Contrôles

L’entreprise exige que les employés signent un accord de confidentialité lors de l’intégration.

Les exigences de conservation de l’entreprise sont documentées, et les informations personnelles sont conservées, selon les besoins, à des fins commerciales et/ou conformément aux lois ou réglementations applicables.

L’entreprise dispose de plans de continuité d’activité et de reprise après sinistre qui définissent des plans de communication afin d’assurer la continuité de la sécurité de l’information en cas d’indisponibilité de personnel clé.

L’entreprise dispose d’accords écrits avec ses fournisseurs et des tiers, incluant des engagements de confidentialité et de protection de la vie privée.

Les politiques et procédures de sécurité de l’information de l’entreprise sont documentées et révisées au moins une fois par an.

L’entreprise utilise des protocoles sécurisés de transmission de données afin de chiffrer les données confidentielles et sensibles lors de leur transmission sur des réseaux publics.

L’entreprise documente les nouvelles finalités pour les informations collectées précédemment, informe les personnes concernées, obtient le consentement lorsque cela est requis et veille à ce que les données soient utilisées conformément à la finalité documentée.

La direction et/ou le service juridique examine et approuve les méthodes de collecte des informations personnelles afin de garantir un traitement équitable et conforme à la loi.

L’entreprise dispose d’une méthodologie formelle de cycle de vie de développement des systèmes (SDLC) qui encadre le développement, l’acquisition, la mise en œuvre, les modifications (y compris les modifications d’urgence) et la maintenance des systèmes d’information ainsi que des exigences technologiques associées.

L’entreprise a établi une politique de confidentialité rédigée dans un langage clair et simple, datée de manière explicite, et fournissant des informations sur les pratiques et les finalités de l’entreprise en matière de collecte, de traitement, de gestion et de divulgation des renseignements personnels.

L’entreprise dispose de processus et de procédures pour recueillir, enregistrer et vérifier les demandes, requêtes, plaintes ou litiges liés aux droits d’un individu en matière de confidentialité, notamment l’accès, la consultation, la modification et/ou la suppression des informations personnelles. Les demandes d’accès sont consignées à des fins d’historique et d’audit.

L’entreprise fait réaliser, au moins une fois par an, des inspections de maintenance des mesures de sécurité environnementale dans les centres de données de l’entreprise.

L’entreprise met sa politique de confidentialité à la disposition des clients, des employés et des tiers concernés avant ou au moment où des informations personnelles sont collectées auprès d’un individu.

L’entreprise effectue des vérifications des antécédents des nouveaux employés.

L’entreprise réalise des auto-évaluations des contrôles au moins une fois par an afin d’obtenir l’assurance que les contrôles sont en place et fonctionnent efficacement. Des actions correctives sont engagées sur la base des constats pertinents. Si l’entreprise s’est engagée sur un SLA pour un constat, l’action corrective est réalisée dans le délai prévu par ce SLA.

L’entreprise dispose d’une politique de confidentialité qui décrit clairement la portée des informations personnelles collectées, les obligations de l’entreprise, les droits de la personne d’accéder, de mettre à jour ou de supprimer ses informations personnelles, et fournit des coordonnées à jour pour toute question, demande ou préoccupation.

L’entreprise examine et met à jour sa politique de confidentialité si nécessaire ou lorsque des changements surviennent, afin de garantir une conformité continue avec les lois, réglementations et normes pertinentes applicables.

L’entreprise supprime de l’environnement applicatif les données client contenant des informations confidentielles lorsque les clients quittent le service, conformément aux meilleures pratiques.

L’entreprise examine la politique de confidentialité selon les besoins ou lorsque des changements surviennent, et la met à jour en conséquence afin de garantir qu’elle est conforme aux lois, réglementations et normes appropriées applicables.

Les membres du conseil d’administration de l’entreprise disposent de l’expertise suffisante pour superviser la capacité de la direction à concevoir, mettre en œuvre et exploiter des contrôles de sécurité de l’information. Le conseil fait appel, au besoin, à des experts et des consultants tiers en sécurité de l’information.

L’entreprise maintient une assurance cybersécurité afin d’atténuer l’impact financier des interruptions d’activité.

