Politique de Sécurité Signaturit

 

Version	Auteur	Approuvé par	Date d’approbation	Commentaire
1.0	Edwin Mata	Comité de Coordination	26 janvier 2018	Version initiale du document
2.0	Edwin Mata	Comité de Coordination	13 juin 2018	Modification de la section 3.1 Changement du comité de sécurité de l’information en comité de coordination.
2.1.	Edwin Mata	Comité de Coordination	25 janvier 2019	Modification de la section 1.1 Modification de la section 3.2 Modification de la section 3.5
3.0	Pau Mestre	Comité de Coordination	30 avril 2019	Modification de la section 3.1 Changement du comité de sécurité de l’information en comité de coordination
3.1	Milagros Quintana	Comité de Coordination	8 avril 2021	Modification de la section 1.1 Modification de la section 3.1 Modification de la section 3.5

 

1. Introduction

 

L’objectif de cette politique de haut niveau est de définir le but, l’orientation, les principes et les règles de base de la gestion de la sécurité de l’information.

La présente politique s’applique à l’ensemble du système de gestion de la sécurité de l’information (SGSI), tel que défini dans le document relatif à la portée du SGSI.

Les utilisateurs de ce document sont tous les employés de Signaturit, ainsi que les parties externes concernées.

 

1.1        Documents de référence

 

• ISO/IEC 27001, clauses 5.2 et 5.3
• ISO/IEC 27017, clause 5.1.1
• Norme ISO/IEC 27018, clauses 5.1.1 et A.9.2
• Document sur la portée de l’ISMS (OID 1.3.6.1.4.1.50646.110.2)
• Méthodologie d’évaluation et de traitement des risques (OID 1.3.6.1.1.4.1.50646.110.19)
• Déclaration d’applicabilité (OID 1.3.6.1.1.4.1.50646.110.26)
• Plan de continuité des activités et de reprise après sinistre (OID 1.3.6.1.1.4.1.50646.110.18)
• Procédure de gestion des incidents et plan de réponse (OID 1.3.6.1.4.1.50646.110.18.1)
• Plan de récupération de l’ICP (OID 1.3.6.1.1.4.1.50646.110.18.2)

 

2. Terminologie de base de la sécurité de l’information

 

Confidentialité – caractéristique d’une information selon laquelle elle n’est accessible qu’aux personnes ou systèmes autorisés.

Intégrité – caractéristique de l’information selon laquelle elle n’est modifiée que par des personnes ou des systèmes autorisés et de manière autorisée.

Disponibilité – caractéristique des informations permettant aux personnes autorisées d’y accéder en cas de besoin.

Sécurité de l’information – préservation de la confidentialité, de l’intégrité et de la disponibilité des informations.

Système de gestion de la sécurité de l’information – partie des processus de gestion globale responsable de la planification, de la mise en œuvre, du maintien, de la révision et de l’amélioration de la sécurité de l’information.

 

 

3. Gestion de la sécurité de l’information

 

3.1 Objectifs et mesures

Signaturit établit et évalue les objectifs sur une base annuelle. Tous les objectifs sont détaillés dans le document Comité de coordination de la révision des objectifs du SGSI et du SGQ. Veuillez vous référer au document spécifique pour connaître les objectifs applicables à chaque période auditée.

Le respect de tous les objectifs est mesuré par un expert indépendant. Cette mesure sera effectuée au moins une fois par an et AENOR INTERNACIONAL, S.A.U., société dont le siège social est situé Calle Génova, nº 6, 28004 Madrid, constituée pour une durée indéterminée par acte public passé devant le notaire de Madrid, M. Amalio MENÉNDEZ LORAS, le 13 juillet 2001, sous le numéro d’acte notarié 2.024, et inscrit au registre du commerce de Madrid, volume 16.834, folio 79, page M-287.700, 1ère inscription, est l’organisme expert indépendant désigné. Son rapport d’évaluation sera transmis directement au comité de coordination pour examen.

 

3.2 Exigences en matière de sécurité de l’information

La présente politique et l’ensemble du SGSI doivent être conformes aux exigences légales et réglementaires ainsi qu’aux obligations contractuelles pertinentes pour l’organisation et ses clients de services en nuage dans le domaine de la sécurité des informations et de la protection des informations personnellement identifiables (IPI).

La liste de la législation et des normes techniques applicables aux services fournis par Signaturit est détaillée dans la section 2.1 du document sur la portée du SGSI. En ce qui concerne les obligations contractuelles, le département juridique de Signaturit dispose d’un dossier contenant tous les contrats que Signaturit a signés avec des tiers ; l’accès à ce dossier est restreint. En outre, le département juridique supervise la conformité quotidienne de l’entreprise avec les tiers et la législation, et émet des recommandations à l’organe directeur de Signaturit lorsque cela est nécessaire.

