers les États-Unis (collectivement, les « transferts restreints »), les parties conviennent qu’elles utiliseront, ensemble ou individuellement, tout mécanisme de transfert nécessaire tel que les clauses contractuelles types (« CSC »). Les parties ont l’intention de se conformer aux CSC avec les choix suivants:
- a) Le module deux s’applique;
- b) à l’article 7, la clause d’amarrage facultative s’applique;
- c) à la division 9a), l’option 2 s’applique et le délai de préavis des sous-traitants est de sept (7) jours;
- d) à l’alinéa 11a), le libellé facultatif ne s’applique pas;
- e) à l’alinéa 13a), l’exportateur est établi dans un État membre de l’UE;
- f) à l’article 17, l’option 1 s’applique, la loi applicable étant le droit anglais;
- g) à l’alinéa 18b), les différends seront résolus devant les tribunaux d’Angleterre;
- h) L’annexe I des CSC de l’UE est complétée par les renseignements de la pièce A et de la pièce C du présent APD; et
- i) L’annexe II des CSC de l’UE est complétée par les informations contenues dans la pièce B du présent APD.
- 7.2 Lorsqu’un transfert restreint est effectué à partir du Royaume-Uni, l’addenda de transfert du Royaume-Uni est incorporé dans le présent APD et s’applique au transfert comme suit:
- a) l’addenda sur le transfert au Royaume-Uni est rempli avec les informations de la section 7.1 et de la pièce A, de la pièce B et de la pièce C du présent ACCORD DE GESTION;
- b) les deux « importateur » et « exportateur » sont sélectionnés dans le tableau 4;
- c) dans le tableau 2, l’addenda sélectionné CSC de l’UE est la version des CSC approuvés de l’UE, à laquelle l’addenda de transfert du Royaume-Uni est annexé, daté du 4 juin 2021, y compris les informations de l’annexe;
- 7.3 Dans la mesure où les parties déterminent qu’une version différente des CSC devrait s’appliquer, ou si une décision d’adéquation devient effective, les parties conviennent de coopérer de bonne foi pour s’assurer que les mécanismes de transfert appropriés sont en place.
8. Droits de la personne concernée
- 8.1 Coopération pour les demandes de personnes concernées. Le fournisseur doit aider et coopérer raisonnablement avec le client pour répondre à toutes les demandes de la personne concernée reçues par le client.
- 8.2 Répondre aux personnes concernées. Dans le cas où le fournisseur ou un sous-traitant reçoit une demande de personne concernée relative aux données personnelles du client, le fournisseur doit en informer le client par écrit dans un rayon de 3 (trois) jours. Le fournisseur doit répondre à la demande conformément aux instructions du client de: (1) agir au nom du client en répondant à la demande ou (2) informer la personne concernée que la demande ne peut pas être traitée car la demande a été envoyée à un processeur.
9. Réponse aux incidents de sécurité
- 9.1 Le fournisseur doit signaler un incident de sécurité au client dès que possible, mais au plus tard soixante-douze (72) heures après avoir pris connaissance d’un tel incident de sécurité. Une telle notification doit être fournie par écrit (par e-mail) à [e-mail du client] et par téléphone au [numéro de téléphone du client], car cette adresse e-mail ou ce numéro de téléphone peut être modifié de temps à autre sur avis écrit du client.
- 9.2 Immédiatement après la notification du fournisseur au client d’un incident de sécurité, les parties doivent se coordonner pour enquêter sur l’incident de sécurité. Le fournisseur et le client conviennent de coopérer raisonnablement les uns avec les autres dans l’enquête sur tout incident de sécurité.
10. Évaluation de l’impact sur la protection des données et consultation préalable
- Le fournisseur doit raisonnablement coopérer avec le client en ce qui concerne toute évaluation de la protection des données, les évaluations de l’impact sur la protection des données, l’évaluation des risques d’atteinte à la vie privée ou une exigence équivalente en vertu des lois sur la protection des données.
11. Retour ou destruction de données personnelles
- Au choix du client, fait par avis écrit, le fournisseur doit, et s’assurer que tous les sous-traitants doivent: (a) retourner une copie complète de toutes les données personnelles du client au client dans le format et la manière demandées par le client; et (b) supprimer et assurer la suppression de toutes les autres copies des données personnelles des clients traitées par le fournisseur ou tout sous-traitant, à moins que les lois sur la protection des données n’exigent le stockage des données personnelles du client.