L’entreprise fournit les informations demandées, après vérification, dans les meilleurs délais et conformément à la législation applicable.

L’entreprise examine et met régulièrement à jour ses politiques et procédures relatives aux informations personnelles afin de s’assurer que les données collectées sont clairement identifiées comme essentielles ou optionnelles, traitées avec le niveau de consentement approprié conformément aux exigences légales et réglementaires applicables, et utilisées uniquement aux fins définies dans l’avis de confidentialité.

Par politique, l’entreprise interdit que des données clients confidentielles ou sensibles soient utilisées ou stockées dans des systèmes/environnements hors production.

L’entreprise examine l’accès aux centres de données au moins une fois par an.

L’entreprise exige que l’authentification aux magasins de données de production utilise des mécanismes d’authentification sécurisés autorisés, tels qu’une clé SSH unique.

L’entreprise applique une stratégie multi-sites pour les environnements de production afin de permettre la reprise des opérations dans d’autres centres de données de l’entreprise en cas de perte d’une installation.

Les systèmes de production de l’entreprise ne peuvent être accessibles à distance que par des employés autorisés, via une connexion chiffrée approuvée.

L’entreprise obtient, documente et conserve un consentement explicite avant la collecte, l’utilisation ou la divulgation d’informations sensibles, conformément aux exigences légales et réglementaires applicables.

L’entreprise valide les demandes de suppression et, une fois confirmées, supprime les informations demandées conformément aux lois et réglementations applicables.

L’entreprise a mis en place des procédures formelles de conservation et de suppression afin d’encadrer la conservation et la suppression sécurisées des données de l’entreprise et des clients.

Les systèmes de production de l’entreprise ne peuvent être accessibles à distance que par des employés autorisés disposant d’une méthode d’authentification multifacteur (MFA) valide.

L’entreprise fournit aux clients des directives et des ressources d’assistance technique relatives à l’exploitation du système.

L’entreprise a établi, maintient et examine, au moins une fois par an, une documentation sur la nature, l’étendue et la finalité des informations personnelles collectées, traitées, stockées et/ou divulguées à des tiers.

Les évaluations des risques de l’entreprise sont réalisées au moins une fois par an et comprennent l’identification des menaces, des changements et des risques de fraude susceptibles d’avoir un impact sur les objectifs.

L’entreprise dispose d’un programme de gestion des risques documenté, incluant l’identification des menaces, l’évaluation des risques et des stratégies d’atténuation.

Les rôles et responsabilités liés à la conception, au développement, à la mise en œuvre, à l’exploitation, à la maintenance et à la surveillance des contrôles de sécurité de l’information sont formellement attribués dans les descriptions de poste et/ou dans la politique relative aux rôles et responsabilités.

Avant d’accorder l’accès à des informations personnelles, l’entreprise vérifie l’identité de la personne concernée ou de son représentant autorisé et s’assure que cet accès est légalement autorisé.

L’entreprise examine et approuve les sources tierces d’informations personnelles afin de garantir la fiabilité des données et leur collecte légale.

L’entreprise teste son plan de réponse aux incidents au moins une fois par an.

Le conseil d’administration de l’entreprise dispose d’une charte documentée qui décrit ses responsabilités de supervision en matière de contrôle interne.

L’entreprise exige que les employés suivent une formation de sensibilisation à la sécurité dans les trente jours suivant leur embauche, puis au moins une fois par an par la suite.

L’entreprise a documenté et communiqué des politiques et procédures de réponse aux incidents de sécurité et de confidentialité.

Le conseil d’administration de l’entreprise se réunit au moins une fois par an et conserve des procès-verbaux officiels. Le conseil comprend des administrateurs indépendants de l’entreprise.

L’entreprise a documenté des processus afin de garantir que les réclamations liées à la protection de la vie privée soient traitées, consignées et communiquées aux personnes concernées.

Le conseil d’administration de l’entreprise ou un sous-comité compétent est informé par la direction générale au moins une fois par an de l’état des risques de cybersécurité et de confidentialité de l’entreprise. Le conseil fournit à la direction des retours et des orientations selon les besoins.

