Ensemble pour mener la transformation digitale des entreprises en Europe
Vers le site
Version | Auteur | Approuvé par | Date d’approbation | Commentaire |
1.0 | Edwin Mata | Comité de Coordination | 26 janvier 2018 | Version initiale du document |
2.0 | Edwin Mata | Comité de Coordination | 13 juin 2018 |
|
2.1. | Edwin Mata | Comité de Coordination | 25 janvier 2019 |
|
3.0 | Pau Mestre | Comité de Coordination | 30 avril 2019 |
|
3.1 | Milagros Quintana | Comité de Coordination | 8 avril 2021 |
|
L’objectif de cette politique de haut niveau est de définir le but, l’orientation, les principes et les règles de base de la gestion de la sécurité de l’information.
La présente politique s’applique à l’ensemble du système de gestion de la sécurité de l’information (SGSI), tel que défini dans le document relatif à la portée du SGSI.
Les utilisateurs de ce document sont tous les employés de Signaturit, ainsi que les parties externes concernées.
Confidentialité – caractéristique d’une information selon laquelle elle n’est accessible qu’aux personnes ou systèmes autorisés.
Intégrité – caractéristique de l’information selon laquelle elle n’est modifiée que par des personnes ou des systèmes autorisés et de manière autorisée.
Disponibilité – caractéristique des informations permettant aux personnes autorisées d’y accéder en cas de besoin.
Sécurité de l’information – préservation de la confidentialité, de l’intégrité et de la disponibilité des informations.
Système de gestion de la sécurité de l’information – partie des processus de gestion globale responsable de la planification, de la mise en œuvre, du maintien, de la révision et de l’amélioration de la sécurité de l’information.
Signaturit établit et évalue les objectifs sur une base annuelle. Tous les objectifs sont détaillés dans le document Comité de coordination de la révision des objectifs du SGSI et du SGQ. Veuillez vous référer au document spécifique pour connaître les objectifs applicables à chaque période auditée.
Le respect de tous les objectifs est mesuré par un expert indépendant. Cette mesure sera effectuée au moins une fois par an et AENOR INTERNACIONAL, S.A.U., société dont le siège social est situé Calle Génova, nº 6, 28004 Madrid, constituée pour une durée indéterminée par acte public passé devant le notaire de Madrid, M. Amalio MENÉNDEZ LORAS, le 13 juillet 2001, sous le numéro d’acte notarié 2.024, et inscrit au registre du commerce de Madrid, volume 16.834, folio 79, page M-287.700, 1ère inscription, est l’organisme expert indépendant désigné. Son rapport d’évaluation sera transmis directement au comité de coordination pour examen.
La présente politique et l’ensemble du SGSI doivent être conformes aux exigences légales et réglementaires ainsi qu’aux obligations contractuelles pertinentes pour l’organisation et ses clients de services en nuage dans le domaine de la sécurité des informations et de la protection des informations personnellement identifiables (IPI).
La liste de la législation et des normes techniques applicables aux services fournis par Signaturit est détaillée dans la section 2.1 du document sur la portée du SGSI. En ce qui concerne les obligations contractuelles, le département juridique de Signaturit dispose d’un dossier contenant tous les contrats que Signaturit a signés avec des tiers ; l’accès à ce dossier est restreint. En outre, le département juridique supervise la conformité quotidienne de l’entreprise avec les tiers et la législation, et émet des recommandations à l’organe directeur de Signaturit lorsque cela est nécessaire.
Le processus de sélection des contrôles (sauvegardes) est défini dans la méthodologie d’évaluation et de traitement des risques.
Les contrôles sélectionnés et leur état de mise en œuvre sont énumérés dans la déclaration d’applicabilité.
La gestion de la continuité des activités des services de Signaturit est établie dans les trois documents suivants :
Les responsabilités du SGSI sont les suivantes
Le département juridique s’assure que tous les employés de Signaturit, ainsi que les parties externes appropriées, ont connaissance de cette politique. Par conséquent, cette politique est disponible pour tout le personnel de Signaturit dans Confluence, ainsi que toutes les politiques qui constituent la structure documentaire du système de gestion de la sécurité de l’information.
En outre, les nouvelles communications de ce document seront envoyées par courrier électronique à all@signaturit.com, en indiquant que son contenu est obligatoire pour tous les employés de Signaturit.
Le comité de coordination déclare par la présente que la mise en œuvre du SGSI et l’amélioration continue seront soutenues par des ressources adéquates pour atteindre tous les objectifs établis dans cette politique, ainsi que pour satisfaire toutes les exigences identifiées de la norme ISO 27001.