 

3.3 Contrôles de sécurité de l’information

Le processus de sélection des contrôles (sauvegardes) est défini dans la méthodologie d’évaluation et de traitement des risques.

Les contrôles sélectionnés et leur état de mise en œuvre sont énumérés dans la déclaration d’applicabilité.

 

3.4 Continuité des activités

La gestion de la continuité des activités des services de Signaturit est établie dans les trois documents suivants :

1. Plan de continuité des activités et de reprise après sinistre.
2. Procédure de gestion des incidents et plan d’intervention.
3. Plan de reprise PKI.

 

3.5 Responsabilités

Les responsabilités du SGSI sont les suivantes

• Le comité de coordination est chargé de veiller à ce que le SGSI soit mis en œuvre et maintenu conformément à la présente politique, et de s’assurer que toutes les ressources nécessaires sont en place. Elle est également chargée de veiller à la désignation correcte des responsabilités des clients, partenaires, fournisseurs et autres tiers qui ont un rôle à jouer dans la gestion de la sécurité des informations.
• Le département juridique est responsable de la coordination opérationnelle du SGSI, ainsi que de l’établissement de rapports sur le fonctionnement du SGSI.
• Le directeur de la technologie est responsable de la sécurité opérationnelle des services d’infrastructure informatique de Signaturit, ainsi que du rapport sur leur performance en matière de sécurité au comité de coordination.
• Le comité de coordination doit revoir le SGSI au moins une fois par an ou à chaque fois qu’il y a un changement significatif et rédiger un procès-verbal de cette réunion. L’objectif de la revue de direction est d’établir la pertinence, l’adéquation et l’efficacité du SGSI.
• Le département des ressources humaines met en œuvre des programmes de formation et de sensibilisation à la sécurité de l’information pour les employés ; il est responsable de l’adoption et de la mise en œuvre du plan de formation.
• La protection de l’intégrité, de la disponibilité et de la confidentialité des actifs est la responsabilité du propriétaire de chaque actif.
• Tous les incidents ou faiblesses de sécurité doivent être signalés conformément à la procédure de gestion des incidents.
• Le département juridique définit quelles informations relatives à la sécurité de l’information doivent être communiquées à quelle partie intéressée (interne et externe), par qui et quand, afin de garantir la conformité de Signaturit avec la législation applicable et les normes internationales telles que ISO 9001, ISO 14001 et ISO 27001.

 

3.6 Communication de la politique

Le département juridique s’assure que tous les employés de Signaturit, ainsi que les parties externes appropriées, ont connaissance de cette politique. Par conséquent, cette politique est disponible pour tout le personnel de Signaturit dans Confluence, ainsi que toutes les politiques qui constituent la structure documentaire du système de gestion de la sécurité de l’information.

En outre, les nouvelles communications de ce document seront envoyées par courrier électronique à all@signaturit.com, en indiquant que son contenu est obligatoire pour tous les employés de Signaturit.

3.7 Soutien à la mise en œuvre du SMSI

Le comité de coordination déclare par la présente que la mise en œuvre du SGSI et l’amélioration continue seront soutenues par des ressources adéquates pour atteindre tous les objectifs établis dans cette politique, ainsi que pour satisfaire toutes les exigences identifiées de la norme ISO 27001.

 

 

4. Validité et gestion des documents

 

Le propriétaire de ce document est le chef du département juridique, qui doit vérifier et, si nécessaire, mettre à jour le document au moins tous les six mois.

Lors de l’évaluation de l’efficacité et de l’adéquation de ce document, les critères suivants doivent être pris en compte:

• le nombre d’employés et de parties externes qui jouent un rôle dans le SGSI, mais qui ne connaissent pas ce document
• la non-conformité du SGSI aux lois et règlements, aux obligations contractuelles et aux autres documents internes de l’organisation
• l’inefficacité de la mise en œuvre et de la maintenance du SGSI
• des responsabilités peu claires pour la mise en œuvre du SGSI

 

Politique de Sécurité d’Ivnosys

Version: v5
Validateur: Adresse
Date de validation: 14/02/2022

 

1. Validation et entrée en vigueur

 

Texte validé le 25 octobre 2021 par la Direction.

Cette Politique de sécurité de l’information est en vigueur depuis cette date et jusqu’à ce qu’elle soit remplacée par une nouvelle Politique.

