RGPD MONEXT v1.0

S’abonner


Ce tableau représente la politique appliquée par Monext pour chaque sujet de la régulation.


Thématiques Politiques Monext Commentaire
Données à caractère personnel

DCP 1 : Données à caractères personnelles.

Chiffrement sur instruction de client

Exemples : nom et prénom, photo fournie par la personne concernée, coordonnées professionnelles, données d'identité, données économiques et financières, situation personnelle et professionnelle, données de prestation / éléments de tarification, géolocalisation...

DCP 2 : Données sensibles ou spécialement protégées.Standard PCI DSS avec chiffrement du PAN

Exemples : numéro de sécurité sociale (NIR), données administratives de santé, qualité de personnes politiquement exposées, données cartes bancaires, codes d'accés, situation sociale.

DCP 3 : Données à forte sensibilité.Non concerné

Exemples : données concernant la santé, données biométriques ou génétiques, origine raciale ou ethnique, orientation sexuelle, convictions religieuses ou philosophiques, appartenance syndicale, condamnation et infractions, avoirs gelés.

Principes et règles générales sur la protection des données

Politique de sécurité de l'information en vigueur et mise à jour au moins une fois par an par le responsable de la sécurité de l'information (RSSI).

PGSI

Monext intègre des éléments de conformité RGPD dans ses politiques et procédures et la politique de sécurité inclut une gouvernance en matière de protection des données au sein de Monext.

PGSI

Sur devis pour le traitement de l'exécution des

droits d'accès, de modification et de suppression

La politique de sécurité inclut une classification des informations et des données au sein de Monext.

PGSI
Les traitements sont renseignés dans un registre interne. Registre Monext

Monext s’engage à maintenir la certification PCI DSS des activités monétiques certifiées.

PCI DSSChiffrement du PAN

Les collaborateurs Monext signent dans leur contrat un engagement de confidentialité.

Contrat collaborateur

En tant que sous-traitant, Monext propose des solutions et suit les instructions des clients responsables de traitements pour assurer la gestion des droits des personnes ( traitement de l'exécution des droits incluant : le droit d'accès, le droit de modification, le droit de suppression, le droit à la portabilité des données à  caractère personnel et le droit à la limitation du traitement).

Sur devis

Monext relai les éventuelles demandes vers notre client responsable de traitement

Monext prend les mesures techniques et organisationnelles pour préserver la sécurité des données des fichiers et notamment empêcher toute déformation, altération, endommagement, destruction de manière fortuite ou illicite, perte, divulgation et/ou tout accès par des tiers non autorisés préalablement.

PGSI

La Sécurité de l’Information utilise quatre attributs normalisés (DICP : la disponibilité, l’intégrité, la confidentialité et la traçabilité des preuves) sur lesquels s’expriment les niveaux de sécurité atteints ou les altérations provoqués sur les Composants Systèmes d’Information.

Monext précise les modalités de restitution des fichiers et des données vers le client selon la clause de réversibilité prévue au contrat.

Contrat Client Renouvellement contrat ou avenant ou CGV

Prise en compte du principe du Privacy by design dans le cadre de toutes nos activités.

PGSI

Un Data Protection Officer est désigné au sein du groupe auquel appartient Monext. Le DPO veille à la conformité RGPD et doit être consulté pour toutes problématiques liées à la protection des données à caractères personnel.

DPO groupeprotectiondesdonnees@arkea.com

Des critères de décision sont définis pour déterminer si une Etude d'impact sur la vie privée (DPIA) est nécessaire.

Registre Monext

Toute opération concernant le traitement de données à caractère personnel hors Union Européenne est limitée sur des fonctions mineures et dans tous les cas associé à une réglementation de protection des données équivalentes à la RGPD ( Privacy shield).

PGSI

Concernant la prospection, Monext s'engage à être clair et explicite sur la catégorie et le traitement des données collectées. Des mécanismes gérant le consentement sont implémentés. Les personnes concernées auront la possibilité de modifier leur consentement.

PGSI

OPT-IN/OUT.

Cookies.

Sous-traitance / fournisseurs

Les obligations du fournisseur, notamment en termes de protection des données, sont équivalentes aux standards de Monext.

Sous-traitance / fournisseurs


Des sous-traitants de Monext traitant des données à caractère personnel subsistent selon un contrat spécifiant les exigences en matière de protection des données et d'une clause d'audit.