Le propriétaire de ce document est le chef du département juridique, qui doit vérifier et, si nécessaire, mettre à jour le document au moins tous les six mois.
Lors de l’évaluation de l’efficacité et de l’adéquation de ce document, les critères suivants doivent être pris en compte:
Version: v5
Validateur: Adresse
Date de validation: 14/02/2022
Texte validé le 25 octobre 2021 par la Direction.
Cette Politique de sécurité de l’information est en vigueur depuis cette date et jusqu’à ce qu’elle soit remplacée par une nouvelle Politique.
Ce document expose la Politique de sécurité de l’information d’Ivnosys FR S.A.S. comme l’ensemble des principes de base et des lignes d’action auxquels l’organisation s’engage, dans le cadre de la Norme ISO 27001 et du Schéma national de sécurité (ENS).
L’organisation dépend des systèmes TIC (Technologies de l’information et de la communication) pour atteindre ses objectifs. Ces systèmes doivent être gérés avec diligence, en prenant les mesures appropriées pour les protéger contre les dommages accidentels ou délibérés qui peuvent affecter la disponibilité, l’intégrité ou la confidentialité des informations traitées ou des services fournis.
L’information est un actif crucial, essentiel et d’une grande valeur pour le développement de l’activité de l’entreprise. Cet actif doit être protégé de manière appropriée, quels que soient les formats, supports, moyens de transmission, systèmes ou personnes intervenant dans sa connaissance, sa transformation ou son traitement.
L’objectif de la sécurité de l’information est d’assurer la qualité de l’information et la fourniture continue des services en agissant préventivement, en surveillant l’activité quotidienne et en réagissant rapidement aux incidents, afin d’assurer la qualité de l’information et la continuité de l’activité, minimiser les risques et permettre de maximiser les retours sur investissement et les opportunités d’affaires.
Les systèmes TIC doivent être protégés contre les menaces d’évolution rapide qui peuvent avoir une incidence sur la confidentialité, l’intégrité, la disponibilité, l’utilisation prévue et la valeur des informations et des services. Pour se défendre contre ces menaces, une stratégie adaptée aux changements de conditions de l’environnement est nécessaire pour assurer la fourniture continue des services. Cela signifie que les départements doivent appliquer les mesures minimales de sécurité requises par le Schéma national de sécurité et la Norme ISO/IEC 27001 relative aux Systèmes de sécurité de l’information, ainsi qu’un suivi continu des niveaux de prestation de services, suivre et analyser les vulnérabilités signalées et préparer une réponse efficace aux incidents afin d’assurer la continuité des services fournis.
Les différents départements doivent s’assurer que la sécurité des systèmes TIC fait partie intégrante de chaque étape du cycle de vie du système, depuis sa conception jusqu’à son retrait du service, en passant par les décisions de développement ou d’acquisition et les activités d’exploitation. Les exigences de sécurité et les besoins de financement doivent être identifiés et inclus dans la planification, dans la sollicitation d’offres à des fournisseurs et dans les mémoires techniques pour les projets TIC.
Les départements doivent être prêts à prévenir, détecter, réagir et récupérer les incidents, conformément à l’Article 7 de l’ENS et au système de Continuité d’exploitation de la Norme ISO 22301.
Cet article dispose ce qui suit :
Article 7. Prévention, réaction et récupération.
De même, le système maintiendra les services disponibles tout au long du cycle de vie de l’information numérique, par le biais d’une conception et de procédures qui constituent la base de la préservation du patrimoine numérique.
La direction de l’entreprise, consciente de la valeur de l’information, est profondément attachée à la politique décrite dans ce document.
Les départements doivent éviter, ou du moins empêcher, dans la mesure du possible, que les informations ou les services ne soient lésés par des incidents de sécurité. Pour ce faire, les départements doivent mettre en œuvre les mesures minimales de sécurité définies par l’ENS, ainsi que tout contrôle supplémentaire identifié par une évaluation des menaces et des risques. En outre, et dans l’intention claire d’améliorer cette prévention, les départements devront également mettre en œuvre toutes les exigences nécessaires pour satisfaire à la Norme ISO 27001. Ces contrôles, ainsi que les rôles et responsabilités de tous les membres du personnel en matière de sécurité, doivent être clairement définis et documentés.
