Mesures techniques et organisationnelles (TOM)
Version : 29.09.2023
Ces mesures techniques et organisationnelles s'appliquent à Netstream AG et à Netstream Cloud AG.
Responsable
Le responsable selon l'art. 5 lettre j de la loi fédérale sur la protection des données (loi sur la protection des données, LPD) est Netstream AG, Richtistrasse 2, 8304 Wallisellen, Suisse, et Netstream Cloud AG, Auenstrasse 10, 8600 Dübendorf, e-mail :netstream Nous sommes représentés légalement par Alexis Caceda.
Conseiller à la protection des données
Notre conseiller en matière de protection des données est joignable par l'intermédiaire de heyData GmbH, Schützenstrasse 5, 10117 Berlin, www.heydata.eu, e-mail : datenschutz@heydata.eu.
Objet du document
Ce document résume les mesures techniques et organisationnelles prises par le responsable au sens de l'article 8, paragraphe 1 de la LPD. Il s'agit de mesures par lesquelles le responsable protège les données à caractère personnel.
1. confidentialité
1.1 Contrôle d'accès
Mesures concernant les bureaux :
● Protection des puits de bâtiment
● Système de contrôle d'accès automatique
● Système de fermeture par carte à puce/transpondeur
● Serrures de sécurité
● Sonnerie avec caméra
● Réglementation des clés / registre des clés
● Sélectionner soigneusement le personnel de sécurité
● Visiteurs uniquement accompagnés par des membres du personnel
● Sélection rigoureuse du personnel de nettoyage et politique contractuelle
● Portes avec face extérieure à bouton
● Travail à domicile : politique en place
Mesures centres de données :
● Vidéosurveillance
● Système de contrôle d'accès automatique
● Système de fermeture électronique avec gestion des autorisations
● Blocages d'accès biométriques
● Politique d'accès restrictive
● Personnel de garde
● Accompagnement des visiteurs exclusivement par des collaborateurs autorisés
● Entrées du système d'alarme
● Couverture contractuelle avec les prestataires de services (maintenance)
● Serrures de sécurité
1.2 Contrôle d'accès
mesures :
● Authentification avec utilisateur et mot de passe
● Utilisation de logiciels antivirus
● Utilisation de pare-feux
● Utilisation de la technologie VPN pour les accès à distance
● Chiffrement des supports de données
● Verrouillage automatique du bureau
● Chiffrement des ordinateurs portables / tablettes
● Gestion des autorisations des utilisateurs
● Création de profils d'utilisateurs
● Règles centrales relatives aux mots de passe
● Utilisation de l'authentification à deux facteurs
● Réglementation des clés / registre des clés
● Politique générale de l'entreprise en matière de protection des données et de sécurité
● Politique d'entreprise en matière de mots de passe sécurisés
● Politique d'entreprise "Supprimer/détruire
● Politique d'entreprise "Cleandesk".
● Politique d'entreprise sur l'utilisation des appareils mobiles
● Instruction générale de verrouiller manuellement le bureau en quittant le poste de travail
1.3 Contrôle d'accès
mesures :
● Destruction professionnelle externe de supports de données et de dossiers
● Effacement physique des supports de données avant leur réutilisation
● Journalisation des accès aux applications (notamment lors de la saisie, de la modification et de la suppression de données)
● Utilisation d'un concept d'autorisation
● Le nombre d'administrateurs est aussi réduit que possible
● Conservation sûre des supports de données
● Gestion des droits des utilisateurs par les administrateurs système
1.4 Contrôle de la séparation
mesures :
● Séparation du système de production et du système de test
● Séparation logique des mandants (côté logiciel)
● Concept d'autorisation
● Définition des droits sur la base de données
● Colocation d'applications pertinentes
1.5 Pseudonymisation
mesures :
● Instruction interne de supprimer, dans la mesure du possible, les données à caractère personnel en cas de transmission ou même après l'expiration du délai légal de suppression.