12. Vérification de l’audit
- 12.1 Rapport sur la conformité. À la demande écrite du client, le fournisseur fournira au client toutes les informations nécessaires pour démontrer la conformité aux lois sur la protection des données et à la présente DPA.
- 12.2 Vérification de l’audit. Le fournisseur doit permettre et contribuer aux audits, y compris les inspections, par le client ou un auditeur mandaté par le client en ce qui concerne le traitement des données personnelles du client par le fournisseur ou les sous-traitants.
13. Juridiction et loi applicable
- Le présent APD et toutes les obligations non contractuelles ou autres découlant de ou en relation avec celui-ci sont régis par les lois du Commonwealth de Virginie. Les parties conviennent que tout litige découlant de la présente DPA sera résolu par la Cour de district des États-Unis pour le district est de la Virginie, et vous vous soumettez à la compétence personnelle de ce tribunal. Si la compétence matérielle (y compris la compétence en matière de diversité) n’existe pas à la Cour de district des États-Unis pour le district est de la Virginie pour une telle réclamation, alors le forum exclusif et le lieu pour une telle action seront les tribunaux du Commonwealth de Virginie, et vous vous soumettez à la compétence personnelle de ce tribunal.
14. Indemnisation; Limitations de responsabilité; Recours.
- L’indemnisation du client, la limitation de responsabilité et le recours en ce qui concerne toute violation présumée par nous des termes de la présente DPA, et la responsabilité globale de notre part découlant de, ou en relation avec l’Accord (y compris le présent DPA), seront soumis à une limitation globale de responsabilité égale au moindre de: (i) vos frais de service mensuels au prorata pour la période au cours de laquelle la responsabilité a pris naissance, à un maximum de quinze (15) jours; ou (ii) cinq cents dollars (500,00 $) (« plafond de responsabilité »). Pour éviter tout doute, les parties ont l’intention et conviennent que notre responsabilité globale découlant de, ou en relation avec l’accord (y compris le présent APD) ne doit en aucun cas dépasser le plafond de responsabilité.
15. Indemnité de départ.
- Si une disposition de la présente APD (ou une partie de toute disposition) est ou devient illégale, invalide ou inapplicable, la légalité, la validité et le caractère exécutoire de toute autre disposition du présent APD ne seront pas affectés.
- PIÈCE A : DÉTAILS DU TRAITEMENT
- Objet et durée du traitement: L’objet du traitement à effectuer en vertu de l’accord est les données personnelles que le sous-traitant traite au nom du fournisseur dans le cadre de l’exécution de l’accord. La durée du traitement est déterminée par l’accord contractuel entre le processeur et le fournisseur.
- Nature et but du traitement: La nature et le but du traitement à effectuer en vertu de l’accord sont le traitement sécurisé des données personnelles pour faciliter les services commerciaux fournis par le fournisseur.
- Types de données personnelles des clients: Les données personnelles à traiter dans le cadre du contrat comprennent les types de données personnelles suivants: nom complet, numéro de téléphone, e-mail, adresse physique, numéro de sécurité sociale, date de naissance.
- Catégories de personnes concernées: Le traitement des données personnelles sera effectué dans le cadre du contrat pour les catégories de personnes concernées suivantes: les clients du fournisseur, les clients du client du fournisseur, les employés du fournisseur.
- PIÈCE B : MESURES DE SÉCURITÉ TECHNIQUES, ORGANISATIONNELLES ET MATÉRIELLES
- I. Confidentialité
- 1. Contrôle d’accès physique. Des contrôles pertinents visant à empêcher l’accès non autorisé aux installations de traitement des données (p. ex. centres de données, immeubles de bureaux, salles de serveurs) ont été mis en œuvre. Cela comprend ::
- i. Contrôles de périmètre de sécurité, tels que des clôtures, des bâtiments solides, de véritables murs du sol au plafond, des portes verrouillées, des tourniquets, des systèmes d’alarme.
- ii. Zones sécurisées dédiées (par exemple, centres de données, salles de serveurs) avec un nombre limité de personnel autorisé qui y ont accès.
- iii. Cartes d’accès électroniques (cartes d’identité, badges), clés et serrures de porte.
- iv. Systèmes de vidéosurveillance.
- v. Services de sécurité des installations et/ou personnel de sécurité des entrées pour les centres de données et le bureau de recherche et développement.