Pour garantir le respect de la Politique, les départements doivent:
Étant donné que les services peuvent se dégrader rapidement en raison d’incidents allant d’un simple ralentissement à leur détention, les services doivent surveiller l’opération en permanence afin de détecter les anomalies dans les niveaux de prestation des services et agir en conséquence conformément à l’Article 9. Réévaluation périodique de l’ESN, qui indique : « Les mesures de sécurité seront réévaluées et mises à jour régulièrement, afin d’adapter leur efficacité à l’évolution constante des risques et des systèmes de protection, et même repenser la sécurité, si nécessaire ».
La surveillance est particulièrement importante lorsque des lignes de défense sont établies conformément à l’Article 8 ENS. Des mécanismes de détection, d’analyse et de rapport parvenant de manière régulière aux responsables, et en cas de déviation significative des paramètres définis comme normaux, seront mis en place.
L’article 8 dispose :
Article 8. Lignes de défense:
Les départements doivent:
Pour tout type de communication, interne et/ou externe, il conviendra de suivre les indications du Plan de communication, publié dans le Système de gestion d’Ivnosys, élaboré par l’organisation.
Pour assurer la disponibilité des services essentiels, l’organisation s’est dotée d’un Plan général de continuité d’activité (PCN), publié dans le Système de gestion, évaluant les scénarios possibles de catastrophe et les stratégies de récupération, et la mise en place de plans d’urgence, régulièrement révisés.
La présente Politique de sécurité s’applique aux systèmes d’information qui prennent en charge les processus d’installation et d’exploitation des services de confiance en mode Cloud suivants:
La Politique de sécurité de l’information est approuvée par la Direction de l’entreprise et son contenu, et les règles et procédures y faisant référence, sont obligatoires:
Comme vu auparavant, cette Politique de sécurité de l’information a pour but de protéger les actifs d’Ivnosys en matière d’information, en garantissant la disponibilité, l’intégrité, la confidentialité, l’authenticité et la traçabilité des informations et des installations, systèmes et ressources qui les traitent, gèrent, transmettent et stockent, toujours conformément aux exigences de l’entreprise et de la législation en vigueur.
Les informations doivent être protégées pendant toute leur durée de vie, depuis leur création jusqu’à leur éventuel effacement ou destruction. Les principes minimum suivants sont ainsi établis:
Ivnosys dispose d’une procédure de gestion et d’organisation des responsabilités internes et externes dans le domaine de la sécurité de l’information, qui définit le Comité du système de gestion, dont la mission principale est l’approbation, le contrôle du respect des obligations, la gestion et la diffusion des normes et politiques de l’organisation, ainsi que le suivi et la gestion des incidents et risques actuels, en matière de sécurité de l’information.
Les fonctions du Comité du SG relèvent du Système de gestion de l’organisation.
Le Comité du SG se réunit au moins tous les six mois et les membres obligatoires qui le composent sont le Directeur Général, le Directeur IT, le responsable du Système de gestion et responsable de la sécurité.
Ivnosys dispose d’un délégué interne à la protection des données, nommé auprès de l’AEPD, poste occupé par un professionnel qui répond aux exigences d’expérience et de formation nécessaires aux fonctions à exercer.
En outre, d’autres responsables/fonctions dont l’intervention est nécessaire du fait qu’ils sont affectés par le Schéma national de sécurité, par le RGPD ou par toute autre règle relative à la sécurité de l’information, tels que le responsable du service et l’administrateur de sécurité, pourront être mis à la disposition du Comité.
Étant donné que la sécurité devra engager tous les membres de l’organisation, comme le reflètent l’article 12 de l’ENS et l’Annexe II de l’ENS, dans sa section 3.1, la Politique de sécurité doit identifier des responsables clairs pour veiller à son application et être connue de tous les membres de l’organisation.
Le Système de gestion d’Ivnosys dispose d’une section qui permet d’identifier les membres du Comité du SG et d’indiquer leurs fonctions spécifiques.
La direction attribuera, renouvellera et communiquera les responsabilités, les autorités et les rôles en matière de sécurité de l’information, en déterminant dans chaque cas les motifs et la durée de validité, et gèrera les conflits pouvant survenir. Elle veillera également à ce que les utilisateurs connaissent, assument et exercent les responsabilités, les autorités et les rôles qui leur sont assignés.
La révision annuelle de cette Politique de sécurité de l’information et la proposition de révision ou de maintien de cette politique seront du domaine de la mission du Comité du SG.
La politique sera approuvée par la Direction de l’entreprise et, étant donné qu’il s’agit d’un document à caractère public conformément à la Politique de classification de l’information d’Ivnosys (disponible dans le système de gestion), elle sera diffusée par le Département des communications pour être mise à la disposition de toutes les parties concernées et des tiers, par le biais du site Internet de la société: www.ivnosys.com.
