TOMS
Mesures de protection techniques et organisationnelles
(Sécurité du traitement conformément à l'article 32 du RGPD)
Préambule
Compte tenu de l'état de l'art, du coût de mise en œuvre et de la nature, de l'étendue, des circonstances et des finalités du traitement ainsi que de la probabilité variable de survenance et de la gravité du risque pour les droits et libertés des personnes physiques, la présente annexe précise les mesures de protection techniques et organisationnelles, telles que visées à l'article 32 du règlement de l'UE sur la protection des données (« RGPD »), découlant du traitement des données sous-jacent afin d'assurer un niveau adéquat de protection des données pour le risque.
Cette annexe s'applique à toutes les activités dans lesquelles les employés du sous-traitant (contractant) pourraient entrer en contact avec des données personnelles ou autres de l'organisme responsable (pouvoir adjudicateur).
§1 Les mesures de sécurité techniques et organisationnelles pour assurer un niveau adéquat de protection des données
(1) Mesures pour assurer une confidentialité permanente :
Les systèmes opérationnels de meetyoo correspondants sont situés dans un centre de données de haute sécurité certifié et spécialement conçu à Berlin pour l'exploitation de l'infrastructure informatique.
meetyoo est certifié ISO 27001. Le certificat actuel est disponible sur le lien suivant :https://www.certipedia.com/quality_marks/9105037096?locale=en
Contrôle d’accès :
Système de contrôle d'accès au centre de données meetyoo :
L'accès aux zones louées du centre de données s'effectue via une puce d'accès associée à un code PIN. Les puces d'accès sont personnelles et sont spécifiquement attribuées nommément aux employés autorisés. De plus, l'accès aux zones doit être enregistré à l'avance.
Les puces d'accès ne sont délivrées qu'aux employés formés et, comme l'utilisation des puces, elles sont enregistrées. Le personnel externe ne peut pénétrer dans les zones du centre de données que sous la surveillance constante d'un employé de meetyoo. Les zones et les points d'accès aux zones sont sous surveillance vidéo 24h/24. Les armoires serveurs meetyoo sont verrouillables individuellement.
Système de contrôle d'accès aux bureaux de la Friedrichstrasse :
L'accès aux bureaux de la Friedrichstrasse est contrôlé par un système de carte d'accès. L'émission et l'utilisation des cartes sont enregistrées et les temps d'accès autorisés sont adaptés individuellement. Les visiteurs et le personnel tiers sont accueillis par le personnel d'accueil et accompagnés jusqu'à l'interlocuteur souhaité.
L'accès public à l'immeuble de bureaux est possible en semaine de 7h00 à 20h00. En dehors de ces horaires, une carte d'accès supplémentaire est nécessaire pour déverrouiller les portes d'entrée et l'ascenseur. Cette carte supplémentaire n'est délivrée qu'à certains employés. Cette carte ne peut être utilisée et délivrée qu'en étant consignée. Un concierge est toujours présent dans le hall de l'immeuble (24x7).
Toutes les portes sont fabriquées en anti-effraction et, dans la mesure où il s'agit d'issues de secours, sécurisées par un système d'alarme local. Les bureaux sont situés au troisième étage. Les fenêtres ne peuvent être inclinées vers le bas qu'avec un angle très étroit et sont en verre de sécurité, de sorte que la pénétration n'est pas possible.
Centre de données du système de contrôle d'accès AWS :
Le matériel informatique utilisé pour les événements virtuels est situé dans le data center de la société Amazon Web Services EMEA SARL à Francfort ou Paris. Les centres de données sont certifiés selon les normes en vigueur :
ISO 27001, ISO 27017, ISO27018, SAS 70 Type 1, PCI DSS Niveau 1, HIPAA.