● rendre anonyme / pseudonymiser
● Pseudonymisation des données à caractère personnel à des fins d'analyse en collaboration avec des tiers
2. intégrité
2.1 Contrôle de la transmission
mesures :
● Installations de tunnels VPN
● Cryptage WLAN (WPA2 avec mot de passe fort)
● Journalisation des accès et des consultations
● Mise à disposition des données via des connexions cryptées telles que SFTP ou HTTPS
● Documentation des destinataires des données ainsi que de la durée de la cession prévue ou des délais d'effacement
● Gestion des fournisseurs selon la norme ISO 27001
2.2 Rôle d'entrée
mesures :
● Enregistrement de la saisie, de la modification et de la suppression des données
● Contrôle manuel ou automatique des protocoles
● Conservation des formulaires dont les données ont été reprises dans des traitements automatisés
● Création d'un aperçu des applications permettant de saisir, de modifier et de supprimer des données.
● Traçabilité de la saisie, de la modification et de la suppression des données grâce à des noms d'utilisateurs individuels (pas de groupes d'utilisateurs)
● Attribution de droits pour la saisie, la modification et la suppression de données sur la base d'un concept d'autorisation
3. disponibilité et résistance au stress
3.1 Contrôle de la disponibilité
mesures :
● Data Center selon la norme Tier 4
● Systèmes de détection d'incendie et de fumée et installations d'extinction
● Appareils de surveillance de la température et de l'humidité dans les salles de serveurs
● Climatisation dans les salles de serveurs
● Bâtis de prises de protection dans les salles de serveurs
● Alimentation sans interruption (ASI) et système d'alimentation de secours
● Système RAID / mise en miroir des disques durs
● Vidéosurveillance dans les salles de serveurs
● Message d'alarme en cas d'accès non autorisé aux salles de serveurs
● Sauvegardes régulières
● Concept de sauvegarde & de récupération (Business Continuity Policy)
● Contrôle du processus de sauvegarde
● Conservation de la sauvegarde des données dans un lieu sûr et externalisé
● Systèmes de surveillance
● Existence d'un plan d'urgence
● Ligne d'alimentation redondante
● Examen et tests réguliers des plans d'urgence
● Politique de gestion des incidents
4) des procédures de suivi, d'évaluation et d'appréciation périodiques
4.1 Mesures de protection des données
mesures :
● Utilisation de la plate-forme heyData pour la gestion de la protection des données
● Position du conseiller à la protection des données par heyData
● Engagement des soumissionnaires à respecter la confidentialité des données
● Former régulièrement les collaborateurs à la protection des données
● Tenue d'un registre des activités de traitement (art. 12 LPD)
● Certification de sécurité selon ISO 27001
● contrôle régulier de l'efficacité des mesures techniques de protection
● CISO / responsable interne de la sécurité de l'information
● Audits (internes et externes)
● L'organisation respecte les obligations d'information selon les articles 13 et 14 du RGPD
4.2 Gestion de la réponse aux incidents
mesures :
● Processus de notification des violations de la protection des données au sens de l'art. 5 let. h LPD vis-à-vis du PFPDT (art. 24 al. 1 LPD)
● Processus de notification des violations de la protection des données selon l'art. 5 let. h LPD vis-à-vis des personnes concernées (art. 24 al. 4 LPD)
● Implication du conseiller à la protection des données dans les incidents de sécurité et les violations de données
● Utilisation de logiciels antivirus
● Utilisation de pare-feux
● mise à jour régulière
● vérification régulière des failles de sécurité
● Gestion des risques
● Filtre anti-spam
● Scanner antivirus
● Procédure documentée de gestion des incidents de sécurité
● Politique de gestion des incidents
4.3 Préférences en matière de protection des données
mesures :
Les mesures suivantes mises en œuvre tiennent compte des conditions des principes "Privacy by design" et "Privacy by default" :
● Formation des collaborateurs au "Privacy by design" et au "Privacy by default".
● Aucune donnée à caractère personnel n'est collectée au-delà de ce qui est nécessaire pour chaque objectif.
4.4 Contrôle de la commande
mesures :
Les mesures suivantes garantissent que les données à caractère personnel ne peuvent être traitées que conformément aux instructions :
● Instructions écrites données au sous-traitant ou instructions sous forme de texte (par ex. par un contrat de sous-traitance)
● Assurer la destruction des données à la fin de la mission, par exemple en demandant les confirmations correspondantes
● Confirmation par les sous-traitants qu'ils obligent leurs propres employés à respecter la confidentialité des données (typiquement dans le contrat de sous-traitance)
● Sélectionner soigneusement les contractants (notamment en ce qui concerne la sécurité des données)
● Contrôle permanent des contractants et de leurs activités