- vi. Autorisation et escorte appropriées des visiteurs au besoin.
- 2. Contrôle d’accès électronique. Des contrôles pertinents visant à empêcher l’utilisation non autorisée des systèmes de traitement et de stockage des données ont été mis en œuvre. Cela comprend :
- i. Identificateur unique (nom d’utilisateur) pour tous les utilisateurs autorisés, pour leur usage personnel seulement et technique d’authentification pour justifier l’identité revendiquée d’un utilisateur.
- ii. Protection par mot de passe pour les systèmes informatiques et politique de mot de passe fort:
- 1) Un mot de passe fort et unique (au moins 8 caractères de long).
- 2) Le mot de passe contient des caractères appartenant à au moins trois des cinq catégories suivantes:
- a. lettres majuscules.
- b. lettres minuscules.
- c. symboles numériques.
- d. symboles spéciaux.
- e. Caractères de l’alphabet Unicode qui n’ont pas de majuscules et de minuscules (par exemple, les langues asiatiques).
- 3) Stockage de mots de passe dans un format chiffré à l’aide d’un hachage unidirectionné.
- 4) Test périodique des mots de passe.
- iii. Verrouillage automatique du compte après 5 tentatives de connexion infructueuses.
- iv. Les nouveaux comptes sont obligés de modifier les mots de passe lors de la connexion initiale.
- v. Les systèmes sont automatiquement chronométrés / mot de passe verrouillé après 15 minutes d’inactivité et nécessitent une authentification pour continuer.
- vi. Les comptes inactifs sont verrouillés pendant les audits trimestriels.
- vii. Authentification multifacteur pour l’accès à distance aux services d’entreprise et aux opérations privilégiées.
- viii. Chiffrement des données au repos à l’aide d’outils intégrés sur le disque dur et de technologies Microsoft, comme le chiffrement Bitlocker ou Azure.
- ix. L’anonymisation est utilisée lorsque cela est nécessaire et possible, selon la nature des données traitées.
- x. Élimination sécuritaire de l’ancien équipement.
- 3. Contrôle d’accès interne. Des contrôles pertinents visant à empêcher la lecture, la copie, la modification ou la suppression non autorisées de données dans les systèmes et des mesures réglementant les droits d’accès et de modification des données des utilisateurs ont été mis en œuvre. Cela comprend :
- i. Connexions d’accès sécurisées et technologies utilisées pour le contrôle de l’authentification.
- ii. Des noms de connexion uniques, des mots de passe forts et des examens périodiques des listes d’accès existent pour garantir l’utilisation appropriée des comptes d’utilisateurs.
- iii. L’octroi de droits d’accès est un processus formel, fondé sur les responsabilités professionnelles (rôle) de l’utilisateur et sur la base du besoin de savoir et doit être autorisé par le propriétaire de la ressource correspondante et / ou le superviseur de la personne qui en fait la demande.
- iv. Outil de gestion des identités utilisé pour gérer l’accès selon des règles définies et approuvées, pour traiter les demandes d’accès et pour garder une trace des changements d’accès.
- v. L’accès aux systèmes de production n’est accordé qu’aux utilisateurs qui sont périodiquement formés et autorisés pour l’action correspondante. L’accès aux systèmes de production est également immédiatement retiré en cas de résiliation du contrat de travail ou en cas d’attribution d’une tâche différente.
- vi. Les événements d’accès au système sont enregistrés et stockés en toute sécurité avec un accès restreint uniquement pour les utilisateurs autorisés.
- vii. Contrôle de l’isolation. Les données sont traitées selon le but du traitement. Les données de différents clients sont séparées logiquement dans des stockages, à l’aide de règles d’accès et/ou à l’aide de la séparation des environnements ou des identificateurs logiques.
- 1. Contrôle d’accès physique. Des contrôles pertinents visant à empêcher l’accès non autorisé aux installations de traitement des données (p. ex. centres de données, immeubles de bureaux, salles de serveurs) ont été mis en œuvre. Cela comprend ::
- II. Intégrité
- 1. Contrôle du transfert de données. Des mesures visant à empêcher la lecture, la copie, la modification ou la suppression non autorisées de données par transfert électronique ou transport ont été mises en œuvre:
- i. Chiffrement des données en transit à l’aide de HTTPS (TLS 1.2), IPsec.
- ii. Les disques durs et les stockages d’appareils mobiles des ordinateurs portables sont cryptés.