Sous-traitance / fournisseurs
Architecture et organisation

Monext inclut une protection physique et environnementale (contrôle des accès physiques aux locaux, protection contre les événements environnementaux, sécurité d'accès aux sites, sécurité éléctrique).

PGSI

Les serveurs de production sont positionnés dans des VLANs dédiés et isolés du reste du réseau. Les serveurs frontaux qui ont vocation à être accessibles depuis Internet sont positionnés dans une DMZ.

PGSI

Les systèmes qui stockent des données sensibles sur leurs systèmes

de fichiers attachés sont positionnés en INZ.

PGSI

Le cloisonnement des informations et des données clients est assurée par la segmentation de l'architecture réseau, la politique de gestion des mots de passe et la politique de filtrage des flux.Ce cloisonnement est nécessaire pour qu'aucune interruption du service fourni aux clients ne sera effectuée, ni d'entrave d'accès à leurs données.

PGSI

Monext a développé une démarche transversale, mobilisant l’ensemble de ses Directions, opérationnelles comme fonctionnelles, afin d’assurer la continuité de ses prestations.

PGSI

Monext gère les changements pouvant impacter la sécurité du SI.

Ceux-ci sont approuvés formellement par les personnes habilitées avant d'être opérés en environnement de production.

PGSI

Monext dispose d'un processus "Patch Management" gérant la mise à jour des serveurs.

PGSI
Mesures de sécurité

Monext inclut une politique de chiffrement et de gestion des clefs puis une politique de chiffrement des données sensibles sur les réseaux. Les flux entrants et sortants qui contiennent des données sensibles sont chiffrés. Des certificats signés par une autorité de confiance sont utilisés.

Procédures de sécurité

Sur demande du client, Monext :

- crée et utilise des clefs de chiffrement ou d’anonymisation uniques pour le client.

- permet au client de générer ses propres clefs pour chiffrer ou anonymiser ses données.

Procédures de sécurité

Monext inclut une politique de sauvegarde des informations et données. Les données sauvegardées sont stockées sur disque et chiffrées. Une équipe est dédiée à l’administration des sauvegardes.

Procédures de sécuritéLe cycle de sauvegarde est de 18 mois.

Monext gère les infrastructures et des systèmes hébergeant les données puis les applications manipulant les données.

Procédures de sécurité

Des durées de conservation sont définies pour les données traitées et ces durées sont communiquées.

Procédures de sécurité

Monext a implémenté une stratégie de mise à jour d'infrastructure tel que des anti-virus sur chaque serveur et poste de travail dont la fréquence de mise à jour est effectuée régulièrement.

Procédures de sécurité

Tous les ordinateurs portables et autres dispositifs utilisés pour stocker, traiter ou transporter les données du client, sont chiffrés à l'aide d'un logiciel de chiffrement.

Procédures de sécurité

Tous les ordinateurs portables et autres dispositifs utilisés pour stocker, traiter ou transporter les données du client, sont chiffrés à l'aide d'un logiciel de chiffrement.

Procédures de sécurité

Monext possède un journal de logs. Des contrôles et revues sont menés sur les journaux de logs pour s'assurer de leur intégrité.

Procédures de sécurité

Les logs sont conservés une année dont au moins 3

mois en ligne.

Monext a implémenté des dispositifs visant à tracer les sources et événements les interfaces des systèmes / interfaces sensibles.

Procédures de sécurité

Les traces d’audit sont activées pour tous les composants sensibles du SI.

Procédures de sécurité

Les accès distant aux environnements de production Monext requiert une authentification à double-facteurs. Une revue des comptes d'accès distant est réalisée à minima annuellement. Des contrôles de présence de point d'accès pirate sont effectués. Les actions réalisées sont tracées.

Procédures de sécurité
Sécurité des développements et des applications

Monext garantit que les environnements de développement/test/recette sont distincts des environnements de production.

Procédures de sécurité
Monext effectue des revues de code oritentée "sécurité".Procédures de sécurité

Monext met en oeuvre un framework de développement intégrant la sécurité. Des programmes de test de conformité et des critères associés sont déterminés pour les nouveaux systèmes d’information, les mises à jour et les nouvelles versions.

Procédures de sécurité

Monext effectue les développements et tests de logiciels et d'applications dans des environnements désignés qui sont séparés de tout environnement de production.

