Politique et procédure de gestion des incidents de sécurité et des violations de données
Politique et procédure de gestion des incidents de sécurité et des violations de données
20 novembre 2021
My Eco Best Friend en tant que contrôleur de données et les processeurs de données appropriés ainsi contractés sont soumis aux dispositions du Règlement général sur la protection des données 2016/679 (RGPD) et doivent faire preuve de diligence et d'attention dans la collecte, le traitement et le stockage des données personnelles et des données personnelles sensibles fournies à la fois par le personnel, les Vendeurs, les Clients et le public pour une utilisation définie.
La sauvegarde de ces informations et la prévention de leur violation sont essentielles pour que My Eco Best Friend conserve la confiance des personnes concernées susmentionnées. My Eco Best Friend fera donc tous les efforts raisonnables pour protéger les informations sous le contrôle de My Eco Best Friend contre tout accès, utilisation, divulgation, suppression, destruction, dommage ou retrait non autorisé.
Malgré tous les efforts déployés pour protéger les installations, les équipements, les ressources et les données, certaines crises peuvent difficilement être évitées. En effet, les violations de la sécurité des données sont de plus en plus fréquentes, qu'elles soient dues à une erreur humaine ou à une intention malveillante. My Eco Best Friend doit donc mettre en place un processus solide et systématique pour traiter tout incident de sécurité signalé et protéger autant que possible ses actifs informationnels.
Par conséquent, cette politique définit une procédure à suivre si les procédures de sécurité en vigueur ne permettent pas d'éviter une violation. L'objectif de cette politique est de normaliser la réponse à l'échelle du groupe à tout incident de sécurité signalé et de veiller à ce qu'ils soient enregistrés et gérés de manière appropriée, conformément aux directives des meilleures pratiques.
En adoptant une approche cohérente et standardisée pour tous les incidents signalés, elle vise à garantir que :
les incidents sont signalés en temps opportun et peuvent être correctement
les incidents sont traités par des personnes dûment autorisées et qualifiées
les incidents sont maintenus confidentiels à tous les niveaux (les parties prenantes concernées seront tenues informées à la discrétion des enquêteurs principaux).
les niveaux de gestion appropriés sont impliqués dans la réponse
les incidents sont enregistrés et
l'impact des incidents est compris et des mesures sont prises pour éviter de nouveaux incidents.
les preuves sont rassemblées, enregistrées et conservées sous une forme qui résistera aux pressions internes et externes.
les organismes extérieurs ou les personnes concernées sont informés en tant que
les incidents sont traités en temps utile et le fonctionnement normal est assuré.
les incidents sont examinés afin d'identifier les améliorations à apporter aux politiques
Aux fins de la présente police, le terme "violation de données " comprend la perte de contrôle, la compromission, la divulgation non autorisée ou l'accès non autorisé ou potentiel à des informations personnelles identifiables, que ce soit sous forme physique (papier) ou électronique.
Une violation de la sécurité des données peut se produire pour un certain nombre de raisons, notamment :
la perte, l'altération ou le vol de données ou d'équipements sur lesquels des données sont stockées (y compris l'effraction de l'un de nos locaux)
accès inapproprié/non autorisé à des données confidentielles ou hautement confidentielles
défaillance de l'équipement
l'erreur humaine, y compris les divulgations involontaires, le manque de diligence et/ou la mauvaise utilisation des ressources technologiques
des circonstances imprévues telles qu'une inondation ou un incendie
un piratage informatique
l'accès où les informations sont obtenues en trompant l'organisation qui les détient
Aux fins de la présente politique, ces raisons seront désignées par l'expression "incidents de sécurité". Tous les incidents de sécurité ne conduisent pas à une violation des données.
Cette politique de groupe s'applique à l'ensemble du personnel de My Eco Best Friend.
Cette politique est disponible sur le site www.myecobestfriend.com et sera communiquée au personnel lors de son initiation et de sa formation périodique.
