Mesures techniques et organisationnelles
Les mesures mentionnées dans cette page sont mises en œuvre pour garantir le respect des lois applicables en matière de protection des données.
Article 1. Confidentialité (article 32, paragraphe 1, point b, du RGPD)
1.1. Contrôles d'entrée
Pas d'entrée non autorisée dans les installations de traitement des données, les bâtiments, les pièces.
Contrôles d'entrée (physique), tels que : cartes magnétiques ou à puce, clés, ouvre-portes électriques, personnel de sécurité de l'entreprise/portiers, systèmes d'alarme, systèmes vidéo, politique du bureau propre, c'est-à-dire mesures concrètes de gestion de la sécurité de l'information et de la protection des données.
En particulier :
Optimy doit mettre en œuvre un contrôle de la sécurité physique dans le cadre d'un système de gestion de la sécurité de l'information (ISMS en anglais).
Ces contrôles sont les suivants:
- Définir et documenter un périmètre de sécurité
- Mise en œuvre des contrôles d'entrée physique
Au moment de la rédaction de ce document:
- Le bureau d'Optimy n'héberge aucune partie de l'infrastructure de ses produits (en s'appuyant sur l'infrastructure comme service).
- Le bâtiment abritant les bureaux d'Optimy est protégé par un SAS d’entrée, des caméras et une alarme (le bâtiment abrite également des bureaux de banque).
- Les badges sont utilisés pour restreindre l'accès au bureau.
- Le bureau est situé au deuxième étage du bâtiment.
- Un registre des visiteurs est tenu à jour. Tous les visiteurs sont accompagnés.
- Protection contre les menaces externes et environnementales.
Au moment de la rédaction de ce document:
- La société qui gère le bâtiment abritant les bureaux d'Optimy se conforme à la réglementation belge en matière de protection contre les incendies, ce qui implique des formations régulières et des exercices d'entraînement.
- Optimy définit, documente et communique une politique claire en matière de bureau et d'écran.
- Optimy définit, documente et communique une politique de télétravail en matière de sécurité physique.
Au moment de la rédaction de ce document:
- Il est déconseillé de travailler dans les espaces publics.
- Les supports amovibles et les documents papier contenant des informations confidentielles doivent être verrouillés lorsqu'ils ne sont pas utilisés, conformément à la Politique de gestion des actifs et à la Politique de classification des informations.
1.2. Contrôle d'accès
Pas d'utilisation non autorisée du système, c'est-à-dire pas de lecture, de copie, d'édition ou de suppression non autorisées dans le système, par exemple : Systèmes d'autorisation et droits d'accès fondés sur les besoins, enregistrement des accès, mots de passe sécurisés, mécanismes de verrouillage automatisés, authentification à deux facteurs, cryptage des supports de données.
En particulier :
Optimy doit mettre en œuvre un contrôle de sécurité des accès dans le cadre d'un système de gestion de la sécurité de l'information.
Ces contrôles sont les suivants:
- Suivre le principe de moindre privilège
- Il s'agit notamment de réduire au minimum l'accès des employés d'Optimy aux données de production.
Au moment de la rédaction de ce document, les données des clients ne sont accessibles qu'à :
- L'équipe Customer Success
- L'équipe IT Operations
- Mise en place d'un contrôle d'accès basé sur les rôles au sein d'Optimy
Au moment de la rédaction de ce document:
- L'accès basé sur le rôle est fourni aux utilisateurs selon les principes du "moindre privilège", du "besoin de savoir" ou du "besoin d’agir", sur la base d'une justification commerciale.
- Les droits d'accès privilégiés sont enregistrés.
- Les journaux d’audits d'actions privilégiées sont stockés dans des environnements sécurisés, comme tous nos journaux.
- L'accès d'urgence fait référence à l'utilisation d'un identifiant avec des droits d'accès élevés pour résoudre un problème validé du système. L'utilisation de ces identifiants doit être explicitement approuvée par la direction concernée et contrôlée en conséquence.
- Révision annuelle des droits d'accès (au minimum)
- Laisser les clients gérer l'accès de leurs employés à la solution.
Au moment de la rédaction de ce document:
- Nous pouvons mettre en œuvre SMAL2 SSO
- Dans le cas contraire, les utilisateurs se connectent à l'aide de leur adresse électronique et de leur mot de passe.