L'accès physique au centre de données AWS est strictement contrôlé par un personnel de sécurité professionnel, à la fois au périmètre et aux entrées du bâtiment. Vidéosurveillance et détection d'attaques à la pointe de la technologie des systèmes et autres équipements électroniques sont utilisés. Le personnel autorisé doit subir une authentification à deux facteurs au moins deux fois avant d'être autorisé à entrer dans les étages du centre de données. Tous les visiteurs et entrepreneurs doivent s'identifier et s'inscrire. Les visiteurs seront accompagnés en tout temps par du personnel autorisé.
Lorsque les personnes autorisées s'enregistrent, elles reçoivent un badge qui nécessite une authentification multifacteur et restreint l'accès aux zones préalablement autorisées.
L'accès au centre de données est enregistré et régulièrement audité par le personnel AWS.
Plus d'informations sur le concept de sécurité AWS : https://aws.amazon.com/de/security/
Contrôle d’accès :
Les autorisations sont attribuées exclusivement dans le cadre des obligations contractuelles pour la fourniture de l'étendue nécessaire des travaux respectifs.
Règles de mot de passe : L'accès aux systèmes de meetyoo est contrôlé par mot de passe. Une connexion utilisateur individuelle lors de la connexion au système est protégée par des règles de mot de passe strictes. Cela inclut les caractères spéciaux, la longueur minimale et les changements réguliers de mots de passe, entre autres.
Verrouillage de l'écran : Selon l'Accord d'utilisation des postes de travail informatiques, chaque employé de meetyoo est obligé de verrouiller son écran lorsqu'il quitte le lieu de travail. De plus, l'écran se verrouille automatiquement après cinq minutes d'inactivité. Les postes de travail des employés, qui doivent souvent quitter leur poste de travail pour une courte période en raison de la nature de leur travail (par exemple, l'accueil), sont également sécurisés par un dongle USB.
Contrôle d’accès :
Les autorisations sont attribuées exclusivement dans le cadre des obligations contractuelles pour la fourniture de l'étendue nécessaire des travaux respectifs. Les autorisations d'accès aux différents systèmes ne sont accordées qu'une fois qu'un salarié a suivi le plan de formation initiale respectif et qu'après approbation du chef de service. Ces approbations sont documentées de manière centralisée. Cela vaut également pour le
domaine de l'administration des systèmes. L'administration est également effectuée uniquement avec des comptes personnels dans la mesure du possible.
Les données concernant les concepts d'autorisation et les droits d'accès en fonction des besoins et l'enregistrement des accès sont protégés contre la lecture, la copie, la modification ou la suppression non autorisées.
Le réseau de meetyoo est divisé en plusieurs zones séparées par des pare-feux. Une attention stricte est portée à la conception de la communication entre ces zones pour s'assurer qu'aucune communication depuis les zones démilitarisées vers le réseau interne depuis meetyoo n'est autorisée.
Les données personnelles sont stockées dans la mesure du possible dans le réseau interne. La sécurité de ces mesures est régulièrement auditée par des prestataires externes et en interne dans le cadre d'un test d'intrusion (comme des tests boîte noire et blanche).
La protection antivirus est réalisée conformément à un processus défini et documenté. Tous les ordinateurs clients sont équipés d'un logiciel anti-virus approprié et communiquent régulièrement avec un serveur central, ce qui garantit que les signatures sont à jour. Ce serveur central vérifie tous les e-mails sortants à la recherche d'une éventuelle infection virale pour s'assurer qu'aucun virus n'est mis en circulation à partir du réseau de meetyoo. De plus, tous les e-mails entrants sont contrôlés contre les virus avec l'aide d'un fournisseur de services. Les messages concernés ne sont pas remis.
Contrôle de séparation :
Le réseau de meetyoo est divisé en plusieurs zones séparées par des pare-feux. Une attention stricte est portée à la conception de la communication entre ces zones pour s'assurer qu'aucune communication depuis les zones démilitarisées vers le réseau interne depuis meetyoo n'est autorisée.