- iii. Vpn est utilisé pour connecter des emplacements distincts et pour l’accès à distance.
- iv. Les périphériques de réseau de périmètre sont configurés de manière appropriée pour sécuriser le réseau interne contre les connexions externes non autorisées et pour garantir que les connexions informatiques et le flux de données n’enfreignent pas le contrôle d’ajustement d’accès logique.
- v. Les signatures électroniques sont utilisées le cas échéant.
- 2. Contrôle de la saisie des données. Des mesures pour la vérification, le cas échéant, si et par qui les données personnelles sont entrées dans un système de traitement des données, sont modifiées ou supprimées, ont été mises en œuvre. Les mesures comprennent ::
- i. Enregistrement de l’accès des utilisateurs aux systèmes.
- ii. Les modifications apportées aux documents font l’objet d’un suivi.
- iii. Les exigences relatives à la garantie de l’authenticité et de la protection de l’intégrité des messages dans les applications sont identifiées, le cas échéant, et des contrôles appropriés sont mis en œuvre.
- 1. Contrôle du transfert de données. Des mesures visant à empêcher la lecture, la copie, la modification ou la suppression non autorisées de données par transfert électronique ou transport ont été mises en œuvre:
- III. Disponibilité et résilience
- 1. Contrôle de disponibilité. Des mesures visant à prévenir la destruction accidentelle ou délibérée ou la perte d’informations ont été mises en œuvre. Les mesures comprennent :
- i. Protection physique raisonnable contre les risques environnementaux (p. ex. incendie, inondation, tremblement de terre), comme :
- 1) Systèmes de climatisation.
- 2) Capteurs de température.
- 3) Détecteurs de fumée et de chaleur.
- 4) Capteurs d’eau.
- 5) Systèmes d’extinction d’incendie.
- 6) Systèmes d’alarme et de surveillance.
- ii. Protection physique contre les pannes de courant et autres perturbations causées par des défaillances dans les services publics de soutien, tels que:
- 1) Alimentation sans coupure (UPS) pour les serveurs et l’équipement réseau.
- 2) Alimentations et générateurs multiples avec capacité de carburant sur site pour les centres de données
- iii. Stratégie et procédures de sauvegarde, telles que les sauvegardes régulières, le stockage sur site / hors site des sauvegardes, la surveillance et les vérifications des sauvegardes.
- iv. Protection anti-programme malveillant et pare-feu installés sur les points de terminaison et au niveau de la passerelle (par exemple, proxy Web, passerelle de messagerie). Il est géré de manière centralisée par l’informatique, les signatures de virus sont mises à jour au moins une fois par jour, l’analyse complète est planifiée chaque semaine.
- v. Gestion centralisée des postes de travail (verrouillage automatique, gestion des correctifs, configuration, sécurité physique, etc.) pour réduire la possibilité d’exploiter les propriétés logicielles (systèmes d’exploitation, applications métier, etc.).
- vi. Sécurité du réseau:
- 1) Pare-feu sur les points de terminaison et les passerelles.
- 2) Systèmes de détection et de prévention des intrusions.
- 3) Segmentation du réseau.
- 4) Configuration du réseau sécurisé et utilisation des protocoles.
- vii. Restriction de l’accès physique et logique aux ports de diagnostic et de configuration de l’équipement d’infrastructure.
- viii. Utilisation d’une solution avancée d’analyse des menaces pour détecter l’activité suspecte des utilisateurs / appareils.
- i. Protection physique raisonnable contre les risques environnementaux (p. ex. incendie, inondation, tremblement de terre), comme :
- 1. Contrôle de disponibilité. Des mesures visant à prévenir la destruction accidentelle ou délibérée ou la perte d’informations ont été mises en œuvre. Les mesures comprennent :
- IV. Récupération rapide
- Des mesures visant à assurer la capacité de rétablir la disponibilité des services en temps opportun en cas d’incident physique ou technique ont été mises en œuvre. Cela comprend:
- 1. Architectures redondantes, telles que les clusters, raid, équilibrage de charge réseau.
- 2. Utilisation de la géo-redondance dans les services cloud et les centres de données redondants.
- 3. Planification de la continuité des activités et de la reprise après sinistre et tests réguliers.