My Eco Best Friend s'attend à ce que tous les entrepreneurs, fournisseurs ou autres parties agissant au nom de My Eco Best Friend (collectivement, "Parties externes") qui recueillent ou gèrent des informations personnelles suivent cette politique, qu'ils utilisent les systèmes de My Eco Best Friend et/ou leurs propres systèmes et outils de gestion des données. Les employés de My Eco Best Friend sont responsables de s'assurer que toutes les parties externes avec lesquelles ils travaillent pour soutenir les opérations de My Eco Best Friend se conforment à cette politique.
Le personnel est chargé de s'assurer qu'une protection et des contrôles appropriés et adéquats sont en place et appliqués dans chaque installation et ressource sous son contrôle et d'identifier ceux qui ne le sont pas. Les responsables sont chargés de veiller à ce que le personnel de leur secteur suive cette politique et adhère à toutes les procédures connexes.
Le délégué à la protection des données (DPD) est chargé de superviser la gestion de toute violation.
Gaëtan Bio
Chemin du Creux-Bechet, 6, 1096, Villette (Suisse)
T : +41 (0)79 847 91 55
contact@myecobestfriend.com
Des examens périodiques des mesures et des pratiques en place sont effectués par le département juridique.
Signaler un incident de sécurité - devoir de signalement de chaque membre du personnel
Les incidents de sécurité informatique confirmés ou suspectés doivent toujours être signalés rapidement à la sécurité informatique en tant que point de contact principal à l'adresse électronique suivante contact@myecobestfriend.com
Si un membre du personnel se rend compte/soupçonne que des données personnelles ont été compromises pour une raison autre qu'un incident de sécurité informatique (par exemple, la perte d'un appareil portable, un mauvais adressage d'étiquettes, des informations sensibles laissées à un endroit où elles pourraient être consultées sans autorisation - par exemple, des photocopies mal jetées ou laissées sur une photocopieuse), il doit immédiatement en informer son responsable.
Lorsqu'il existe un conflit d'intérêts potentiel ou pour toute autre raison, dans l'intérêt de la confidentialité, un tel rapport peut être fait directement au DPD.
Dans les deux cas, le membre du personnel qui signale l'incident de sécurité peut être invité à remplir le rapport d'incident de violation de la sécurité des données (voir l'annexe 1).
Les violations de la sécurité des données doivent être contenues et faire l'objet d'une réponse immédiate dès que l'on en a connaissance.
Le membre du personnel et/ou le service de sécurité informatique s'efforceront de contenir l'affaire et de limiter toute nouvelle exposition des données personnelles détenues en tenant compte des conseils "Incident Response DOs and DON'Ts for IT systems" (réponse aux incidents à faire et à ne pas faire pour les systèmes informatiques) figurant à l'adresse suivante Annexe 2. Selon la nature de la menace pesant sur les données personnelles, cela peut impliquer une mise en quarantaine de certains ou de tous les PC, réseaux, etc. et demander au personnel de ne pas accéder aux PC, réseaux, etc. De même, cela peut impliquer une mise en quarantaine des zones de stockage des dossiers manuels et d'autres zones, le cas échéant. En guise d'étape préliminaire, un audit des dossiers conservés ou du ou des serveurs de sauvegarde doit être entrepris afin de déterminer la nature des données personnelles qui pourraient avoir été exposées.
Parallèlement au confinement immédiat, il convient d'évaluer les risques qui peuvent être associés à la violation, les conséquences négatives potentielles pour les individus, ainsi que pour My Eco Best Friend lui-même.
Lorsque les données concernées sont protégées par des mesures technologiques de nature à les rendre inintelligibles à toute personne non autorisée à y accéder, My Eco Best Friend peut conclure qu'il n'y a pas de risque pour les données et qu'il n'est donc pas nécessaire d'informer le DPD. Toutefois, une telle conclusion ne serait justifiée que si les mesures technologiques (telles que le cryptage) étaient d'un niveau élevé. En outre, tout incident de sécurité qui touche plus de 100 personnes concernées ou qui inclut des données personnelles sensibles ou des données personnelles de nature financière doit toujours être transmis au DPD.
Lorsqu'aucune notification n'est faite au DPD, My Eco Best Friend conserve un compte rendu sommaire de l'incident de sécurité, car tous les incidents de sécurité des données doivent être enregistrés de manière centralisée dans le système de gestion des services informatiques (système ITSM) afin de garantir une surveillance appropriée des types et de la fréquence des incidents à des fins de gestion et d'établissement de rapports.
Sauf si My Eco Best Friend conclut qu'il n'y a pas de risque pour les données et qu'il n'est donc pas nécessaire d'informer le DPD, ce dernier sera informé sans délai par l'équipe de sécurité informatique (le responsable de l'information et de la sécurité (CISO), le cas échéant) afin de réunir une petite équipe de personnes pour évaluer l'exposition/la perte potentielle. Cette équipe assistera le CISO, le DPD (et le responsable, le cas échéant) pour les questions pratiques liées à la présente politique et aux procédures. Les actions doivent être entreprises conformément aux directives/conseils de l'équipe spécialisée. Chaque membre de l'équipe dispose d'un membre de réserve pour couvrir les vacances, les congés de maladie, etc.
Au cours de l'enquête, l'équipe doit tenter de recueillir des informations qui seraient utiles pour déterminer si My Eco Best Friend est tenu d'informer les autorités de surveillance et les personnes concernées.
Le type de données concernées ; Les éléments suivants doivent être pris en compte afin d'évaluer l'exposition/la perte potentielle :
L'équipe peut également tenir compte du conseil "Aperçu de l'évaluation des risques liés à la vie privée" figurant à l'annexe 3.
Étant donné que l'élément déclencheur du délai de 72 heures pour la notification au régulateur est de nature fondamentalement juridique, les avocats et autres personnels chargés de la conformité doivent être responsables de la décision finale quant à savoir si un incident constitue une violation de données personnelles nécessitant une notification au régulateur.
La notification doit contenir (1) la nature, l'étendue et l'impact de la violation ; (2) les données personnelles éventuellement concernées ; (3) les mesures prises pour remédier à la violation ; (4) les coordonnées du DPD ou de la personne de contact désignée par le DPD pour fournir des informations supplémentaires ; et (5) toute assistance à fournir à la personne concernée.
Lorsque la loi l'exige, l'équipe, sous la direction du DPD, envisage immédiatement d'informer les personnes concernées.1. En particulier, l'équipe doit :
Contacter les personnes concernées (par téléphone, courrier électronique, etc.) pour les informer qu'une divulgation, une perte, une destruction ou une modification non autorisée de leurs données personnelles a eu lieu.
Dans la mesure du possible et dès que cela est possible, le sujets des données (c'est-à-dire les personnes sur lesquelles portent les données) doivent être informés :
la nature des données qui ont été potentiellement exposées/compromises ;
le niveau de sensibilité de ces données, et
un aperçu des mesures que My Eco Best Friend a l'intention de prendre en matière de confinement ou d'assainissement.
Les personnes doivent être informées de l'intention de My Eco Best Friend de contacter d'autres autorités de surveillance.
Des conseils spécifiques et clairs devraient enfin être donnés aux particuliers sur les mesures qu'ils peuvent prendre pour se protéger et sur ce que peut faire My Eco Best Friend pour les aider.
Il convient de tenir compte de la sécurité du support utilisé pour informer les personnes d'une violation et de l'urgence de la situation.
Les demandes des médias concernant la violation seront toujours traitées par le responsable de la communication.
Mon Meilleur Ami Eco examinera également s'il convient d'informer la police, les assureurs, les responsables du traitement des données ou, par exemple, les banques.
Il est important que tout incident de sécurité et toute violation réelle des données soient documentés et étudiés, et que la réponse à la violation soit évaluée en termes d'efficacité.
Toutes les violations de la sécurité des données seront donc consignées de manière centralisée dans le système ITSM afin d'assurer une surveillance appropriée des types et de la fréquence des incidents confirmés à des fins de gestion et d'établissement de rapports[1], sauf lorsque les autorités de surveillance ont demandé un délai à des fins d'enquête. Lorsque My Eco Best Friend reçoit une telle demande de la part des autorités de surveillance, il doit prendre soigneusement note des conseils reçus (y compris la date et l'heure de la conversation ainsi que le nom et le grade de la personne à qui il a parlé). Dans la mesure du possible, My Eco Best Friend doit demander que les instructions lui soient données par écrit sur du papier à en-tête des autorités de surveillance ou, si cela n'est pas possible, My Eco Best Friend doit écrire à l'organisme chargé de l'application de la loi concerné que "nous prenons note des instructions qui nous ont été données par votre agent [insérer le nom de l'agent] le XX jour de XX à XX heures, selon lesquelles nous devions retarder pendant une période de XXX/jusqu'à ce que vous nous informiez que nous sommes autorisés à informer les personnes concernées par la violation des données.."
Une révision complète devrait être entreprise. Le personnel doit être informé de tout changement apporté à cette politique et des mesures de sécurité améliorées. Le personnel doit recevoir une formation de remise à niveau si nécessaire.
Cette politique peut être révisée à la lumière des modifications de la législation, des avis juridiques et des nouvelles technologies pertinentes.
Envoyez ce formulaire par courriel à IT Security contact@myecobestfriend.com
Veuillez fournir autant d'informations/détails que possible possible : | |
Description de l'incident de sécurité/de la violation des données | |
Violation confirmée ou suspectée ? | |
Qui signale la violation : Nom/Dept/ | |
Date et heure de l'identification de l'incident/de l'atteinte à la sécurité et par qui. | |
Y avait-il d'autres témoins ? Si oui, indiquez leurs noms. | |
Cause de la violation ? - Accident ou négligence, - Erreur technique, - Vol ou méfait intentionnel, - Navigation non autorisée, - Autre (décrire), - Inconnu | |
Première classification des données violées - Données publiques - Données internes - Données personnelles - Données sensibles |
Volume des données concernées Très peu (moins de 20) Groupe identifié et limité (>20 et <100) Grand nombre d'individus touchés (>100) Les chiffres ne sont pas connus | |
Les personnes concernées par la violation sont-elles des étudiants/parrains, des membres du personnel ou les deux ? | |
Connaissez-vous les personnes concernées (joindre une liste) ? | |
Les données concernent-elles des groupes vulnérables ? | |
À qui les données ont-elles été divulguées ou consultées, si vous le savez ? | |
Types de préjudice pouvant résulter de la violation - Vol d'identité - Préjudice physique - Blessure, humiliation, atteinte à la réputation - Perte d'opportunités commerciales ou d'emploi - Violation des obligations contractuelles | |
La violation est-elle circonscrite ou en cours ? | |
Si c'est le cas, quelles sont les mesures prises pour récupérer les données ? |
Des systèmes informatiques ont-ils été utilisés ? Si oui, veuillez les énumérer. | |
Des protections par cryptage étaient-elles en place au moment de la violation ? | |
Une violation de cette nature s'est-elle déjà produite auparavant ? | |
D'autres personnes pourraient-elles donner des conseils sur les risques et les mesures à prendre ? | |
Toute autre information pertinente | Par exemple, si les coordonnées bancaires d'une personne ont été perdues, envisagez de contacter les banques elles-mêmes pour obtenir des conseils sur ce qu'elles peuvent faire pour vous aider à prévenir les utilisations frauduleuses, mais aussi, le cas échéant, la police, les assureurs, les syndicats, les responsables du traitement des données, etc. |
Reçu par : | |
Date/heure : | |
Breach ID : |
Annexe 2 - Réponse aux incidents à faire et à ne pas faire pour les systèmes informatiques
isoler immédiatement le système affecté pour empêcher toute nouvelle intrusion, la divulgation de données, les dommages, etc.
utiliser le téléphone pour l'attaquant peut être capable de surveiller le trafic de courrier électronique.
conserver tous les journaux pertinents, par exemple le pare-feu, le routeur et le système de détection des intrusions
faire des copies de sauvegarde des fichiers endommagés ou modifiés et conserver ces sauvegardes dans un endroit sûr
identifier où se trouve le système affecté dans la topologie du réseau
identifier tous les systèmes et organismes qui se connectent au système concerné
identifier les programmes et les processus qui fonctionnent sur le(s) système(s) concerné(s), l'impact de la perturbation et la durée maximale d'indisponibilité admissible
dans le cas où le système affecté est collecté comme preuve, prendre des dispositions pour assurer la continuité des services, c'est-à-dire préparer un système redondant et obtenir des sauvegardes de données.
communiquer le problème à toute autre personne que votre supérieur hiérarchique et les destinataires énumérés à la section 3.
supprimer, déplacer ou modifier des fichiers sur les systèmes concernés
contacter l'auteur présumé des faits
effectuer une analyse médico-légale
Facteur | COTE DE RISQUE | ||
BASSE | MOYEN | HAUT | |
Nature des informations personnelles | Informations personnelles accessibles au public et non associées à d'autres informations | Informations personnelles propres à l'organisation qui ne sont pas des informations médicales ou financières | Informations médicales, psychologiques, de conseil ou financières ou identification unique d'un organisme public numéro |
Les relations | Divulgation accidentelle au contractant qui a signalé la violation et confirmé la destruction ou le retour des informations | Divulgation accidentelle à un étranger qui a signalé la violation et a confirmé la destruction ou la restitution de l'information | Divulgation à une personne ayant une relation quelconque à la personne concernée ou à sa connaissance, en particulier les divulgations à des membres de la famille, des voisins ou des collègues de travail motivés |
Vol | |||
Cause de la violation | Erreur technique qui a été résolue | Perte ou divulgation accidentelle | Violation intentionnelle. Cause inconnue Erreur technique - si non résolu |
Portée | Très peu de personnes touchées | Groupe identifié et limité de personnes concernées | Grand groupe ou ensemble du groupe non identifié (plus de 100) |
Efforts d'endiguement | Les données ont été correctement cryptées
Le dispositif de stockage portable a été effacé à distance et il existe des preuves que le dispositif n'a pas été consulté avant l'effacement.
Les fichiers ou le dispositif de copie papier ont été récupérés presque immédiatement et tous les fichiers semblent intacts et/ou non lus. | Le dispositif de stockage portable a été effacé à distance dans les heures qui ont suivi la perte, mais rien ne permet de confirmer que le dispositif n'a pas été consulté avant l'effacement.
Les fichiers ou le dispositif de copie papier ont été récupérés, mais un délai suffisant s'est écoulé entre la perte et la récupération. récupération que les données auraient pu a été consulté | Les données n'ont pas été cryptées
Les données, les fichiers ou le dispositif n'ont pas été récupérés
Données risquant de faire l'objet d'une divulgation ultérieure, notamment par les médias ou en ligne |
Préjudice prévisible résultant de la violation | Aucun préjudice prévisible résultant de la violation | Perte d'opportunités commerciales ou d'emploi Blessure, humiliation, atteinte à la réputation ou aux relations Préjudice social/relationnel Perte de confiance dans My Eco Best Friend Perte des actifs de My Eco Best Friend Perte des contrats ou des affaires de My Eco Best Friend Exposition financière | Risque de sécurité (par exemple, sécurité physique) Risque de vol d'identité ou de fraude La blessure, l'humiliation, l'atteinte à la réputation peuvent également constituer un risque élevé selon les circonstances. |
Utilisez cette Moteur de recherche pour trouver tout ce qui est disponible sur My Eco Best Friend (Produits, Jeux, Vidéos...)
FR 
EN 
IT 
DE 