- La complexité du mot de passe peut être configurée par le client via les paramètres administratifs de la solution.
- L’authentification à plusieurs facteurs peut être ajoutée/renforcée par le client via les paramètres administratifs de la solution.
- Renforcer l'authentification forte en interne.
Au moment de la rédaction de ce document:
- L’authentification à deux facteurs et l'utilisation de Google SSO sont obligatoires.
- Un gestionnaire de mots de passe est fourni pour couvrir les exceptions.
1.3. Contrôle de la ségrégation
Traitement séparé des données collectées à des fins différentes, par exemple ségrégation spécifique au client, sandboxing.
En particulier, au moment de la rédaction :
- Les données des clients sont logiquement séparées les unes des autres. Nous avons mis en œuvre cette sécurité à très bas niveau dans notre code d'application, en veillant à ce que toutes les piles de codes construites reposent sur elle. Le seul moyen d'accéder aux données du "client A" est d'avoir un login valide créé au sein du "client A".
- Pour les clients ayant des normes de sécurité plus élevées, nous proposons une option payante supplémentaire pour dédier et isoler l'hébergement de la solution et des données.
- Les données des clients ne quittent jamais l'environnement de production. La seule exception est le débogage, qui fait l'objet d'un processus strict.
- Les bases de données ne sont pas accessibles aux équipes de développement.
- Un cliché instantané de(s) base(s) de données de production est constamment pris et automatiquement anonymisé. (Les données des clients sont anonymisées)
- La base de données anonymisée est ensuite mise à la disposition du ou des développeurs.
- Le processus ci-dessus est entièrement automatisé.
1.4. Traitement des données (en tant que contractant)
Il s'agit de toutes les formes de traitement des données à caractère personnel. Cela comprend, entre autres, l'obtention, la modification, l'utilisation, la divulgation, la sauvegarde et la suppression des données. Peu importe que les données soient traitées par des moyens analogiques ou électroniques, manuellement ou par le biais d'un logiciel automatisé.
1.5. Anonymisation
Traitement des données à caractère personnel de telle sorte que la personne concernée ne soit pas ou plus identifiable
Au moment de la rédaction, l'anonymisation est utilisée dans le cadre des tests, comme expliqué dans le chapitre sur la ségrégation.
Article 2. Intégrité (article 32, paragraphe 1, point b, du RGPD)
Optimy évalue chaque année les risques pour la confidentialité, l'intégrité et la disponibilité, puis définit et met en œuvre un plan de traitement.
2.1. Contrôles de la divulgation
Pas de lecture, de copie, de modification ou de suppression non autorisées pendant la transmission ou le transport électronique, par exemple : chiffrement, réseaux privés virtuels (VPN), signature électronique.
En particulier, au moment de la rédaction du présent document :
- Classification et étiquetage
Optimy a défini et mis en œuvre une échelle de classification. Les employés et les sous-traitants sont étiquetés avec des informations dans l'ensemble de l'organisation.
- Propriété des actifs
Tous les biens sont inventoriés et attribués à un propriétaire, responsable de la sécurité et de l'accès au bien.
- Signature électronique
Nous faisons la distinction entre les environnements de production et de non-production.
- Environnements de production
- Les points d'extrémité en contact direct avec la clientèle sont protégés par la solution SSL pour SaaS de Cloudflare (https://www.cloudflare.com/ssl-for-saas-providers/).
- Ce service appartient à l'équipe IT Operations et permet la création et la gestion de la base de certificats.
- Les certificats et clés internes de notre infrastructure sont stockés et protégés dans AWS KMS. Ce service appartient à Optimy et est géré par notre partenaire d'infrastructure tiers, Skyscrapers.
- Environnements hors production (tests, staging, etc.)
- Les points d'accès en façade sont protégés par des certificats Let's Encrypt générés automatiquement.
- Les composants de l'infrastructure interne utilisent AWS KMS, comme pour les environnements de production.
- L'espace de noms KMS diffère pour les environnements de non-production et les clés/certificats doivent être différents.
- Chiffrement :
- Transport : Toutes les données sont transférées de manière cryptée en utilisant HTTPS (HTTP over TLS 1.2/TLS 1.3) tant pour l'interface publique que pour votre interface d'administration. Afin de garantir qu'un canal non sécurisé ne puisse pas être utilisé pour transporter vos données, nous avons également mis en œuvre la politique HTTP Strict Transport Security (HSTS).