Les données personnelles ne seront collectées que dans le cadre absolument nécessaire à notre prestation de services. Une fois que les données ne sont plus nécessaires, elles sont supprimées. L'examen d'un portefeuille de données pour les données qui ne sont plus nécessaires intervient conformément à un calendrier d'examen spécifié. Cela n'affecte pas le droit individuel à l'information, à la rectification et à la suppression des données personnelles conformément à l'art. 15 – 17 (RGPD). Les demandes d'informations peuvent être adressées à tout moment au délégué à la protection des données de l'entreprise de meetoo et seront traitées dans les plus brefs délais. La suppression des factures détaillées est également soumise aux exigences de la TKG (loi sur les télécommunications). Ces exigences seront bien entendu respectées.
Les modifications apportées aux systèmes existants ainsi que l'introduction de nouveaux systèmes ne sont en principe effectuées qu'après un test approfondi dans un réseau de test meetyoo complètement découplé du réseau d'exploitation. Avant de porter une telle modification/nouvelle fonctionnalité dans le réseau d'exploitation, un test d'acceptation documenté et une AMDEC sont effectués, y compris la définition des contre-mesures appropriées.
La mise à jour des systèmes d'information s'effectue dans le cadre du processus documenté de gestion des correctifs. Les nouveaux correctifs sont d'abord testés dans un environnement de laboratoire, puis installés dans le système d'exploitation. Les délais désignés dépendent de la classe de risque des erreurs à corriger.
(2) Mesures pour assurer l'intégrité de façon permanente :
Mesures visant à empêcher la lecture, la copie, la modification ou la suppression non autorisée des données personnelles lors de la transmission ou du transport électronique.
a)Commande de transfert
Mise en place de lignes dédiées ou de tunnels VPN. Transfert crypté de données depuis ou vers les réseaux externes au moyen de protocoles de transport appropriés.
b) Contrôle des enregistrements de données
Les droits de saisie, de modification et de suppression des données sont attribués sur la base d'un concept d'autorisation. La saisie, la modification et la suppression des données ne sont pas traçables par des noms d'utilisateurs individuels (et non par des groupes d'utilisateurs).
(3) Mesures pour assurer la disponibilité de façon permanente :
Les systèmes d'exploitation pertinents de meetyoo sont redondants.
Toutes les données commerciales de meetyoo sont sauvegardées à intervalles réguliers dans le cadre d'un plan de sauvegarde structuré. Ceci s'applique également en particulier aux données personnelles. La bonne exécution des tâches de sauvegarde est vérifiée quotidiennement. Une archive est également créée une fois par mois. Les données archivées sont stockées dans un coffre-fort. Un exercice d'urgence est également réalisé une fois par mois, au cours duquel la récupération des données à partir de la sauvegarde est testée. Le résultat du test est documenté.
Il existe un manuel d'urgence, dans lequel tous les différents scénarios d'erreur et les procédures d'exploitation appropriées pour les résoudre sont documentés pour tous les systèmes d'exploitation pertinents de meetyoo. Ce manuel d'urgence fait partie de notre système de gestion de la qualité et de la sécurité de l'information et fait l'objet d'une révision régulière (au moins une fois par an). Sur la base de ce manuel d'urgence, des exercices sont menés trimestriellement pour vérifier et s'assurer de la bonne réponse de chaque entité impliquée.
Les systèmes commerciaux de meetyoo sont situés sur une zone de centre de données conçue spécifiquement pour l'exploitation de l'infrastructure informatique. L'alimentation est assurée par deux anneaux d'alimentation séparés, chacun sécurisé par un onduleur. L'UPS garantit un temps de pontage de 30 (trente) minutes à pleine charge. Une protection supplémentaire est fournie au moyen d'un moteur diesel qui garantit l'alimentation électrique pendant 24 (vingt-quatre) heures supplémentaires.
Il existe un système de détection précoce des incendies et un système d'extinction d'incendie non toxique et gazeux dans la zone du centre de données.
