Concept de sécurité



Confidentialité en vertu de l’article 32 1 lit. RGPD

Mesures qui sont conçues pour empêcher les personnes non autorisées d’avoir accès aux installations de traitement des données utilisé pour traiter ou utiliser les données personnelles.

Mesures techniques

Système de verrouillage manuel

Système d'accès électronique avec consignation

Serrures de sécurité.

Portes avec bouton à l’extérieur

Mesures organisationnelles

Règlement clef / liste

Visiteurs accompagnés d'employés

Inscription des visiteurs et carte

Mesures visant à empêcher l'utilisation de systèmes de traitement de données (ordinateurs) par des personnes non autorisées.

Mesures techniques

Connexion avec nom d'utilisateur + mot de passe

Connexion avec des données biométriques

Serveur de logiciels anti-virus

Logiciels anti-virus clients

Chiffrement Pare-feu des supports de données

Cryptage des smartphones

Verrouillage automatique des ordinateurs de bureau

Cryptage des ordinateurs portables /tablettes

Mesures organisationnelles

Gestion des autorisations des utilisateurs

Création de profils d'utilisateurs

Directive « mot de passe sécurisé »

Directive « suppression / destruction »

Directive générale sur la protection et/ou la sécurité des données

Politique des périphériques mobiles

Instructions « Verrouillage manuel des ordinateurs du bureau »

Il s'agit de mesures qui garantissent que les personnes qui sont habilitées à utiliser un système de traitement de données puissent exclusivement avoir accès aux données qui sont soumises à leurs droit d’accès, et que les données à caractère personnel ne puissent pas être lues, copies, modifiées ou supprimées lors du traitement, de l’utilisation, et après leur sauvegarde.

Mesures techniques

Suppression physique des supports de données

Enregistrement des accès et des consultations, concrètement lors de la saisie, la modification et la suppression de données

Cryptage de supports de données
 
 

Cryptage des smartphones

Mesures organisationnelles

Utilisation de concepts de droits

Nombre minimal d’administrateurs

Administration des droits d’utilisateurs par des administrateurs

Il s'agit de mesures qui garantissent que les données recueillies à différentes fins puissent être traitées séparément. Cela peut être assuré par exemple par une séparation logique et physique des données.

Mesures techniques

Séparation entre l’environnement productif et l’environnement d'essai

Séparation physique (bases de données/ supports de données

Aptitude multi-clients des applications pertinentes

Mesures organisationnelles

Commande par le concept d’autorisation

Définition de droits d’accès aux bases de données)

Le traitement de données à caractère personnel effectué de telle manière que celles-ci ne puissent plus être affectées à une personne concernée sans que des informations supplémentaires soient nécessaires, à condition que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles correspondantes :

Mesures techniques

En cas de pseudonymisation : Séparation des données d'affectation et conservation dans un système séparé et sécurisé (éventuellement crypté)

Mesures organisationnelles

Instruction interne pour anonymiser/ pseudonymiser si possible des données personnelles en cas de transfert ou même après l'expiration du délai légal de suppression

Intégrité (article 32 lit. 1 b du RGPD)

Il s'agit de mesures qui garantissent que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant leur transmission électronique ou pendant leur transport ou leur stockage sur des supports de données et qu'il est possible de vérifier et de déterminer les endroits vers lesquels les données à caractère personnel doivent être transférées par les installations de transmission de données.

Mesures techniques

Utilisation du VPN

Enregistrement des accès et des consultations

Récipients de transport sécurisés

Mise à disposition de connexions cryptées telles que sftp, https

Mesures organisationnelles

Soin lors de la sélection du personnel de transport et des véhicules

Il s'agit de mesures qui garantissent qu'il peut être vérifié et établi a posteriori si des données à caractère personnel ont été saisies, modifiées ou supprimées dans des systèmes ou applications de traitement des données, et par qui.

Mesures techniques

Enregistrement technique de la saisie, de la modification et de la suppression des données

Contrôle manuel ou automatisé des enregistrements

Mesures organisationnelles

Aperçu des programmes avec lesquels des données peuvent être saisies, modifiées ou supprimées

Traçabilité de la saisie, de la modification et de la suppression des données par noms d'utilisateurs individuels (et non par groupes d'utilisateurs)

Attribution de droits de saisie, de modification et de suppression de données sur la base d'un concept d'autorisation

Conservation des formulaires à partir desquels des données ont été prises en charge dans des processus automatisés

Compétences claires en matière de suppressions

Disponibilité et capacité de charge (art. 32 al. 1 lit. b RGPD)

Il s'agit de mesures qui garantissent que les données à caractère personnel soient protégées contre la destruction ou la perte accidentelle.

Mesures techniques

Mesures organisationnelles

Concept de sauvegarde et de restauration

Contrôle du processus de sauvegarde

Conservation des supports de sauvegarde à un emplacement sécurisé en dehors de la salle des serveurs

Procédure de vérification, d'estimation et d'évaluation régulières (art. 32, al. 1 lit. d du RGPD, art. 25, al. 1 du GDPR)

Mesures techniques

Mesures organisationnelles

Employés formés et soumis à l’obligation de confidentialité/ de secret des données

Sensibilisation régulière des employés, au moins une fois par an

L'organisation se soumet aux obligations d'information prévues aux articles 13 et 14 du RGPD

Paramètres par défaut favorisant la protection des données (art. 25, al. 2 du GDPR)

Mesures techniques

On ne recueillera pas plus de données personnelles que ce qui est nécessaire pour la fin en question.

Simple exercice du droit d’opposition de la personne concernée par des mesures techniques

Mesures organisationnelles

tesa 360 – Architecture système

Security Concept graph
Architecture système
  • Serveur web et de bases de données redondants
  • Pare-feu et connexion SSL sécurisée
  • Répartition de la charge, sauvegarde et restriction d'accès
  • Codes d'identification cryptés stockés uniquement, décryptage impossible
  • Système de prévention et de détection des intrusions, unités d'alimentation de secours
  • Surveillance & temps de fonctionnement 24 h sur 24 et 7 j sur 7 / Contrôle du fonctionnement
  • Hub internet haut débit rapide et fiable
  • Certifié haute sécurité : Certification ISO 27001 pour la sécurité des données et des TI
En savoir plus