- Stockage : Toutes les données stockées (données au repos) sont cryptées à l'aide de l'algorithme AES-256. Les clés utilisées pour crypter les données sont gérées par AWS et stockées dans un module de sécurité matériel (HSM) pour une sécurité de pointe.
2.2. Contrôles de la saisie des données
Enregistrement de la saisie, de la modification ou de la suppression de données à caractère personnel dans les systèmes de traitement des données et des utilisateurs qui les effectuent, par exemple : Enregistrement, gestion de documents
Au moment de la rédaction :
- Les journaux d'audit d'Amazon AWS sont conservés dans Cloudwatch/S3 et sont envoyés en temps quasi réel vers un deuxième compte AWS sécurisé pour être dupliqués.
- Les journaux du système (conteneurs Docker) sont envoyés à un service Elasticsearch afin d'être facilement consultables.
- Les journaux d'application sont envoyés à un service Elasticsearch afin d'être facilement consultables.
- Les journaux générés par l'activité des utilisateurs (clients) sont stockés dans la base de données de l'application.
- Nous utilisons les services de Google pour un large éventail d'applications (Drive, Mail, etc.). Ces journaux sont stockés au sein de Google.
Article 3. Disponibilité et fiabilité (article 32, paragraphe 1, point b, du RGPD)
3.1. Contrôles de disponibilité
Protection contre la destruction et la perte accidentelles ou volontaires, par exemple : stratégie de sauvegarde (en ligne/hors ligne ; sur site/hors site), alimentation électrique sans interruption (ASI), antivirus, pare-feu, chaîne de signalement et plans d'urgence ; possibilité de récupération rapide (article 32, paragraphe 1, point c), du RGPD).
Optimy a mis en place un plan de continuité des activités. Au moment de la rédaction du présent document :
Infrastructure Cloud
Notre partenaire Skyscrapers est responsable de la réalisation des sauvegardes, la politique convenue est la suivante.
Période de conservation :
- AWS RDS : clichés instantanés quotidiens, ce qui permet également une restauration ponctuelle. Les clichés instantanés de base de données sont conservés pendant un an.
- Service AWS ElasticSearch : cliché instantané horaire fourni par AWS, avec une durée de conservation de 14 jours.
- Skyscrapers fournit des clichés instantanés toutes les 6 heures, avec une rétention de 14 jours. Les clichés instantanés sont stockés sur un bucket S3 crypté.
- AWS ElastiCache pour Redis : les clichés instantanés sont désactivés par défaut mais peuvent être configurés.
- L'état de Kubernetes et les volumes Statefulset sont sauvegardés quotidiennement via Velero avec une rétention par défaut de 14 jours.
- État de Kubernetes : tous les objets sont sauvegardés sur S3 (chiffrés).
- Volumes EBS : utilise les instantanés AWS, chiffrés si le volume d'origine est chiffré.
Tests
Le Plan de continuité des activités et le Plan de reprise d’activité sont testés au moins une fois par an.
Article 4. Procédures de réexamen, d'appréciation et d'évaluation réguliers (article 32, paragraphe 1, point d), du GDPR, article 25, paragraphe 1, du GDPR). 1 GDPR)
- Gestion de la protection des données.
- Gestion de la réponse aux incidents.
- Paramètres par défaut respectueux de la protection des données. (article 25, paragraphe 2, du RGPD)
- Contrôles du traitement commandé.
Pas de traitement commandé au sens de l'article 28 du RGPD sans instructions correspondantes de la part du client, par exemple structuration claire des contrats, gestion formalisée des commandes, sélection rigoureuse des prestataires de services, évaluation préalable obligatoire, contrôles de suivi.
Optimy a défini et mis en œuvre :
- Un processus de réponse aux incidents.
- Un processus de gestion des actifs.
- Processus d'évaluation des vulnérabilités et processus de correction associé
- Incorporer la sécurité dans ses processus de gestion du changement à tous les niveaux.
- Tous les employés et les contractants doivent signer un accord de confidentialité à l'issue de la procédure d'intégration.
- Une politique de traitement des supports et une procédure d'élimination du matériel (y compris le déchiquetage et l'effacement).
- Une politique de sécurité en matière de télétravail.