- Des mesures visant à assurer la capacité de rétablir la disponibilité des services en temps opportun en cas d’incident physique ou technique ont été mises en œuvre. Cela comprend:
- V. Procédures d’essai, d’évaluation et d’évaluation régulières de l’efficacité des mesures techniques et organisationnelles visant à assurer la sécurité
- Les mesures suivantes sont en place pour mettre à l’essai, évaluer et évaluer l’efficacité des mesures techniques et organisationnelles:
- 1. Au moins une évaluation annuelle des risques et un examen de la politique de sécurité.
- 2. Tests de sécurité réguliers, tels que l’analyse des vulnérabilités (terminaux, produits, services, etc.), les tests de pénétration par des fournisseurs spécialisés (services, réseau d’entreprise).
- 3. Vérifications et tests internes périodiques de sécurité.
- 4. Vérifications de certification annuelles pour plusieurs services.
- 5. Traitement des incidents conformément au plan d’intervention en cas d’incident, examen des résultats lors de l’analyse des causes profondes et amélioration du système de gestion de la sécurité.
- Les mesures suivantes sont en place pour mettre à l’essai, évaluer et évaluer l’efficacité des mesures techniques et organisationnelles:
- VI. Contrôle des commandes ou des contrats
- Des mesures visant à empêcher le traitement des données par des tiers autrement que sur instruction du responsable du traitement ont été mises en œuvre. Cela comprend ::
- 1. Accords contractuels clairs et sans ambiguïté conformes aux exigences du RGPD.
- 2. Procédure d’approvisionnement, examen juridique et procédure de gestion des fournisseurs pour vérifier l’état de sécurité du nouveau fournisseur avant de le sélectionner.
- 3. L’état de sécurité de l’information des fournisseurs est examiné chaque année ou en cas d’incident de sécurité.
- Des mesures visant à empêcher le traitement des données par des tiers autrement que sur instruction du responsable du traitement ont été mises en œuvre. Cela comprend ::
- VII. Organizational Control
- Des mesures techniques et organisationnelles pertinentes ont été mises en œuvre pour garantir que, par défaut, seules les données personnelles nécessaires sont traitées de manière légitime. Ces mesures comprennent ce qui suit:
- 1. Le responsable de la protection de la vie privée est responsable des lois et réglementations sur la protection des données (contact e-mail: support@tigertel.com). Les juristes d’entreprise travaillant dans le domaine de la protection des données sont responsables des aspects juridiques du traitement des données.
- 2. La politique de confidentialité et les lignes directrices internes sur la confidentialité comprennent la description des risques, les principes clés à suivre, les objectifs cibles, les règles à appliquer et sont disponibles pour les différentes parties prenantes, par exemple les utilisateurs, le service informatique, le service des ressources humaines, les décideurs, etc. via un portail d’entreprise.
- 3. Les politiques et les lignes directrices en matière de sécurité sur de nombreux sujets de sécurité sont mises en œuvre dans les processus et les systèmes, examinées chaque année, approuvées par la direction et communiquées aux utilisateurs.
- 4. Lors du développement, de la conception, de la sélection et de l’utilisation d’applications, de services et de produits basés sur le traitement de données personnelles ou de données personnelles pour remplir leur tâche, les paramètres de confidentialité les plus stricts s’appliquent par défaut, sans aucune entrée manuelle de l’utilisateur final. Pour tout traitement de données qui ne sont pas couverts par des intérêts légitimes, une personne concernée est invitée à donner son consentement.
- 5. Confidentialité par conception, c’est-à-dire des mesures pour s’assurer que lors du traitement des données personnelles, la confidentialité est intégrée dans un système tout au long du cycle de vie de ce système ou processus. Cela consiste, entre autres, à minimiser le traitement des données personnelles, à pseudonymiser les données personnelles dès que possible, à la transparence concernant les fonctions et le traitement des données personnelles, à permettre à la personne concernée de surveiller le traitement des données, à permettre au responsable du traitement de créer et d’améliorer les fonctionnalités de sécurité.
- 6. L’évaluation de l’impact sur la protection des données décrit les processus de contrôle des risques que les opérations de traitement effectuées par l’organisation posent sur la protection des données et la vie privée des personnes concernées.
- 7. Le traitement des données personnelles est minimisé lors de l’évaluation de l’impact sur la protection des données.
- Des mesures techniques et organisationnelles pertinentes ont été mises en œuvre pour garantir que, par défaut, seules les données personnelles nécessaires sont traitées de manière légitime. Ces mesures comprennent ce qui suit:
- I. Confidentialité