Description générale des mesures techniques et organisationnelles
1. Confidentialité
Le risque de dommages physiques, matériels ou immatériels ou le risque d'atteinte aux droits et libertés des personnes concernées doit être réduit.
>> Contrôle d'accès
Mesures techniques et organisationnelles :
- Règlement sur le guidage des visiteurs
- Inscription à la réception
- Le visiteur est inscrit sur la liste des visiteurs par la réception
- Guidage personnel des visiteurs
- Autres mesures de protection
- Surveillance de sécurité
- Surveillance par caméra
>> Contrôle d'accès
Mesures techniques et organisationnelles :
- Contrôle d'accès aux ordinateurs du réseau DocuWare et aux comptes basés sur le cloud
- Identification de l'utilisateur
- Authentification obligatoire à deux facteurs
- Blocage de connexion basé sur le lieu (liste noire des pays)
- Mot de passe sécurisé
- Blocage de la répétition du mot de passe après 3 tentatives infructueuses
- Complexité, 9 caractères, pas de répétition du mot de passe
- Cycle de changement
- Circuit de pause protégé par mot de passe et programmé dans le temps (économiseur d'écran)
- Il existe un règlement dans lequel les collaborateurs ont été obligés de verrouiller manuellement les ordinateurs en quittant leur poste de travail. Après 15 minutes, l'écran est automatiquement verrouillé
- Protection des systèmes en réseau contre les intrusions non autorisées
- Firewall
- Protection des terminaux
- Audit et détection des menaces
- Tests d'intrusion externes pour identifier les points faibles et y remédier
- Les disques durs des ordinateurs portables sont cryptés
>> Contrôle d'accès
Mesures techniques et organisationnelles :
- Profil d'autorisation pour les collaborateurs
- Gestion des utilisateurs
- Autorisation d'accès dépendant de
- Responsabilités
- Définition des tâches
- Si nécessaire, également différencié selon
- Autorisation de lecture
- Autorisation d'écriture
- Les autorisations pour les collaborateurs externes sont documentées dans la base de données IT. Toutes les demandes de modification des droits d'accès sont enregistrées par l'IT dans le système de tickets
- Règles claires pour l'adaptation de la gestion des droits
- En cas de modification du domaine d'activité d'un collaborateur, les droits qui ne sont plus nécessaires sont adaptés en temps réel
- Les modifications sont traitées par le système de tickets de l'IT et
- Les autorisations des collaborateurs externes et l'accès aux applications critiques pour l'entreprise sont régulièrement contrôlés
- Mesures pour le contrôle d'accès
- Procédure de contrôle et de validation des programmes
- Consignation et évaluation des incidents critiques pour la sécurité
- Modifications des paramètres du firewall
>> Contrôle de la séparation
Mesures techniques et organisationnelles :
- Systèmes DocuWare Cloud
- Séparation logique des données (documents) et des bases de données par client
- Documents : chaque client a son propre partage de fichiers dans lequel sont classés ses documents
- Base de données : chaque client dispose de sa propre base de données
- Contient des données d'indexation pour les documents dans les corbeilles à lettres et les archives
- Contient également des données d'organisation telles que les utilisateurs et les rôles
- Base de données du système DocuWare
- Contient des données nécessaires au fonctionnement du système (non spécifiques au client)
2. L'intégrité
Il convient de réduire le risque de dommages physiques, matériels ou immatériels ou le risque d'atteinte aux droits et libertés des personnes concernées en cas d'altération involontaire ou non autorisée ou d'action illégale ou négligente de données traitées sur mandat.