 

2. Introduction

 

Ce document expose la Politique de sécurité de l’information d’Ivnosys FR S.A.S. comme l’ensemble des principes de base et des lignes d’action auxquels l’organisation s’engage, dans le cadre de la Norme ISO 27001 et du Schéma national de sécurité (ENS).

L’organisation dépend des systèmes TIC (Technologies de l’information et de la communication) pour atteindre ses objectifs. Ces systèmes doivent être gérés avec diligence, en prenant les mesures appropriées pour les protéger contre les dommages accidentels ou délibérés qui peuvent affecter la disponibilité, l’intégrité ou la confidentialité des informations traitées ou des services fournis.

L’information est un actif crucial, essentiel et d’une grande valeur pour le développement de l’activité de l’entreprise. Cet actif doit être protégé de manière appropriée, quels que soient les formats, supports, moyens de transmission, systèmes ou personnes intervenant dans sa connaissance, sa transformation ou son traitement.

L’objectif de la sécurité de l’information est d’assurer la qualité de l’information et la fourniture continue des services en agissant préventivement, en surveillant l’activité quotidienne et en réagissant rapidement aux incidents, afin d’assurer la qualité de l’information et la continuité de l’activité, minimiser les risques et permettre de maximiser les retours sur investissement et les opportunités d’affaires.

Les systèmes TIC doivent être protégés contre les menaces d’évolution rapide qui peuvent avoir une incidence sur la confidentialité, l’intégrité, la disponibilité, l’utilisation prévue et la valeur des informations et des services. Pour se défendre contre ces menaces, une stratégie adaptée aux changements de conditions de l’environnement est nécessaire pour assurer la fourniture continue des services. Cela signifie que les départements doivent appliquer les mesures minimales de sécurité requises par le Schéma national de sécurité et la Norme ISO/IEC 27001 relative aux Systèmes de sécurité de l’information, ainsi qu’un suivi continu des niveaux de prestation de services, suivre et analyser les vulnérabilités signalées et préparer une réponse efficace aux incidents afin d’assurer la continuité des services fournis.

Les différents départements doivent s’assurer que la sécurité des systèmes TIC fait partie intégrante de chaque étape du cycle de vie du système, depuis sa conception jusqu’à son retrait du service, en passant par les décisions de développement ou d’acquisition et les activités d’exploitation. Les exigences de sécurité et les besoins de financement doivent être identifiés et inclus dans la planification, dans la sollicitation d’offres à des fournisseurs et dans les mémoires techniques pour les projets TIC.

Les départements doivent être prêts à prévenir, détecter, réagir et récupérer les incidents, conformément à l’Article 7 de l’ENS et au système de Continuité d’exploitation de la Norme ISO 22301.

Cet article dispose ce qui suit :

Article 7. Prévention, réaction et récupération.

 

1. La sécurité du système doit prendre en compte les aspects de prévention, de détection et de correction, afin que les menaces qui pèsent sur le système ne se matérialisent pas, n’affectent pas gravement l’information qu’il gère ou les services fournis.
2. Les mesures de prévention doivent éliminer ou, du moins, réduire la possibilité que les menaces ne se concrétisent au détriment du système. Ces mesures de prévention devraient notamment prévoir la dissuasion et la réduction de l’exposition.
3. Les mesures de détection seront accompagnées de mesures de réaction, de sorte que les incidents de sécurité soient rapidement résolus.
4. Les mesures de récupération permettront de restaurer l’information et les services, de manière à pouvoir faire face aux situations où un incident de sécurité a pour effet de rendre les moyens habituels indisponibles.
5. Sans préjudice des autres principes fondamentaux et exigences minimales établis, le système assurera la conservation des données et des informations sous forme électronique.

De même, le système maintiendra les services disponibles tout au long du cycle de vie de l’information numérique, par le biais d’une conception et de procédures qui constituent la base de la préservation du patrimoine numérique.

La direction de l’entreprise, consciente de la valeur de l’information, est profondément attachée à la politique décrite dans ce document.

2.1. Prévention

Les départements doivent éviter, ou du moins empêcher, dans la mesure du possible, que les informations ou les services ne soient lésés par des incidents de sécurité. Pour ce faire, les départements doivent mettre en œuvre les mesures minimales de sécurité définies par l’ENS, ainsi que tout contrôle supplémentaire identifié par une évaluation des menaces et des risques. En outre, et dans l’intention claire d’améliorer cette prévention, les départements devront également mettre en œuvre toutes les exigences nécessaires pour satisfaire à la Norme ISO 27001. Ces contrôles, ainsi que les rôles et responsabilités de tous les membres du personnel en matière de sécurité, doivent être clairement définis et documentés.

