Concept de sécurité
Confidentialité en vertu de l’article 32 1 lit. RGPD
Mesures qui sont conçues pour empêcher les personnes non autorisées d’avoir accès aux installations de traitement des données utilisé pour traiter ou utiliser les données personnelles.
| Mesures techniques | Mesures organisationnelles |
|---|---|
| Système de verrouillage manuel | Règlement clef / liste |
| Système d'accès électronique avec consignation | Visiteurs accompagnés d'employés |
| Serrures de sécurité. | Inscription des visiteurs et carte |
| Portes avec bouton à l’extérieur |
Mesures visant à empêcher l'utilisation de systèmes de traitement de données (ordinateurs) par des personnes non autorisées.
| Mesures techniques | Mesures organisationnelles |
|---|---|
| Connexion avec nom d'utilisateur + mot de passe | Gestion des autorisations des utilisateurs |
| Connexion avec des données biométriques | Création de profils d'utilisateurs |
| Serveur de logiciels anti-virus | Directive « mot de passe sécurisé » |
| Logiciels anti-virus clients | Directive « suppression / destruction » |
| Directive générale sur la protection et/ou la sécurité des données | |
| Chiffrement Pare-feu des supports de données | Politique des périphériques mobiles |
| Cryptage des smartphones | Instructions « Verrouillage manuel des ordinateurs du bureau » |
| Verrouillage automatique des ordinateurs de bureau | |
| Cryptage des ordinateurs portables /tablettes |
Il s'agit de mesures qui garantissent que les personnes qui sont habilitées à utiliser un système de traitement de données puissent exclusivement avoir accès aux données qui sont soumises à leurs droit d’accès, et que les données à caractère personnel ne puissent pas être lues, copies, modifiées ou supprimées lors du traitement, de l’utilisation, et après leur sauvegarde.
| Mesures techniques | Mesures organisationnelles |
|---|---|
| Suppression physique des supports de données | Utilisation de concepts de droits |
| Enregistrement des accès et des consultations, concrètement lors de la saisie, la modification et la suppression de données | Nombre minimal d’administrateurs |
| Cryptage de supports de données | Administration des droits d’utilisateurs par des administrateurs |
| Cryptage des smartphones |
Il s'agit de mesures qui garantissent que les données recueillies à différentes fins puissent être traitées séparément. Cela peut être assuré par exemple par une séparation logique et physique des données.
| Mesures techniques | Mesures organisationnelles |
|---|---|
| Séparation entre l’environnement productif et l’environnement d'essai | Commande par le concept d’autorisation |
| Séparation physique (bases de données/ supports de données | Définition de droits d’accès aux bases de données) |
| Aptitude multi-clients des applications pertinentes |
Le traitement de données à caractère personnel effectué de telle manière que celles-ci ne puissent plus être affectées à une personne concernée sans que des informations supplémentaires soient nécessaires, à condition que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles correspondantes :
| Mesures techniques | Mesures organisationnelles |
|---|---|
| En cas de pseudonymisation : Séparation des données d'affectation et conservation dans un système séparé et sécurisé (éventuellement crypté) | Instruction interne pour anonymiser/ pseudonymiser si possible des données personnelles en cas de transfert ou même après l'expiration du délai légal de suppression |
Intégrité (article 32 lit. 1 b du RGPD)
Il s'agit de mesures qui garantissent que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant leur transmission électronique ou pendant leur transport ou leur stockage sur des supports de données et qu'il est possible de vérifier et de déterminer les endroits vers lesquels les données à caractère personnel doivent être transférées par les installations de transmission de données.
| Mesures techniques | Mesures organisationnelles |
|---|---|
| Utilisation du VPN | Soin lors de la sélection du personnel de transport et des véhicules |
| Enregistrement des accès et des consultations | |
| Récipients de transport sécurisés | |
| Mise à disposition de connexions cryptées telles que sftp, https |
Il s'agit de mesures qui garantissent qu'il peut être vérifié et établi a posteriori si des données à caractère personnel ont été saisies, modifiées ou supprimées dans des systèmes ou applications de traitement des données, et par qui.
| Mesures techniques | Mesures organisationnelles |
|---|---|
| Enregistrement technique de la saisie, de la modification et de la suppression des données | Aperçu des programmes avec lesquels des données peuvent être saisies, modifiées ou supprimées |
| Contrôle manuel ou automatisé des enregistrements | Traçabilité de la saisie, de la modification et de la suppression des données par noms d'utilisateurs individuels (et non par groupes d'utilisateurs) |
| Attribution de droits de saisie, de modification et de suppression de données sur la base d'un concept d'autorisation | |
| Conservation des formulaires à partir desquels des données ont été prises en charge dans des processus automatisés | |
| Compétences claires en matière de suppressions |
Disponibilité et capacité de charge (art. 32 al. 1 lit. b RGPD)
Il s'agit de mesures qui garantissent que les données à caractère personnel soient protégées contre la destruction ou la perte accidentelle.
| Mesures techniques | Mesures organisationnelles |
| Concept de sauvegarde et de restauration | |
| Contrôle du processus de sauvegarde | |
| Conservation des supports de sauvegarde à un emplacement sécurisé en dehors de la salle des serveurs |
Procédure de vérification, d'estimation et d'évaluation régulières (art. 32, al. 1 lit. d du RGPD, art. 25, al. 1 du GDPR)
| Mesures techniques | Mesures organisationnelles |
|---|---|
| Employés formés et soumis à l’obligation de confidentialité/ de secret des données | |
| Sensibilisation régulière des employés, au moins une fois par an | |
| L'organisation se soumet aux obligations d'information prévues aux articles 13 et 14 du RGPD |
Paramètres par défaut favorisant la protection des données (art. 25, al. 2 du GDPR)
| Mesures techniques | Mesures organisationnelles |
|---|---|
| On ne recueillera pas plus de données personnelles que ce qui est nécessaire pour la fin en question. | |
| Simple exercice du droit d’opposition de la personne concernée par des mesures techniques |
SCRIBOS 360 – Architecture système
Serveur web et de bases de données redondants
Pare-feu et connexion SSL sécurisée
Répartition de la charge, sauvegarde et restriction d'accès
Codes d'identification cryptés stockés uniquement, décryptage impossible
Système de prévention et de détection des intrusions, unités d'alimentation de secours
Surveillance & temps de fonctionnement 24 h sur 24 et 7 j sur 7 / Contrôle du fonctionnement
Hub internet haut débit rapide et fiable
Certifié haute sécurité : Certification ISO 27001 pour la sécurité des données et des TI