>> Contrôle de la transmission
Mesures techniques et organisationnelles :
- La transmission des données via Internet se fait toujours en format crypté
- VPN : entre les différents sites du réseau de l'entreprise et les centres de données
- SSL : accès aux systèmes DocuWare Cloud pour les clients
- Protection des données lors de leur transmission
- Protection par mot de passe
- TeamViewer est utilisé par le support et le service professionnel pour la maintenance à distance (connexion cryptée)
- Les données d'accès (également aux systèmes des clients) sont gérées dans Password Tools
- Important :
- Ne transmettez jamais de comptes de test ou de données d'accès à DocuWare dans des courriels
- Les comptes de test ou les données d'accès au support DocuWare ou aux services professionnels doivent être désactivés ou les mots de passe modifiés une fois le cas de support ou le projet terminé
- Sécurisation des PC et des lecteurs externes (disques durs mobiles, clés USB, etc.) contre toute utilisation abusive
- Les directives de sécurité pour le transport crypté se trouvent dans le manuel de protection des données
- L'utilisation de supports de données mobiles est réglée dans une directive
- Effacement / élimination sécurisés des supports de données
- Les supports de données mis au rebut sont rassemblés dans le service informatique où ils sont effacés de manière appropriée, puis éliminés
- Accès aux données et aux systèmes du client en télémaintenance
- Le client démarre TeamViewer. Celui-ci lui indique un numéro. Il communique ce numéro à l'employé de DocuWare pour que celui-ci établisse la connexion
- En accord avec le client, Professional Service utilise parfois aussi un mode dans lequel le client ne confirme pas la connexion de son côté
- TeamViewer utilise un protocole sécurisé
- Enregistrement de la télémaintenance
>> Contrôle de la saisie
Mesures techniques et organisationnelles :
- Accès aux données du client et aux systèmes du client dans le cadre d'une télémaintenance
- L'accès à la télémaintenance TeamViewer doit être démarré activement par le client
- En accord avec le client, Professional Service utilise parfois aussi un mode dans lequel le client ne doit pas confirmer la connexion de son côté
- Les télémaintenances Teamviewer sont consignées des deux côtés (client/client)
3. Disponibilité et résilience
Il convient de réduire le risque de dommages physiques, matériels ou immatériels ou le risque d'atteinte aux droits et libertés, y compris par action illicite ou par négligence, pour les personnes concernées en raison de l'indisponibilité des données traitées sur mandat.
>> Contrôle de la disponibilité
Mesures techniques et organisationnelles :
- Sauvegarde : les données importantes sont sauvegardées à intervalles réguliers dans un système de sauvegarde et synchronisées vers un lieu externe selon des horaires définis (Cloud Backup)
- Les serveurs et les appareils d'infrastructure du réseau local sont reliés à un réseau de communication
- Les voies de communication sont connues et respectées
- Des plans d'urgence existent pour les systèmes centraux
- Les serveurs importants des systèmes DocuWare Cloud peuvent être réinstallés à tout moment par script (évolutivité/résistance aux pannes)
- La restauration des systèmes centraux dans le service informatique est effectuée régulièrement
4. Des procédures de contrôle, d'évaluation et d'appréciation périodiques
Des procédures doivent être mises en œuvre pour vérifier, apprécier et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement.
>> Contrôle de la mission
Mesures techniques et organisationnelles :
- Examen régulier
- Les "mesures techniques et organisationnelles" sont vérifiées au moins une fois par an
- Surveillance de l'exécution de la commande du client / de l'action de service
- Professional Services décrit un test d'acceptation des utilisateurs (plan de test qui doit fonctionner selon la commande) avant l'exécution de la commande. L'acceptation par les clients est consignée dans le protocole d'acceptation
- Protocole lors de l'accès aux systèmes des clients et aux données des clients
- L'accès à distance se fait par Celui-ci peut également être utilisé sur place si le client le souhaite
>> Organisation interne de l'entreprise Mesures techniques et organisationnelles :
- Gestion de la protection des données
- Seuls les collaborateurs qui ont été tenus de respecter les dispositions légales en matière de protection des données sont autorisés à consulter les données correspondant à leur domaine d'activité
- Il existe des directives de comportement internes ainsi qu'une politique de protection des données
- Tous les collaborateurs sont formés à intervalles réguliers (au moins une fois par an) sur le thème de la protection des données par e-learning ou par d'autres moyens et
- Les responsabilités et les compétences des différents collaborateurs sont définies dans un organigramme ainsi que dans des descriptions de postes et sont connues dans l'entreprise
- Gestion des incidents
- Le respect des mesures techniques et organisationnelles est vérifié chaque année (audit) par le délégué à la protection des données et, le cas échéant, corrigé
- La gestion des incidents est vérifiée dans le cadre des certifications
- Protection des données par la conception technique
- Choix d'une technologie respectueuse de la protection des données lors de l'acquisition