Pour garantir le respect de la Politique, les départements doivent:

• Autoriser les systèmes avant d’entrer en activité
• Évaluer régulièrement la sécurité, incluant les évaluations des changements de configuration effectués régulièrement.
• Solliciter un examen périodique par des tiers en vue d’obtenir une évaluation indépendante.

2.2. Détection

Étant donné que les services peuvent se dégrader rapidement en raison d’incidents allant d’un simple ralentissement à leur détention, les services doivent surveiller l’opération en permanence afin de détecter les anomalies dans les niveaux de prestation des services et agir en conséquence conformément à l’Article 9. Réévaluation périodique de l’ESN, qui indique : « Les mesures de sécurité seront réévaluées et mises à jour régulièrement, afin d’adapter leur efficacité à l’évolution constante des risques et des systèmes de protection, et même repenser la sécurité, si nécessaire ».

La surveillance est particulièrement importante lorsque des lignes de défense sont établies conformément à l’Article 8 ENS. Des mécanismes de détection, d’analyse et de rapport parvenant de manière régulière aux responsables, et en cas de déviation significative des paramètres définis comme normaux, seront mis en place.
L’article 8 dispose :

Article 8. Lignes de défense:

1. 1. Le système doit disposer d’une stratégie de protection composée de multiples couches de sécurité, de sorte que lorsque l’une des couches manque, la stratégie puisse permettre de:

• 1. • a) Gagner du temps pour réagir de manière adéquate aux incidents qui n’ont pas pu être évités.
     • b) Réduire la probabilité que le système ne se voit impliqué dans son ensemble.
     • c) Minimiser l’impact final sur le résultat final.
  2. Les lignes de défense doivent être constituées de mesures de nature organisationnelle, physique et logique.

2.3. Réponse

Les départements doivent:

• Mettre en place des mécanismes permettant de réagir efficacement aux incidents en matière de sécurité.
• Désigner un point de contact pour les communications relatives aux incidents détectés dans d’autres départements ou dans d’autres organismes.
• Établir des protocoles pour l’échange d’informations relatives à l’incident.

Pour tout type de communication, interne et/ou externe, il conviendra de suivre les indications du Plan de communication, publié dans le Système de gestion d’Ivnosys, élaboré par l’organisation.

2.4. Récupération

Pour assurer la disponibilité des services essentiels, l’organisation s’est dotée d’un Plan général de continuité d’activité (PCN), publié dans le Système de gestion, évaluant les scénarios possibles de catastrophe et les stratégies de récupération, et la mise en place de plans d’urgence, régulièrement révisés.

 

3. Portée

 

La présente Politique de sécurité s’applique aux systèmes d’information qui prennent en charge les processus d’installation et d’exploitation des services de confiance en mode Cloud suivants:

1. 1. Système de gestion automatique de la réception des notifications électroniques, en reliant les sites électroniques des différents organismes. Il s’agit d’une application de bureau dotée d’un serveur Cloud centralisé qui prend en charge les applications (base de données, système de fichiers, …).
   2. Plate-forme de communications électroniques entre organisations ayant des preuves électroniques des différentes transactions. Il s’agit d’un système web commercialisé en mode SaaS.
   3. Système d’interopérabilité entre administrations publiques. Une administration peut, sous accord préalable, consulter des données émanant de citoyens et d’entreprises détenues par d’autres administrations, pour une utilisation dans ses propres procédures, en évitant que les intéressés ne soient obligés de se déplacer vers une autre administration.
   4. Système de gestion centralisée pour un serveur de clés cryptographiques HSM (certificats numériques) et une API de services Web pour les communications et preuves électroniques, et émission et gestion de cachets.
   5. Gestion du cycle de vie des certificats numériques (émission, validation, maintenance et révocation).

La Politique de sécurité de l’information est approuvée par la Direction de l’entreprise et son contenu, et les règles et procédures y faisant référence, sont obligatoires:

• • Tous les utilisateurs ayant accès aux informations traitées, gérées ou détenues par l’entreprise ont l’obligation et le devoir de les conserver et de les protéger.
  • La Politique et les Normes de sécurité de l’information seront adaptées à l’évolution des systèmes et de la technologie ainsi qu’aux changements organisationnels et seront alignées sur la norme ISO/IEC 27001 et le Schéma national de sécurité.
  • Les mesures de sécurité et les contrôles établis seront proportionnels à la criticité de l’information à protéger et à sa classification.
  • Les mesures disciplinaires nécessaires seront prises à l’encontre des personnes pouvant gravement enfreindre le contenu de la Politique de sécurité de l’information ou les normes et procédures complémentaires.

 

4. Objet

 

Comme vu auparavant, cette Politique de sécurité de l’information a pour but de protéger les actifs d’Ivnosys en matière d’information, en garantissant la disponibilité, l’intégrité, la confidentialité, l’authenticité et la traçabilité des informations et des installations, systèmes et ressources qui les traitent, gèrent, transmettent et stockent, toujours conformément aux exigences de l’entreprise et de la législation en vigueur.

 

5. Mission et objectifs-cadres

 

Les informations doivent être protégées pendant toute leur durée de vie, depuis leur création jusqu’à leur éventuel effacement ou destruction. Les principes minimum suivants sont ainsi établis:

• Les systèmes d’information ne devront être accessibles qu’aux utilisateurs, organes et entités ou processus expressément autorisés à cet effet.
• Un engagement en faveur d’une amélioration continue du SGSI sera pris.
• Un niveau de disponibilité devra être assuré dans les systèmes d’information et les plans et mesures nécessaires devront être mis en place pour assurer la continuité des services et la récupération en cas d’imprévus graves.
• Un processus continu d’analyse et de traitement des risques sera mis en place comme mécanisme sur lequel doit reposer la gestion de la sécurité des systèmes d’information.
• Des lignes de travail visant à prévenir les incidents liés à la sécurité TIC seront développées.
• Les services seront surveillés de façon continue afin de détecter les anomalies dans les niveaux de prestation de ces services et d’agir en conséquence.
• Le degré de conformité aux améliorations de sécurité, prévues sur une base annuelle, et le degré d’efficacité des contrôles de sécurité TIC mis en place seront analysés, dans le but de proposer de nouvelles actions d’amélioration de manière proactive.
• L’ensemble du personnel de l’organisation sera sensibilisé à ses devoirs et obligations en matière de traitement sécurisé de l’information et toutes les personnes gérant et administrant les systèmes d’information et de télécommunications seront formées à la sécurité TIC.

 

6. Cadre réglementaire

 

• Loi 39/2015, du 1er octobre, de la Procédure administrative commune des Administrations publiques.
• Loi 40/2015, du 1er octobre, sur le Régime juridique du Secteur public.
• DR 1671/2009, du 6 novembre, [d’application partielle de la loi 11/2007].
• DR 3/2010, du 8 janvier, portant réglementation du Schéma national de sécurité dans le domaine de l’Administration électronique.
• Règlement (UE) 2016/679 du Parlement Européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques quant au traitement des données à caractère personnel et à la libre circulation de ces données, et dérogeant la directive 95/46/CE (Règlement général sur la protection des données).
• Loi Organique 3/2018, du 5 décembre, sur la Protection des données à caractère personnel et la garantie des droits numériques.
• Les différentes séries CCN-STIC-400/800, qui établissent les politiques, procédures et recommandations appropriées pour la mise en œuvre des mesures visées dans le Schéma national de sécurité (DR 3/2010).
• Norme ISO/IEC 27001.
• Décret Royal 1/1996, du 12 avril, portant approbation du texte de la Loi sur la propriété intellectuelle, en régularisant, clarifiant et harmonisant les dispositions légales en vigueur en la matière.
• Loi 2/2019, du 1er mars, modifiant le texte de la Loi sur la propriété intellectuelle, telle qu’elle a été modifiée par le Décret Royal 1/1996, du 12 avril, et mettant en œuvre la Directive 2014/26/UE du Parlement européen et du Conseil dans l’ordre juridique espagnol, du 26 février 2014, et la Directive (UE) 2017/1564 du Parlement européen et du Conseil, du 13 septembre 2017.
• Décret Royal 14/2019, du 31 octobre, qui prévoit des mesures urgentes pour des raisons de sécurité publique en matière d’administration numérique, de marchés publics et de télécommunications.
• Loi 6/2020, du 11 novembre, qui réglemente certains aspects des services électroniques de confiance.
• Règlement (UE) N° 910/2014 du Parlement européen et du Conseil, du 23 juillet 2014, relatif à l’identification électronique et aux services de confiance pour les transactions électroniques dans le marché intérieur et abrogeant la Directive 1999/93/CE.

 

7. Organisation de la sécurité

 

7.1. Comités: fonctions et responsabilités

Ivnosys dispose d’une procédure de gestion et d’organisation des responsabilités internes et externes dans le domaine de la sécurité de l’information, qui définit le Comité du système de gestion, dont la mission principale est l’approbation, le contrôle du respect des obligations, la gestion et la diffusion des normes et politiques de l’organisation, ainsi que le suivi et la gestion des incidents et risques actuels, en matière de sécurité de l’information.

Les fonctions du Comité du SG relèvent du Système de gestion de l’organisation.

Le Comité du SG se réunit au moins tous les six mois et les membres obligatoires qui le composent sont le Directeur Général, le Directeur IT, le responsable du Système de gestion et responsable de la sécurité.

Ivnosys dispose d’un délégué interne à la protection des données, nommé auprès de l’AEPD, poste occupé par un professionnel qui répond aux exigences d’expérience et de formation nécessaires aux fonctions à exercer.

En outre, d’autres responsables/fonctions dont l’intervention est nécessaire du fait qu’ils sont affectés par le Schéma national de sécurité, par le RGPD ou par toute autre règle relative à la sécurité de l’information, tels que le responsable du service et l’administrateur de sécurité, pourront être mis à la disposition du Comité.

7.2. Rôles : fonctions et responsabilités

Étant donné que la sécurité devra engager tous les membres de l’organisation, comme le reflètent l’article 12 de l’ENS et l’Annexe II de l’ENS, dans sa section 3.1, la Politique de sécurité doit identifier des responsables clairs pour veiller à son application et être connue de tous les membres de l’organisation.

Le Système de gestion d’Ivnosys dispose d’une section qui permet d’identifier les membres du Comité du SG et d’indiquer leurs fonctions spécifiques.

7.3. Procédures de désignation

La direction attribuera, renouvellera et communiquera les responsabilités, les autorités et les rôles en matière de sécurité de l’information, en déterminant dans chaque cas les motifs et la durée de validité, et gèrera les conflits pouvant survenir. Elle veillera également à ce que les utilisateurs connaissent, assument et exercent les responsabilités, les autorités et les rôles qui leur sont assignés.

7.4. Révision et approbation de la Politique de sécurité de l’information

La révision annuelle de cette Politique de sécurité de l’information et la proposition de révision ou de maintien de cette politique seront du domaine de la mission du Comité du SG.

La politique sera approuvée par la Direction de l’entreprise et, étant donné qu’il s’agit d’un document à caractère public conformément à la Politique de classification de l’information d’Ivnosys (disponible dans le système de gestion), elle sera diffusée par le Département des communications pour être mise à la disposition de toutes les parties concernées et des tiers, par le biais du site Internet de la société: www.ivnosys.com.

En outre, elle pourra être réexaminée en cas de changements significatifs affectant la sécurité, les services fournis par l’organisation, les changements de politique ou toute autre question pertinente.

 

8. Données à caractère personnel

 

Conformément aux dispositions de la réglementation applicable en matière de protection des données (RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ou RGPD et la loi organique 3/2018, du 5 décembre, relative à la protection des données à caractère personnel et à la garantie des droits numériques) Ivnosys Soluciones SLU en sa qualité de contrôleur de données et de responsable du traitement des données de ses clients s’engage à:

– que les données à caractère personnel, tant des clients que des autres employés et partenaires de celle-ci seront traitées conformément aux principes de légalité, de loyauté et de transparence. Les données collectées et utilisées le seront à des fins explicites et légitimes. Les données collectées seront pertinentes, adéquates et limitées par rapport aux finalités établies pour ce traitement. Le principe d’exactitude est respecté et toutes les mesures nécessaires sont prises pour rectifier les données si nécessaire. Les données ne sont pas conservées plus longtemps que nécessaire au regard des finalités du traitement, sauf pour le respect de finalités légales.

– que toutes les mesures de sécurité mentionnées dans la présente politique de sécurité de l’information tiendront compte de la protection de la confidentialité des informations.

– que les données personnelles dont le traitement est effectué en sa qualité de Responsable du traitement, les employés s’engagent à respecter et à faire respecter, conformément à leurs responsabilités, toutes les mesures énoncées dans la présente Politique qui peuvent affecter les données personnelles auxquelles ils peuvent avoir accès en raison de leur activité professionnelle. De la même manière des données personnelles dont le traitement est effectué par Ivnosys Soluciones SLU en sa qualité de contrôleur de données.

– que tant Ivnosys que ses employés et collaborateurs externes lorsque, pour fournir les services contractés par ses clients, ont besoin d’accéder à des données personnelles, dont le stockage dans des fichiers et le traitement est responsable pour le client (conditions d’accès aux données par ordre de traitement), doivent appliquer les conditions contenues dans les documents “Activités de traitement à effectuer” de chaque service contracté, qui sera envoyé au client, comme des ANNEXES aux “Conditions applicables à l’accès aux données personnelles”.

