Sécurisation des données
1. SÉCURISATION DES ACCÈS
Snouki garantit avoir sécurisé les infrastructures et le raccordement aux réseaux de tout système d’information utilisé par lui ou ses sous-traitants dans le cadre de la fourniture des Services contre toute intrusion ou accès frauduleux tiers susceptible d’entraîner un dommage aux services, équipements, logiciels, contenus, ou leur altération, vol, duplication, utilisation, suppression ou modification non autorisés.
Cette sécurisation s’appuie notamment sur la mise en place d’une solution de sécurité logique fiable, robuste, éprouvée et performante, évolutive et pérenne, à l’aide notamment de firewall, de monitoring et de contrôle des utilisations faites des équipements et logiciels.
Snouki s’engage à :
- surveiller régulièrement l’activité des systèmes et infrastructures à sa charge afin de détecter et analyser tout comportement anormal ou inhabituel des dits systèmes ;
- s’assurer que l’ensemble des informations, supports physiques et dispositifs logiciels concourant à la sauvegarde des Services, sont correctement stockés dans des locaux sécurisés et accessibles aux seuls personnels autorisés ;
- modifier immédiatement les mots de passe d’administration des systèmes sensibles en cas de départ et/ou d’affectation à une autre tâche de tout administrateur informatique ayant eu connaissance de ces mots de passe.
Snouki est tenu d’appliquer, sur tous les équipements, serveurs et bases de données à sa charge, concourant aux Services, la politique de gestion et d’attribution des mots de passe d’administration technique du Client.
Il doit notamment s’assurer au minimum de l’application des principes suivants :
- chaque acteur interne ou externe, permanent ou temporaire, accédant au système d’information doit être reconnu par une identité unique et normée, invariante dans le temps ;
- tout accédant doit être référencé dans un « annuaire sécurisé », mis à jour à partir de demandes relevant de la responsabilité de la hiérarchie du Prestataire ;
- l’utilisation par plusieurs personnes d’un même identifiant individuel est par définition interdite. Les exceptions, si elles existent, doivent être justifiées et soumises à une dérogation formelle du Responsable de la Sécurité des Systèmes d’Information du Prestataire ;
- la gestion des identifiants doit être assurée de manière cohérente afin de prendre en compte les mouvements de personnel (arrivée, départ, mutation …) ;
- les mots de passe doivent être conformes aux préconisations de l’état de l’art en ce domaine.
En cas de suspicion de compromission d’un système, et une fois la collecte des informations de preuve réalisée, l’ensemble de l’environnement (y compris les outils de sécurité afférents) doit être restauré à partir d’une configuration de « confiance ». La totalité des mots de passe gérés par le système doit être changée sur l’ensemble des équipements utilisant les mêmes mots de passe. Toutes les modifications récentes des droits administrateurs doivent être contrôlées.
Snouki garantit l’authentification des Utilisateurs en respectant la politique du Client relative à l’identification des Utilisateurs (notamment, la sécurité des mots de passe, les préconisations SSO) et en assurant techniquement l’efficacité de cette politique.
2. DONNÉES À CARACTÈRE PERSONNEL
Au regard du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, et des éventuelles spécificités mises en place par la législation française, « toute personne traitant des Données à Caractère Personnel pour le compte du responsable du traitement est considérée comme un sous-traitant. ».
Les Parties conviennent que le Client est considéré comme le responsable du traitement et que Snouki est considéré comme son sous-traitant. Le sous-traitant ne pourra agir que sur instruction du responsable du traitement.
Snouki s’engage à ne traiter les Données du Client que conformément aux instructions du Client, aux dispositions du futur Contrat de prestation, à la législation applicable et notamment dans le respect de l’Article 28 du Règlement.
Snouki garantit que ses mesures techniques et organisationnelles présentent le niveau de garantie nécessaire pour que le traitement réponde aux exigences du Règlement et garantisse la protection des droits de la personne.
Snouki s’engage à prendre toutes les mesures requises par l’Article 32 du Règlement afin de garantir un niveau de sécurité adapté au risque, à savoir, entre autres :
- des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité
- des moyens permettant de rétablir la disponibilité des Données à Caractère Personnel et l’accès à celles-ci dans les délais appropriés en cas d’Incident physique ou technique,
- une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Snouki garantit également que ses collaborateurs ont été sensibilisés, formés et organisés pour présenter les garanties suffisantes de sécurité et de confidentialité des données.