L’entreprise fournit une description de ses produits et services aux utilisateurs internes et externes.

La direction de l’entreprise a établi des rôles et des responsabilités clairement définis afin de superviser la conception et la mise en œuvre des contrôles de sécurité de l’information.

Les engagements de sécurité de l’entreprise sont communiqués aux clients dans les contrats-cadres de services (MSA) ou les conditions d’utilisation (TOS).

L’entreprise a mis en place des processus pour l’attribution, la modification et la suppression de l’accès physique aux centres de données de l’entreprise, sur la base d’une autorisation des responsables des contrôles.

Le réseau de l’entreprise est segmenté afin d’empêcher tout accès non autorisé aux données des clients.

L’entreprise définit ses objectifs afin de permettre l’identification et l’évaluation des risques liés à ces objectifs.

Les individus peuvent accepter ou refuser les cookies non essentiels, et aucune donnée personnelle n’est traitée sans consentement valide.

L’entreprise tient à jour un organigramme décrivant la structure organisationnelle et les lignes hiérarchiques.

Rédigez une description complète de votre système pour la section III du rapport d'audit.

L’entreprise chiffre les appareils de médias portables et amovibles lorsqu’ils sont utilisés.

L’entreprise dispose d’un système d’assistance accessible aux utilisateurs externes, permettant de signaler les pannes du système, les incidents, les préoccupations et autres réclamations au personnel compétent.

Les managers de l’entreprise sont tenus de réaliser des évaluations de performance pour leurs collaborateurs directs au moins une fois par an.

L’entreprise exige que les modifications apportées aux logiciels et aux composants d’infrastructure du service soient autorisées, formellement documentées, testées, examinées et approuvées avant leur mise en œuvre dans l’environnement de production.

L’entreprise communique les modifications du système aux utilisateurs internes autorisés.

Les personnes, les clients ou les titulaires de compte autorisés peuvent mettre à jour leurs informations personnelles afin d’en garantir l’exactitude et l’exhaustivité.

L’entreprise élimine de manière sécurisée les informations personnelles conformément à des politiques documentées. Les données personnelles sont anonymisées, effacées de manière sécurisée et/ou détruites lorsqu’elles ne sont plus nécessaires.

L’entreprise dispose d’une politique de classification des données afin de garantir que les données confidentielles sont correctement sécurisées et réservées au personnel autorisé.

L’entreprise communique les corrections ou suppressions des informations personnelles d’un individu aux utilisateurs autorisés et aux tiers concernés à qui ces informations personnelles ont été partagées ou transférées.

L’entreprise exige que les employés reconnaissent un code de conduite au moment de l’embauche. Les employés qui enfreignent le code de conduite sont passibles de mesures disciplinaires conformément à une politique disciplinaire.

L'entreprise exige que l'authentification au « réseau de production » utilise des noms d'utilisateur et des mots de passe uniques ou des clés Secure Shell (SSH) autorisées.

L’entreprise exige que les prestataires signent un accord de confidentialité au moment de leur engagement.

L'entreprise informe les personnes lorsque des informations personnelles sont collectées ou utilisées à de nouvelles fins qui n'étaient pas auparavant indiquées dans la politique de confidentialité.

L’entreprise informe les clients des changements critiques du système susceptibles d’affecter leur traitement.

L’entreprise obtient le consentement et les préférences d’une personne au moment de la collecte des données ou avant celle-ci, conserve une documentation et met en œuvre les préférences choisies dans des délais raisonnables.

L’entreprise exige que les visiteurs s’enregistrent, portent un badge visiteur et soient escortés par un employé autorisé lorsqu’ils accèdent au centre de données ou aux zones sécurisées.

Les politiques formelles de l’entreprise définissent les exigences en matière de gestion des vulnérabilités et de surveillance des systèmes.

L’entreprise exige que l’authentification aux systèmes et aux applications utilise un nom d’utilisateur et un mot de passe uniques ou des clés Secure Shell (SSH) autorisées.

L’entreprise exige que les accords avec les prestataires incluent un code de conduite ou une référence au code de conduite de l’entreprise.