Centre de données AWS
Afin de protéger les données des comptes et des utilisateurs contre la perte, elles sont sauvegardées plusieurs fois par jour. La sauvegarde de la base de données est sécurisée par le service Amazon S3 (Cloud Storage Service) avec mise en miroir multiple. Les données non modifiables (par exemple les vidéos, les fichiers journaux, etc.) sont sauvegardées par le service Amazon Glacier. Les deux offrent une « durabilité conçue » de 99,9999999 %. Tous les trois mois, un contrôle est effectué pour voir si le processus de restauration des sauvegardes fonctionne.
(4) Mesures d'utilisation de pseudonymes et d'anonymisation des données personnelles :
Il existe une séparation stricte des données de base des clients et des données de vente des clients, grâce à l'utilisation de systèmes séparés les uns des autres. Cela implique un CRM et un système ERP. Dans le respect des lois applicables, les données seront automatiquement anonymisées. Après l'expiration de la période de stockage respective, ces données seront également supprimées automatiquement.
(5) Mesures de cryptage des données personnelles :
L'échange de données à caractère personnel s'effectue à l'aide des mécanismes de cryptage suivants :
-Utilisation de mots de passe cryptés
-Transfert crypté de données depuis ou vers des réseaux externes au moyen de protocoles de transport appropriés (SSL/TLS, etc.)
-Utilisation de supports de données cryptés et d'appareils mobiles
(6) Mesures pour assurer en permanence la capacité des systèmes et services :
Dans le cadre de notre système de gestion de la sécurité de l'information, des tests d'intrusion réguliers et documentés sont réalisés. Des dispositifs de surveillance de la température et de l'humidité sont installés dans les salles des serveurs. Les systèmes et services sont conçus de telle sorte que des cas ad hoc de charges élevées en opérations de traitement soient possibles.
Centre de données AWS
Dans le cadre de la gestion de la sécurité de l'information, des tests d'intrusion réguliers et documentés sont effectués dans le centre de données d'Amazon. Les systèmes et services d'Amazon sont conçus de manière à ce que même des charges élevées sélectives d'événements virtuels soient possibles.
(7) Mesures de restauration rapide de la disponibilité en cas d'incident physique ou technique :
Toutes les données de meetyoo pertinentes pour l'entreprise sont sauvegardées à intervalles réguliers dans le cadre d'un plan de sauvegarde structuré. Ceci s'applique également et en particulier aux données personnelles. La bonne exécution des tâches de sauvegarde est vérifiée quotidiennement. De plus, une archive est créée mensuellement. Les données archivées sont stockées dans un coffre-fort. Un exercice d'urgence a également lieu mensuellement, dans le cadre duquel la restauration des données à partir de la sauvegarde est testée. Le résultat du test est documenté.
Centre de données AWS
Les données du compte et de l'utilisateur sont sauvegardées plusieurs fois par jour dans le cadre d'un plan de sauvegarde structuré utilisant le service Amazon S3. Tous les trois mois, il est vérifié si le processus de sauvegarde fonctionne.
(8) Mesures pour l'examen régulier, l'évaluation et l'évaluation de l'efficacité des mesures techniques et organisationnelles :
meetyoo est certifié ISO 27001. Le certificat actuel est disponible sur le lien suivant : https://www.certipedia.com/quality_marks/9105037096?locale=en
Dans le cadre de notre système de gestion de la sécurité de l'information, les mesures techniques et organisationnelles de protection des données personnelles sont régulièrement auditées et évaluées.
Tous les employés sont tenus de maintenir le secret des données et reçoivent une formation régulière.
Un délégué à la protection des données a été nommé et travaille en étroite collaboration avec meetyoo pour soutenir la mise en œuvre et l'évaluation de notre système de gestion de la protection des données.
(9) Mesures de suppression des données et de limitation du traitement :
meetyoo prend les mesures suivantes pour la suppression des données :
-Suppression des données au moyen d'un logiciel, y compris la journalisation
-Destruction physique des supports de données, y compris la journalisation
-Déchiquetage de documents papier, y compris la journalisation