Concept de sécurité

Confidentialité en vertu de l’article 32 1 lit. RGPD

Mesures qui sont conçues pour empêcher les personnes non autorisées d’avoir accès aux installations de traitement des données utilisé pour traiter ou utiliser les données personnelles.

 

Mesures techniques Mesures organisationnelles
Système de verrouillage manuel Règlement clef / liste
Système d'accès électronique avec consignation Visiteurs accompagnés d'employés
Serrures de sécurité. Inscription des visiteurs et carte
Portes avec bouton à l’extérieur  

Mesures visant à empêcher l'utilisation de systèmes de traitement de données (ordinateurs) par des personnes non autorisées.

 

Mesures techniques Mesures organisationnelles
Connexion avec nom d'utilisateur + mot de passe Gestion des autorisations des utilisateurs
Connexion avec des données biométriques Création de profils d'utilisateurs
Serveur de logiciels anti-virus Directive « mot de passe sécurisé »
Logiciels anti-virus clients Directive « suppression / destruction »
  Directive générale sur la protection et/ou la sécurité des données
Chiffrement Pare-feu des supports de données Politique des périphériques mobiles
Cryptage des smartphones Instructions « Verrouillage manuel des ordinateurs du bureau »
Verrouillage automatique des ordinateurs de bureau  
Cryptage des ordinateurs portables /tablettes  

Il s'agit de mesures qui garantissent que les personnes qui sont habilitées à utiliser un système de traitement de données puissent exclusivement avoir accès aux données qui sont soumises à leurs droit d’accès, et que les données à caractère personnel ne puissent pas être lues, copies, modifiées ou supprimées lors du traitement, de l’utilisation, et après leur sauvegarde.

 

Mesures techniques Mesures organisationnelles
Suppression physique des supports de données Utilisation de concepts de droits
Enregistrement des accès et des consultations, concrètement lors de la saisie, la modification et la suppression de données Nombre minimal d’administrateurs
Cryptage de supports de données Administration des droits d’utilisateurs par des administrateurs
Cryptage des smartphones  

Il s'agit de mesures qui garantissent que les données recueillies à différentes fins puissent être traitées séparément. Cela peut être assuré par exemple par une séparation logique et physique des données.

 

Mesures techniques Mesures organisationnelles
Séparation entre l’environnement productif et l’environnement d'essai Commande par le concept d’autorisation
Séparation physique (bases de données/ supports de données Définition de droits d’accès aux bases de données)
Aptitude multi-clients des applications pertinentes  

Le traitement de données à caractère personnel effectué de telle manière que celles-ci ne puissent plus être affectées à une personne concernée sans que des informations supplémentaires soient nécessaires, à condition que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles correspondantes :

Mesures techniques Mesures organisationnelles
En cas de pseudonymisation : Séparation des données d'affectation et conservation dans un système séparé et sécurisé (éventuellement crypté) Instruction interne pour anonymiser/ pseudonymiser si possible des données personnelles en cas de transfert ou même après l'expiration du délai légal de suppression

Intégrité (article 32 lit. 1 b du RGPD)

Il s'agit de mesures qui garantissent que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant leur transmission électronique ou pendant leur transport ou leur stockage sur des supports de données et qu'il est possible de vérifier et de déterminer les endroits vers lesquels les données à caractère personnel doivent être transférées par les installations de transmission de données.

Mesures techniques Mesures organisationnelles
Utilisation du VPN Soin lors de la sélection du personnel de transport et des véhicules
Enregistrement des accès et des consultations  
Récipients de transport sécurisés  
Mise à disposition de connexions cryptées telles que sftp, https  

Il s'agit de mesures qui garantissent qu'il peut être vérifié et établi a posteriori si des données à caractère personnel ont été saisies, modifiées ou supprimées dans des systèmes ou applications de traitement des données, et par qui.

 

Mesures techniques Mesures organisationnelles
Enregistrement technique de la saisie, de la modification et de la suppression des données Aperçu des programmes avec lesquels des données peuvent être saisies, modifiées ou supprimées
Contrôle manuel ou automatisé des enregistrements Traçabilité de la saisie, de la modification et de la suppression des données par noms d'utilisateurs individuels (et non par groupes d'utilisateurs)
  Attribution de droits de saisie, de modification et de suppression de données sur la base d'un concept d'autorisation
  Conservation des formulaires à partir desquels des données ont été prises en charge dans des processus automatisés
  Compétences claires en matière de suppressions

Disponibilité et capacité de charge (art. 32 al. 1 lit. b RGPD)

Il s'agit de mesures qui garantissent que les données à caractère personnel soient protégées contre la destruction ou la perte accidentelle.

Mesures techniques Mesures organisationnelles
  Concept de sauvegarde et de restauration
  Contrôle du processus de sauvegarde
  Conservation des supports de sauvegarde à un emplacement sécurisé en dehors de la salle des serveurs

Procédure de vérification, d'estimation et d'évaluation régulières (art. 32, al. 1 lit. d du RGPD, art. 25, al. 1 du GDPR)

Mesures techniques Mesures organisationnelles
  Employés formés et soumis à l’obligation de confidentialité/ de secret des données
  Sensibilisation régulière des employés, au moins une fois par an
  L'organisation se soumet aux obligations d'information prévues aux articles 13 et 14 du RGPD

Paramètres par défaut favorisant la protection des données (art. 25, al. 2 du GDPR)

Mesures techniques Mesures organisationnelles
On ne recueillera pas plus de données personnelles que ce qui est nécessaire pour la fin en question.  
Simple exercice du droit d’opposition de la personne concernée par des mesures techniques  

SCRIBOS 360 – Architecture système

  • Serveur web et de bases de données redondants

  • Pare-feu et connexion SSL sécurisée

  • Répartition de la charge, sauvegarde et restriction d'accès

  • Codes d'identification cryptés stockés uniquement, décryptage impossible

  • Système de prévention et de détection des intrusions, unités d'alimentation de secours

  • Surveillance & temps de fonctionnement 24 h sur 24 et 7 j sur 7 / Contrôle du fonctionnement

  • Hub internet haut débit rapide et fiable    

  • Certifié haute sécurité : Certification ISO 27001 pour la sécurité des données et des TI