Le développement de logiciels/applications et les tests ne sont effectués qu'avec des données de test produites ou des données de production rendues anonymes, à moins que le client n'en ait convenu autrement par écrit.

Procédures de sécurité

En fonction de la sensibilité du code source, Monext peut dédier un environnement de développement et en assurer l’intégrité sur demande du client.

Procédures de sécurité

Monext réalise une phase de test et de recette de sécurité couvrant les vulnérabilités majeures à chaque fin de développement et s'assure que les bonnes pratiques de développement ont été appliquées et que les mécanismes de sécurité au regard des exigences du client ont été appliquées.Monext s'engage à accepter les critères du client de validation des tests et recettes de sécurité.

Procédures de sécuritéExemple OWASP

Les applications accessibles sur Internet font l’objet d’un test

d’intrusion de sécurité dans le cadre du programme PCI DSS ou sur

demande du Client.

Procédures de sécurité
Incidents de sécurité et notification

Monext est constitué d'une équipe dédiée dans la sécurité de l'Information.

Incidence response plan

Monext dispose de processus formel de détection, d'identification, d'analyse et de réponse aux incidents de sécurité.

Incidence response plan

Monext reprend la méthodologie CERT SG pour traiter les incidents de sécurité. De plus, une fiche Incident Response Management a été établit pour faire face aux incidents de sécurité SI les plus couramment rencontrés. Les clients impactés par les incidents de sécurité sont informés, la fréquence des messages d’information dépendant de l’impact induit par l’incident sur l’activité des clients.

Incidence response plan

1. Préparation: Être prêt à faire face à un incident

2. Identification: Détecter l’incident

3. Endiguement: Limiter l’impact de l’incident

4. Remédiation: Supprimer la menace

5. Restauration: Revenir à un état normal

6. REX: Synthèse de l’incident et propositions d’améliorations/évolutions

Monext a adopté une procédure de gestion des violations de données à caractère personnel.

Incidence response plan

Notification sur détection dans les meilleurs délais via le dispositif de suivi client en place.

Monext dispose d'une procédure concernant les correctifs de sécurité couvrant les systèmes et technologies d'information.

Procédures de sécurité
Audit et contrôles

Monext réalise des audits de sécurité interne uniquement avec les prestataires hors programme PCI-DSS et des revues de sécurité des projets clients. Monext est en mesure d'effectuer une analyse de sécurité à la demande.

Procédures de sécurité

- Outils de détection (NIDS/HIDS, solutions antimalwares, scanners de vulnérabilités, contrôle de présence de points d'accès pirate, scripts…).

- Outils d'intrusion (Test de sécurité/intrusion sur IHM Web/OWASP interne et des tests d'intrusion des infrastructures/applications via des tiers en sécurité offensive).

Mensuellement sur tous les serveurs de production de notre SI, des scripts de contrôle vérifient la conformité par rapport aux standards de sécurité Système, BDD et Web.

Procédures de sécurité

Des processus de reporting sont définis au sein de Monext accompagné d'un processus de revue.

Procédures de sécurité

Monext dispose d'une politique de contrôle/gestion d'accès et de gestion des habilitations.

Procédures de sécurité

Monext défini plusieurs niveaux d'authentification selon la criticité des données hébergées. La revue des comptes est effectuée à minima annuellement.

Procédures de sécurité
Gestion Ressources Humaines

Monext dispose d'un processus de sélection des candidats afin de s'assurer de leurs compétences dans les tâches qui leur seront données et de déterminer leurs responsabilités en matière de sécurité de l'information.

Politique RH

Monext dispose d'un processus "Goodbye Process" pour assurer le retrait immédiat de l'accès physique et logique du personnel en cas de départ ou de cessation d'emploi.

Politique RH

Les collaborateurs Monext suivent une sensibilisation sur la protection des données et les politiques et procédures en lien avec le RGPD ont été diffusées aux collaborateurs. Par ailleurs, un programme de formation et de sensibilisation à la sécurité de l'information est en place pour s'assurer que tout le personnel comprend ses responsabilités en matière de sécurité de l'information.

E-learning

L'utilisation de supports amovibles est contrôlée et limitée aux utilisateurs ayant besoin de tels dispositifs pour remplir leur rôle.

PGSI

PGSI : Politique Générale du Système d'Information



Vous avez d’autres questions ? Envoyer une demande

Commentaires

Réalisé par Zendesk