Mesures techniques et organisationnelles (TOM)

Version : 29.09.2023

Ces mesures techniques et organisationnelles s'appliquent à Netstream AG et à Netstream Cloud AG.

Responsable

Le responsable selon l'art. 5 lettre j de la loi fédérale sur la protection des données (loi sur la protection des données, LPD) est Netstream AG, Richtistrasse 2, 8304 Wallisellen, Suisse, et Netstream Cloud AG, Auenstrasse 10, 8600 Dübendorf, e-mail :netstream Nous sommes représentés légalement par Alexis Caceda.

Conseiller à la protection des données

Notre conseiller en matière de protection des données est joignable par l'intermédiaire de heyData GmbH, Schützenstrasse 5, 10117 Berlin, www.heydata.eu, e-mail : datenschutz@heydata.eu.

Objet du document

Ce document résume les mesures techniques et organisationnelles prises par le responsable au sens de l'article 8, paragraphe 1 de la LPD. Il s'agit de mesures par lesquelles le responsable protège les données à caractère personnel.

1. confidentialité

1.1 Contrôle d'accès

Mesures concernant les bureaux :

Protection des puits de bâtiment

Système de contrôle d'accès automatique

Système de fermeture par carte à puce/transpondeur

Serrures de sécurité

Sonnerie avec caméra

Réglementation des clés / registre des clés

Sélectionner soigneusement le personnel de sécurité

Visiteurs uniquement accompagnés par des membres du personnel

Sélection rigoureuse du personnel de nettoyage et politique contractuelle

Portes avec face extérieure à bouton

Travail à domicile : politique en place

 

Mesures centres de données :

Vidéosurveillance

Système de contrôle d'accès automatique

Système de fermeture électronique avec gestion des autorisations

Blocages d'accès biométriques

Politique d'accès restrictive

Personnel de garde

Accompagnement des visiteurs exclusivement par des collaborateurs autorisés

Entrées du système d'alarme

Couverture contractuelle avec les prestataires de services (maintenance)

Serrures de sécurité

 

1.2 Contrôle d'accès

mesures :

Authentification avec utilisateur et mot de passe

Utilisation de logiciels antivirus

Utilisation de pare-feux

Utilisation de la technologie VPN pour les accès à distance

Chiffrement des supports de données

Verrouillage automatique du bureau

Chiffrement des ordinateurs portables / tablettes

Gestion des autorisations des utilisateurs

Création de profils d'utilisateurs

Règles centrales relatives aux mots de passe

Utilisation de l'authentification à deux facteurs

Réglementation des clés / registre des clés

Politique générale de l'entreprise en matière de protection des données et de sécurité

Politique d'entreprise en matière de mots de passe sécurisés

Politique d'entreprise "Supprimer/détruire

Politique d'entreprise "Cleandesk".

Politique d'entreprise sur l'utilisation des appareils mobiles

Instruction générale de verrouiller manuellement le bureau en quittant le poste de travail

1.3 Contrôle d'accès

mesures :

Destruction professionnelle externe de supports de données et de dossiers

Effacement physique des supports de données avant leur réutilisation

Journalisation des accès aux applications (notamment lors de la saisie, de la modification et de la suppression de données)

Utilisation d'un concept d'autorisation

Le nombre d'administrateurs est aussi réduit que possible

Conservation sûre des supports de données

Gestion des droits des utilisateurs par les administrateurs système

1.4 Contrôle de la séparation

mesures :

Séparation du système de production et du système de test

Séparation logique des mandants (côté logiciel)

Concept d'autorisation

Définition des droits sur la base de données

Colocation d'applications pertinentes

1.5 Pseudonymisation

mesures :

Instruction interne de supprimer, dans la mesure du possible, les données à caractère personnel en cas de transmission ou même après l'expiration du délai légal de suppression.

rendre anonyme / pseudonymiser

Pseudonymisation des données à caractère personnel à des fins d'analyse en collaboration avec des tiers

2. intégrité

2.1 Contrôle de la transmission

mesures :

Installations de tunnels VPN

Cryptage WLAN (WPA2 avec mot de passe fort)

Journalisation des accès et des consultations

Mise à disposition des données via des connexions cryptées telles que SFTP ou HTTPS

Documentation des destinataires des données ainsi que de la durée de la cession prévue ou des délais d'effacement

Gestion des fournisseurs selon la norme ISO 27001

2.2 Rôle d'entrée

mesures :

Enregistrement de la saisie, de la modification et de la suppression des données

Contrôle manuel ou automatique des protocoles

Conservation des formulaires dont les données ont été reprises dans des traitements automatisés

Création d'un aperçu des applications permettant de saisir, de modifier et de supprimer des données.