En outre, elle pourra être réexaminée en cas de changements significatifs affectant la sécurité, les services fournis par l’organisation, les changements de politique ou toute autre question pertinente.
Conformément aux dispositions de la réglementation applicable en matière de protection des données (RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ou RGPD et la loi organique 3/2018, du 5 décembre, relative à la protection des données à caractère personnel et à la garantie des droits numériques) Ivnosys Soluciones SLU en sa qualité de contrôleur de données et de responsable du traitement des données de ses clients s’engage à:
– que les données à caractère personnel, tant des clients que des autres employés et partenaires de celle-ci seront traitées conformément aux principes de légalité, de loyauté et de transparence. Les données collectées et utilisées le seront à des fins explicites et légitimes. Les données collectées seront pertinentes, adéquates et limitées par rapport aux finalités établies pour ce traitement. Le principe d’exactitude est respecté et toutes les mesures nécessaires sont prises pour rectifier les données si nécessaire. Les données ne sont pas conservées plus longtemps que nécessaire au regard des finalités du traitement, sauf pour le respect de finalités légales.
– que toutes les mesures de sécurité mentionnées dans la présente politique de sécurité de l’information tiendront compte de la protection de la confidentialité des informations.
– que les données personnelles dont le traitement est effectué en sa qualité de Responsable du traitement, les employés s’engagent à respecter et à faire respecter, conformément à leurs responsabilités, toutes les mesures énoncées dans la présente Politique qui peuvent affecter les données personnelles auxquelles ils peuvent avoir accès en raison de leur activité professionnelle. De la même manière des données personnelles dont le traitement est effectué par Ivnosys Soluciones SLU en sa qualité de contrôleur de données.
– que tant Ivnosys que ses employés et collaborateurs externes lorsque, pour fournir les services contractés par ses clients, ont besoin d’accéder à des données personnelles, dont le stockage dans des fichiers et le traitement est responsable pour le client (conditions d’accès aux données par ordre de traitement), doivent appliquer les conditions contenues dans les documents “Activités de traitement à effectuer” de chaque service contracté, qui sera envoyé au client, comme des ANNEXES aux “Conditions applicables à l’accès aux données personnelles”.
– qu’aussi bien Ivnosys Soluciones SLU que son personnel et ses partenaires externes participeront de manière proactive et communiqueront selon les canaux de communication internes et externes établis dans le Plan de Communications tout incident ou violation de sécurité dont ils ont connaissance avec une importance particulière de ceux qui peuvent affecter les données personnelles et collaboreront dans sa gestion et résolution selon le degré de responsabilité qui leur est assigné.
De même, pour tout ce qui n’est pas expressément indiqué dans cette politique, Ivnosys Soluciones SLU s’engage, ainsi que tout le personnel, à respecter strictement toutes les dispositions et les principes établis dans la réglementation sur la protection des données actuellement en vigueur, citée au début de cette section, ainsi que les réglementations qui la modifient ou la remplacent.
Ivnosys Soluciones, S.L., dispose d’un système de gestion de la sécurité de l’information (SGSI) mettant en œuvre les meilleures pratiques de gestion de la sécurité de l’information conformément à la norme UNE-ISO/IEC 27001 et appliquant à tous les traitements de données effectués dans le cadre des contrats avec les clients, des contrôles et des mesures visant à garantir la sécurité des données personnelles, responsabilité des clients, auxquelles elle a accès en raison du contrat.
L’organisation garantit qu’elle effectuera les contrôles périodiques et les audits de sécurité nécessaires pour vérifier que les contrôles et mesures de sécurité mis en œuvre sont efficaces pour le traitement des risques pour lesquels ils ont été mis en œuvre dans chaque cas.
Tous les systèmes soumis à cette Politique devront procéder à une analyse des risques, en évaluant les menaces et les risques auxquels ils sont exposés. Cette analyse sera effectuée régulièrement, au moins une fois par an. En outre, elle pourra être répétée dans les cas suivants:
Pour l’harmonisation des analyses de risques, le Comité du SG établira une évaluation de référence pour les différents types d’informations traitées et les différents services fournis.
La méthodologie utilisée pour évaluer les risques est MAGERIT et permet de gérer efficacement les incidents qui pourraient se produire dans les différents actifs d’information et affecter l’un quelconque des principes de confidentialité, d’intégrité, de disponibilité, d’authenticité et de traçabilité.
Le Comité du SG développera les ressources disponibles pour répondre aux besoins de sécurité des différents systèmes, en encourageant les investissements horizontaux.