– qu’aussi bien Ivnosys Soluciones SLU que son personnel et ses partenaires externes participeront de manière proactive et communiqueront selon les canaux de communication internes et externes établis dans le Plan de Communications tout incident ou violation de sécurité dont ils ont connaissance avec une importance particulière de ceux qui peuvent affecter les données personnelles et collaboreront dans sa gestion et résolution selon le degré de responsabilité qui leur est assigné.

De même, pour tout ce qui n’est pas expressément indiqué dans cette politique, Ivnosys Soluciones SLU s’engage, ainsi que tout le personnel, à respecter strictement toutes les dispositions et les principes établis dans la réglementation sur la protection des données actuellement en vigueur, citée au début de cette section, ainsi que les réglementations qui la modifient ou la remplacent.

Ivnosys Soluciones, S.L., dispose d’un système de gestion de la sécurité de l’information (SGSI) mettant en œuvre les meilleures pratiques de gestion de la sécurité de l’information conformément à la norme UNE-ISO/IEC 27001 et appliquant à tous les traitements de données effectués dans le cadre des contrats avec les clients, des contrôles et des mesures visant à garantir la sécurité des données personnelles, responsabilité des clients, auxquelles elle a accès en raison du contrat.

L’organisation garantit qu’elle effectuera les contrôles périodiques et les audits de sécurité nécessaires pour vérifier que les contrôles et mesures de sécurité mis en œuvre sont efficaces pour le traitement des risques pour lesquels ils ont été mis en œuvre dans chaque cas.

 

9. Gestion de risques

 

Tous les systèmes soumis à cette Politique devront procéder à une analyse des risques, en évaluant les menaces et les risques auxquels ils sont exposés. Cette analyse sera effectuée régulièrement, au moins une fois par an. En outre, elle pourra être répétée dans les cas suivants:

• Lors d’un changement des informations traitées.
• Lors d’un changement des services fournis.
• En cas d’incident grave de sécurité.
• Lorsque des vulnérabilités graves sont signalées.

Pour l’harmonisation des analyses de risques, le Comité du SG établira une évaluation de référence pour les différents types d’informations traitées et les différents services fournis.

La méthodologie utilisée pour évaluer les risques est MAGERIT et permet de gérer efficacement les incidents qui pourraient se produire dans les différents actifs d’information et affecter l’un quelconque des principes de confidentialité, d’intégrité, de disponibilité, d’authenticité et de traçabilité.

Le Comité du SG développera les ressources disponibles pour répondre aux besoins de sécurité des différents systèmes, en encourageant les investissements horizontaux.

 

10. Développement de la Politique de sécurité de l’information

 

Cette Politique de sécurité de l’information complète les politiques de sécurité d’Ivnosys FR S.A.S. dans différents domaines:

• Politique du système de gestion.
• Déclarations des pratiques et politiques des services eIDAS.
• Politique d’utilisation acceptable des actifs.
• Analyse des risques de sécurité.
• Gestion des incidents.
• Gestion des actifs.
• Sécurité physique et de l’environnement.
• Contrôle d’accès.
• Sécurité des communications et des opérations.
• Organisation de la sécurité.
• Continuité.
• Gestion du changement.
• Classification de l’information.
• Développement sécurisé.
• Amélioration continue.

Cette Politique sera mise en œuvre par le biais de règles de sécurité s’attelant à des aspects spécifiques. Les règles de sécurité seront mises à la disposition de tous les membres de l’organisation ayant besoin de la connaître, en particulier de ceux qui utilisent, exploitent ou gèrent les systèmes d’information et de communication.

Cette réglementation (processus, procédures, instructions de travail et toute autre documentation nécessaire) sera publiée dans le Système de gestion sur Confluence ainsi que dans la Wiki d’entreprise d’Ivnosys.

 

11. Obligations du personnel

 

Tous les membres d’Ivnosys FR S.A.S. ont l’obligation de connaître et d’appliquer cette Politique de sécurité de l’information et la Réglementation de sécurité, et c’est au Comité du SG qu’il incombe de disposer des moyens nécessaires pour que les informations parviennent aux personnes concernées.

Tous les membres d’Ivnosys FR S.A.S., dans le cadre du Plan annuel de formation, prendront part à une session de sensibilisation à la sécurité TIC, au moins une fois par an. Un programme de sensibilisation continue, fondé sur la diffusion régulière de messages en matière de sécurité de l’information, sera mis en place pour tous les membres d’Ivnosys FR S.A.S., et en particulier pour les nouveaux membres. Pour ce personnel, une formation spécifique et une évaluation des connaissances acquises seront également organisées dans le cadre du processus d’intégration.

Les personnes responsables de l’utilisation, de l’exploitation ou de la gestion des systèmes TIC recevront une formation à la gestion sûre des systèmes dans la mesure où elles en ont besoin pour accomplir leur travail. La formation sera obligatoire avant d’assumer une responsabilité, qu’il s’agisse d’une première affectation ou d’un changement de poste ou de responsabilités dans le travail.

 

12. Tiers

 

Lorsqu’Ivnosys FR S.A.S. fournit des services à d’autres organismes ou traite des informations d’autres organismes, ils seront associés à cette Politique de sécurité de l’information, des canaux seront mis en place pour informer et coordonner leurs responsables respectifs et des procédures d’action seront établies, conformément à la Procédure de gestion des incidents de l’organisation, pour la réaction à d’éventuels incidents de sécurité.

Lorsqu’Ivnosys FR S.A.S. utilise des services de tiers ou cède des informations à des tiers, ils seront associés à cette Politique de sécurité et aux Règles de sécurité qui s’y tiennent. Ce tiers sera soumis aux obligations prévues par la présente réglementation et pourra développer ses propres procédures opérationnelles pour y répondre. Des procédures spécifiques de rapport et de résolution des incidences seront établies. Le personnel des tierces parties devra être suffisamment sensibilisé à la sécurité, au moins au même niveau que celui prévu dans cette Politique. Lorsque certains aspects de la Politique ne peuvent être satisfaits par un tiers comme indiqué aux paragraphes précédents, le Responsable de la sécurité, conjointement avec le responsable du service, se réuniront pour définir et préciser les risques encourus et la manière de les traiter.

 

Politique de Gestion d’Ivnosys

 

Version : v21
Approbateur : Direction
Date d’approbation : 20/10/2021

 

Ivnosys est une entreprise dédiée à la conception et au développement de solutions basées sur la signature électronique, la certification numérique et l’identité électronique et qui exploite ces solutions en tant que Prestataire de Services électroniques de Confiance.

Nos services et solutions permettent à nos clients de développer leurs processus de transformation numérique, en garantissant leur identité sur le réseau et en facilitant l’interaction avec leurs utilisateurs finaux.

Il est particulièrement important pour nous d’aider les entreprises et les indépendants dans l’obligation légale d’interagir électroniquement avec les administrations publiques et ainsi être en mesure de remplir toutes leurs obligations légales.

Notre vision de la relation client est d’offrir nos solutions software au plus près de votre entreprise. Ivnosys recherche donc toujours des synergies à travers des accords de partenariat avec différents types de sociétés de développement ou de conseil aux entreprises.

Avec ces alliances, chez Ivnosys, nous obtenons des solutions encore plus innovantes qui offrent des réponses directes et efficaces aux grandes entreprises et, en appliquant intelligemment le modèle de services cloud, nous atteignons des milliers de PME et d’indépendants en même temps.

De plus, nous offrons une solution complète de services électroniques de confiance, devenant, avec nos partenaires, un partenaire unique dans ce type de solutions.

Notre vocation est de fournir un service fiable, sûr et de qualité, l’amélioration continue étant une priorité pour nous.

La politique de notre entreprise, établie autour de la sécurité, de la qualité et de l’amélioration continue, nous concerne tous et repose sur les valeurs suivantes:

• Assurer la satisfaction du client avec nos services, à travers une politique visant à réduire les non-conformités.
• Promouvoir la formation et la qualification de tous nos professionnels. Ce n’est qu’ainsi que nous pourrons respecter notre politique de gestion.
• Mettre en œuvre, auditer et certifier nos processus sur la base de normes internationalement reconnues, telles que ISO 22301, ISO / IEC 20000-1, ISO / IEC 27001, ISO 9001 et ISO 14001.
• Revoir et actualiser notre politique de gestion dans la mesure des progrès de l’entreprise, du marché et de la législation.
• Maintenir notre engagement à améliorer continuellement la qualité de nos services, en dépassant nos attentes et celles de nos clients, en assurant la continuité des activités à tout moment.
• Un engagement clair pour assurer le respect des réglementations en vigueur applicables à nos services.
• Protéger les informations en termes d’intégrité, de confidentialité et de disponibilité.
• Soumettre une analyse périodique des risques aux systèmes d’information et aux processus critiques.
• Intégrer les bonnes pratiques environnementales dans le développement de notre activité, collaborer avec les fournisseurs qui garantissent le respect de l’environnement et sensibiliser nos professionnels pour développer des comportements conformes à ces engagements.
• Effectuer des actions pour protéger l’environnement et se conformer à la législation environnementale applicable.
• Améliorer continuellement le système de gestion environnementale, y compris les engagements pour la protection de l’environnement et la prévention de la pollution.