Traçabilité de la saisie, de la modification et de la suppression des données grâce à des noms d'utilisateurs individuels (pas de groupes d'utilisateurs)

Attribution de droits pour la saisie, la modification et la suppression de données sur la base d'un concept d'autorisation

3. disponibilité et résistance au stress

3.1 Contrôle de la disponibilité

mesures :

Data Center selon la norme Tier 4

Systèmes de détection d'incendie et de fumée et installations d'extinction

Appareils de surveillance de la température et de l'humidité dans les salles de serveurs

Climatisation dans les salles de serveurs

Bâtis de prises de protection dans les salles de serveurs

Alimentation sans interruption (ASI) et système d'alimentation de secours

Système RAID / mise en miroir des disques durs

Vidéosurveillance dans les salles de serveurs

Message d'alarme en cas d'accès non autorisé aux salles de serveurs

Sauvegardes régulières

Concept de sauvegarde & de récupération (Business Continuity Policy)

Contrôle du processus de sauvegarde

Conservation de la sauvegarde des données dans un lieu sûr et externalisé

Systèmes de surveillance

Existence d'un plan d'urgence

Ligne d'alimentation redondante

Examen et tests réguliers des plans d'urgence

Politique de gestion des incidents

4) des procédures de suivi, d'évaluation et d'appréciation périodiques

4.1 Mesures de protection des données

mesures :

Utilisation de la plate-forme heyData pour la gestion de la protection des données

Position du conseiller à la protection des données par heyData

Engagement des soumissionnaires à respecter la confidentialité des données

Former régulièrement les collaborateurs à la protection des données

Tenue d'un registre des activités de traitement (art. 12 LPD)

Certification de sécurité selon ISO 27001

contrôle régulier de l'efficacité des mesures techniques de protection

CISO / responsable interne de la sécurité de l'information

Audits (internes et externes)

L'organisation respecte les obligations d'information selon les articles 13 et 14 du RGPD

4.2 Gestion de la réponse aux incidents

mesures :

Processus de notification des violations de la protection des données au sens de l'art. 5 let. h LPD vis-à-vis du PFPDT (art. 24 al. 1 LPD)

Processus de notification des violations de la protection des données selon l'art. 5 let. h LPD vis-à-vis des personnes concernées (art. 24 al. 4 LPD)

Implication du conseiller à la protection des données dans les incidents de sécurité et les violations de données

Utilisation de logiciels antivirus

Utilisation de pare-feux

mise à jour régulière

vérification régulière des failles de sécurité

Gestion des risques

Filtre anti-spam

Scanner antivirus

Procédure documentée de gestion des incidents de sécurité

Politique de gestion des incidents

4.3 Préférences en matière de protection des données

mesures :

Les mesures suivantes mises en œuvre tiennent compte des conditions des principes "Privacy by design" et "Privacy by default" :

 

Formation des collaborateurs au "Privacy by design" et au "Privacy by default".

Aucune donnée à caractère personnel n'est collectée au-delà de ce qui est nécessaire pour chaque objectif.

  •  

4.4 Contrôle de la commande

mesures :

Les mesures suivantes garantissent que les données à caractère personnel ne peuvent être traitées que conformément aux instructions :

Instructions écrites données au sous-traitant ou instructions sous forme de texte (par ex. par un contrat de sous-traitance)

Assurer la destruction des données à la fin de la mission, par exemple en demandant les confirmations correspondantes

Confirmation par les sous-traitants qu'ils obligent leurs propres employés à respecter la confidentialité des données (typiquement dans le contrat de sous-traitance)

Sélectionner soigneusement les contractants (notamment en ce qui concerne la sécurité des données)

Contrôle permanent des contractants et de leurs activités

Logo Netstream blanc

Vous avez des questions sur nos services ou vous avez besoin d'informations ? N'hésitez pas à nous contacter via le formulaire ou directement à hello(atnetstream.ch

Vous pouvez également utiliser notre LiveChat en bas à droite ou nous appeler au 058 058 40 00.

En savoir plus.

Apprenez-en plus sur les possibilités qui s'offrent à vous avec Netstream Cloud. Laissez vos coordonnées et nous vous contacterons.

Ou appelez-nous au :
058 058 40 00