Cette Politique de sécurité de l’information complète les politiques de sécurité d’Ivnosys FR S.A.S. dans différents domaines:
Cette Politique sera mise en œuvre par le biais de règles de sécurité s’attelant à des aspects spécifiques. Les règles de sécurité seront mises à la disposition de tous les membres de l’organisation ayant besoin de la connaître, en particulier de ceux qui utilisent, exploitent ou gèrent les systèmes d’information et de communication.
Cette réglementation (processus, procédures, instructions de travail et toute autre documentation nécessaire) sera publiée dans le Système de gestion sur Confluence ainsi que dans la Wiki d’entreprise d’Ivnosys.
Tous les membres d’Ivnosys FR S.A.S. ont l’obligation de connaître et d’appliquer cette Politique de sécurité de l’information et la Réglementation de sécurité, et c’est au Comité du SG qu’il incombe de disposer des moyens nécessaires pour que les informations parviennent aux personnes concernées.
Tous les membres d’Ivnosys FR S.A.S., dans le cadre du Plan annuel de formation, prendront part à une session de sensibilisation à la sécurité TIC, au moins une fois par an. Un programme de sensibilisation continue, fondé sur la diffusion régulière de messages en matière de sécurité de l’information, sera mis en place pour tous les membres d’Ivnosys FR S.A.S., et en particulier pour les nouveaux membres. Pour ce personnel, une formation spécifique et une évaluation des connaissances acquises seront également organisées dans le cadre du processus d’intégration.
Les personnes responsables de l’utilisation, de l’exploitation ou de la gestion des systèmes TIC recevront une formation à la gestion sûre des systèmes dans la mesure où elles en ont besoin pour accomplir leur travail. La formation sera obligatoire avant d’assumer une responsabilité, qu’il s’agisse d’une première affectation ou d’un changement de poste ou de responsabilités dans le travail.
Lorsqu’Ivnosys FR S.A.S. fournit des services à d’autres organismes ou traite des informations d’autres organismes, ils seront associés à cette Politique de sécurité de l’information, des canaux seront mis en place pour informer et coordonner leurs responsables respectifs et des procédures d’action seront établies, conformément à la Procédure de gestion des incidents de l’organisation, pour la réaction à d’éventuels incidents de sécurité.
Lorsqu’Ivnosys FR S.A.S. utilise des services de tiers ou cède des informations à des tiers, ils seront associés à cette Politique de sécurité et aux Règles de sécurité qui s’y tiennent. Ce tiers sera soumis aux obligations prévues par la présente réglementation et pourra développer ses propres procédures opérationnelles pour y répondre. Des procédures spécifiques de rapport et de résolution des incidences seront établies. Le personnel des tierces parties devra être suffisamment sensibilisé à la sécurité, au moins au même niveau que celui prévu dans cette Politique. Lorsque certains aspects de la Politique ne peuvent être satisfaits par un tiers comme indiqué aux paragraphes précédents, le Responsable de la sécurité, conjointement avec le responsable du service, se réuniront pour définir et préciser les risques encourus et la manière de les traiter.
Version : v21
Approbateur : Direction
Date d’approbation : 20/10/2021
Ivnosys est une entreprise dédiée à la conception et au développement de solutions basées sur la signature électronique, la certification numérique et l’identité électronique et qui exploite ces solutions en tant que Prestataire de Services électroniques de Confiance.
Nos services et solutions permettent à nos clients de développer leurs processus de transformation numérique, en garantissant leur identité sur le réseau et en facilitant l’interaction avec leurs utilisateurs finaux.
Il est particulièrement important pour nous d’aider les entreprises et les indépendants dans l’obligation légale d’interagir électroniquement avec les administrations publiques et ainsi être en mesure de remplir toutes leurs obligations légales.
Notre vision de la relation client est d’offrir nos solutions software au plus près de votre entreprise. Ivnosys recherche donc toujours des synergies à travers des accords de partenariat avec différents types de sociétés de développement ou de conseil aux entreprises.
Avec ces alliances, chez Ivnosys, nous obtenons des solutions encore plus innovantes qui offrent des réponses directes et efficaces aux grandes entreprises et, en appliquant intelligemment le modèle de services cloud, nous atteignons des milliers de PME et d’indépendants en même temps.
De plus, nous offrons une solution complète de services électroniques de confiance, devenant, avec nos partenaires, un partenaire unique dans ce type de solutions.
Notre vocation est de fournir un service fiable, sûr et de qualité, l’amélioration continue étant une priorité pour nous.
La politique de notre entreprise, établie autour de la sécurité, de la qualité et de l’amélioration continue, nous concerne tous et repose sur les valeurs suivantes: