Mesures de sécurité techniques et organisationnelles

Description des mesures techniques et organisationnelles mises en œuvre par Quibim pour assurer un niveau approprié de sécurité et de protection des données à caractère personnel (les « Mesures de sécurité»), compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes concernées.

 

Confidentialité et contrôle d'accès

  • L’accès aux données personnelles par des personnes non autorisées doit être interdit. À cette fin, la politique interne de bureau propre de Quibim permet de protéger les données personnelles contre les risques d’accès de tiers non autorisés. Les supports électroniques et les documents papier sont conservés dans un endroit sûr (armoires fermées ou salles à accès limité). En cas d’absence du poste de travail, l’écran est verrouillé ou la session est fermée.
  • Nous disposons d’un contrôle d’accès physique pour empêcher l’accès non autorisé aux systèmes de traitement des données. Quibim a mis en place un système de contrôle d’accès automatisé, un système d’alarme et d’autres mesures de protection, telles que des serrures de sécurité ou un protocole d’enregistrement des visiteurs.
  • Les documents ou supports électroniques (CD, clés USB, disques durs, etc.) contenant des données à caractère personnel ne sont pas éliminés sans garantie de destruction effective. Néanmoins, d’une manière générale, les employés ne doivent pas utiliser d’appareil de stockage externe conformément à la politique interne de Quibim relative aux dispositifs appartenant à l’entreprise et à la procédure opérationnelle standard (ou « SOP») concernant la gestion d’actifs.
  • Aucune donnée ou information personnelle n’est communiquée à des tiers sans respecter les procédures établies dans les réglementations en vigueur en matière de protection des données personnelles. Nous veillons tout particulièrement à ne pas divulguer de données à caractère personnel lors de demandes de renseignements par téléphone, par courriers électroniques ou autres.
  • Nous avons mis en place un système de gestion des mots de passe pour garantir la qualité de ces derniers et, par conséquent, la confidentialité et la sécurité des données personnelles stockées dans les systèmes électroniques, conformément à la politique interne de Quibim en matière de mots de passe et aux meilleures pratiques en matière de cybersécurité. L’accès aux systèmes et aux plateformes doit être protégé par deux facteurs d’authentification lorsque cela est techniquement possible.
  • La confidentialité des mots de passe doit être garantie pour qu’aucun tiers ne puisse y avoir accès. Les mots de passe ne doivent en aucun cas être partagés ou notés par écrit, et l’accès par des personnes autres que l’utilisateur est interdit.
  • Nous assurons également un processus formel d’enregistrement et de désenregistrement des utilisateurs permettant d’attribuer et de révoquer les droits d’accès à tous les systèmes et services pour tous les types d’utilisateurs. L’attribution et l’utilisation des droits d’accès privilégiés sont restreintes et contrôlées. Les droits d’accès sont supprimés en cas de licenciement, de fin de contrat ou de cessation de prestation de services, ou ajustés en cas de modification.
  • S’il est nécessaire de sortir des données à caractère personnel des locaux où elles sont traitées, que ce soit par des moyens physiques ou électroniques, nous utilisons des méthodes de cryptage de bout en bout pour garantir la confidentialité des données à caractère personnel en cas d’accès non autorisé à l’information.
  • Quibim utilise des techniques cryptographiques pour protéger la confidentialité, l’intégrité et l’authenticité des informations pendant leur stockage et/ou leur transmission. Plus précisément, nous utilisons les solutions de cryptage pour les opérations suivantes : accès à distance via VPN, communications entre les applications utilisées et les serveurs, cryptage des informations au repos (bases de données et stockages) sur le système de stockage Microsoft Azure à l’aide du cryptage du service de stockage Azure (codification AES (Advanced Encryption Standard) 256 bits), certificats de signature électronique, cryptage des ordinateurs portables ou cryptage des sauvegardes.
  • Le contrôle de l’accès aux données est établi conformément aux politiques internes de Quibim (à savoir la politique de gestion des accès et la procédure opérationnelle standard de contrôle des accès), qui exigent, entre autres mesures, l’enregistrement de l’accès aux applications, en particulier lors de la saisie, de la modification et de la suppression de données.
  • La séparation du traitement des données collectées à des fins différentes est mise en œuvre selon des processus de séparation des environnements de développement, de test et de production (toutes les intégrations de clients sont développées et testées dans un environnement de test, et les mises à jour ne sont diffusées en production qu’après des tests suffisants), de séparation physique des systèmes, des bases de données et des supports de données, et de définition des droits sur les bases de données.
  • En cas de violation de la sécurité de données à caractère personnel, par exemple le vol ou l’accès non autorisé, nous communiquons ces circonstances à l’Agence espagnole de protection des données dans les 72 heures, ainsi que toutes les informations nécessaires pour clarifier les faits qui ont donné lieu à l’accès illicite à des données à caractère personnel. La notification est effectuée par voie électronique au siège électronique de l’Agence espagnole de protection des données, à l’adresse :  https://sedeagpd.gob.es.

 

Intégrité

  • Conformément à la politique interne de Quibim en matière de gestion des accès, à la procédure opérationnelle standard de gestion des accès et à la procédure opérationnelle standard de contrôle d’accès, les comptes d’utilisateurs administrateurs doivent être aussi peu nombreux que possible, conformément aux principes du « besoin de savoir » et du « moindre privilège ».
  • Lorsque plusieurs personnes ont accès à des données à caractère personnel, chaque personne ayant accès à ces données doit obligatoirement utiliser un nom d’utilisateur et un mot de passe spécifiques. Tous les utilisateurs doivent saisir un identifiant unique pour accéder à tous les systèmes et applications.
  • Les dispositifs et les ordinateurs portables employés pour stocker et traiter des données à caractère personnel sont mis à jour avec les dernières versions disponibles.
  • Nous administrons l’inventaire des actifs matériels et logiciels pour identifier les actifs associés aux systèmes d’information afin de déterminer la responsabilité et la propriété de ces actifs.
  • Le contrôle des transmissions est assuré, le cas échéant, par l’utilisation d’un réseau privé virtuel (VPN), par la journalisation des accès et des extractions, et par l’utilisation de connexions cryptées telles que HTTPS ou le cryptage des courriels.
  • Le contrôle des accès est assuré à l’aide de journaux d’événements, qui enregistrent les activités des utilisateurs et les événements liés à la sécurité de l’information. Les installations d’enregistrement et les informations enregistrées sont protégées contre la falsification et les accès non autorisés. Les activités de l’administrateur du système et de l’opérateur du système sont enregistrées, et ces enregistrements sont protégés et régulièrement examinés.
  • L’intégrité des données est assurée par la gestion et le contrôle individualisé de chaque modification, l’attribution de droits individualisés d’accès, de modification et de suppression des données conformément à un système d’autorisation, des enregistrements techniques des saisies, des modifications et des suppressions des données, et grâce, entre autres, à des mesures appropriées de traçabilité de l’entrée, des modifications et des suppressions des données effectuées par les utilisateurs enregistrés de manière individuelle.
  • Toute modification apportée au code source est examinée au moyen d’une analyse statique du code avant d’être mise en production afin de s’assurer, entre autres, qu’elle ne comporte pas de vulnérabilités critiques ou de problèmes de sécurité.

 

Disponibilité et résilience

  • Tous les ordinateurs et dispositifs qui effectuent le traitement automatisé des données à caractère personnel sont dotés d’un système antivirus ou de mesures analogues qui garantissent, dans la mesure du possible, la protection contre le vol et la destruction des informations et des données à caractère personnel, et qui détectent, préviennent et récupèrent le contrôle en cas d’attaque de logiciels malveillants.
  • Afin d’éviter tout accès à distance illicite aux données à caractère personnel, un système de pare-feu, régulièrement mis à jour, est déployé sur tous les ordinateurs portables et dispositifs (sous la gestion de Quibim) qui stockent ou traitent des données à caractère personnel.
  • Nous effectuons régulièrement des copies de sauvegarde cryptées de toutes les informations commerciales, de développement et de production stockées dans l’infrastructure du fournisseur de services en Cloud de Quibim (hébergée par Microsoft Azure), conformément aux procédures de sauvegarde internes de Quibim. Concernant le stockage de fichiers partagés sur Azure, nous utilisons les services Azure Backup et Azure Site Recovery pour garantir un plan de reprise d’activité en cas de sinistre. Ces services offrent une option de stockage géoredondant (GRS) permettant d’enregistrer des sauvegardes dans une région autre que celles des données sources. Cela permet d’utiliser le système de secours en cas de panne ou de défaillance régionale. Ce système permet également de séparer les sauvegardes des données sources pour plus de sécurité.
  • Les fichiers des applications et les données de production sont sauvegardés conformément aux politiques de sauvegarde établies.
  • Nous avons également mis en place un plan de continuité des activités pour assurer le niveau requis de continuité des activités de l’entreprise dans une situation défavorable susceptible d’avoir une incidence sur la continuité des activités. Dans le cadre du plan de continuité des activités, nous disposons d’un plan d’urgence qui précise les procédures et les actions visant à rétablir le fonctionnement des services essentiels dans les plus brefs délais et dans les meilleures conditions possible.

 

Droits des personnes concernées

Tous les employés de Quibim connaissent leurs obligations en matière de traitement des données personnelles et la procédure à suivre pour respecter les droits des personnes concernées. La politique interne de Quibim concernant la gestion des droits prévus dans le RGPD définit clairement les mécanismes qui permettent aux personnes concernées d’exercer leurs droits, et établit que le responsable du traitement des données doit fournir une réponse à leur demande sans retard injustifié.

  • En ce qui concerne le droit d’accès, les parties intéressées reçoivent une liste des données personnelles en possession de Quibim, ainsi que la finalité pour laquelle elles ont été collectées, l’identité des destinataires des données, les périodes de conservation et l’identité de la personne responsable à laquelle elles peuvent s’adresser pour exercer leur droit de rectification, à l’effacement et d’opposition au traitement de leurs données.
  • En ce qui concerne le droit de rectification, le responsable du traitement procédera à la modification des données inexactes ou incomplètes selon les finalités du traitement.
  • En ce qui concerne le droit à l’effacement, les données des parties intéressées seront effacées si elles expriment leur refus ou leur opposition concernant le traitement de leurs données et qu’aucune obligation légale ne l’empêche.
  • Pour exercer leur droit à la portabilité, les personnes concernées doivent communiquer leur décision au responsable du traitement et indiquer, le cas échéant, l’identité du nouveau responsable du traitement à qui transmettre les données à caractère personnel.
  • Pour le droit d’opposition, les données des parties concernées ne seront plus traitées aux fins pour lesquels l’opposition au traitement est demandée.
  • Concernant le droit de ne pas faire l’objet d’une prise de décision individuelle automatisée, le responsable du traitement doit communiquer à la personne concernée que l’entreprise ne traite pas ses données à cet égard et fournir les preuves pertinentes.

 

Procédures d’examen, d’évaluation et de contrôle réguliers

  • Quibim a obtenu les certifications suivantes :
    • ISO/IEC 27001:2022 - Système de management de la sécurité de l’information
    • ISO 13485:2016 et EN ISO 13485:2016 - Système de management de la qualité
    • Système national de sécurité (Esquema Nacional de Seguridad, ) conformément au décret royal espagnol 311/2022
    • Programme Cyber ​​Essentials.
  • Tous les logiciels sont mis au point dans le cadre du système de management de la qualité de Quibim, certifié ISO 13485.
  • Toutes les dispositions relatives au développement sécurisé établies dans le cadre du SMSI sont examinées tous les ans par le biais d’audits internes indépendants, et Quibim examine périodiquement l’efficacité des mesures de sécurité décrites dans le présent document.
  • Quibim réalise périodiquement des activités de surveillance post-commercialisation afin de contrôler la sécurité et les performances de tous ses produits et services.
  • Tous les employés suivent régulièrement des formations en matière de protection des données et sont soumis à des obligations de confidentialité et de secret des données, qui survivent à la résiliation et à l’expiration de leur relation de travail avec Quibim.
  • Quibim passe des accords de traitement des données avec tous les sous-traitants, qui précisent les exigences en matière de protection et de sécurité des données, et selon un processus préalable de sélection qui implique une diligence raisonnable en matière de sécurité des données.
  • Conformément aux articles 37, 38 et 39 du RGPD, Quibim a désigné un délégué à la protection des données (dpo@quibim.ai) chargé de veiller à ce que l’entreprise respecte la législation sur la protection des données.

 

Quibim peut mettre à jour ou modifier ces mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications n’entraînent pas une dégradation de la sécurité globale.

Site Web de Quibim
Sécurité accrue. Efforts réduits. Succès durable.  Conformité aux cookies GDPR
Aperçu de la confidentialité

Lorsque vous visitez un site web, des informations peuvent être stockées dans votre navigateur ou récupérées à partir de celui-ci, généralement sous la forme de cookies. Ces informations peuvent porter sur vous, sur vos préférences ou sur votre appareil et sont principalement utilisées pour s'assurer que le site fonctionne comme vous le souhaitez. Les informations ne permettent pas de vous identifier directement, mais peuvent vous offrir une expérience Web plus personnalisée. Parce que nous respectons votre droit à la vie privée, vous pouvez choisir de ne pas autoriser certains types de cookies. Cliquez sur les différentes catégories pour obtenir plus de détails et modifier nos paramètres par défaut. Toutefois, le blocage de certains types de cookies peut avoir un impact sur votre expérience du site. Vous pouvez trouver plus d'informations, y compris une explication détaillée des cookies, sur notre Politique de cookies.