La sécurité dans nos processus
La sécurité dans nos processus
Les mesures adoptées pour assurer le maintien de la sécurité dans nos actions et décisions.
Encadrement de l’utilisation des données utilisateur
Tel que défini dans notre Politique de gestion des renseignements personnels , nos employés ont l’obligation d’utiliser les données seulement dans la mesure nécessaire à l’exercice de leurs fonctions et ce, sous peine de sanctions.
Exemple d’utilisation acceptable : accéder aux coordonnées d’un utilisateur afin d’offrir du support technique.
Exemple d’utilisation prohibée : accéder aux coordonnées d’un utilisateur à des fins personnelles.
Nos employés sont aussi liés par une obligation de confidentialité. La divulgation de données à tout tiers externe est interdite sans l’expresse autorisation du responsable de la protection des renseignements personnels.
En outre, des formations obligatoires ainsi qu’un un centre de documentation au sujet de l’utilisation des données viennent complémenter nos différentes politiques internes.
Gestion des incidents
Le processus de gestion des incidents que nous observons se fonde largement sur les directives de la norme ISO/CEI 27001:2013. Notre Politique de gestion des incidents de sécurité de l’information vient encadrer le processus à suivre lorsqu’un incident de sécurité est identifié.
Plus précisément, la Politique établit :
- Les responsabilités de chaque intervenant, dont l’identification, la classification, la communication, la résolution et la prévention des incidents, ainsi que l’application de mesures disciplinaires.
- Comment reconnaître un incident de sécurité.
- Comment classifier le risque (faible, moyen, élevé) associé à un incident de sécurité.
- Les étapes à suivre lorsqu’un incident est identifié pour le résoudre et assurer la continuité des services touchés, le cas échéant.
- Les mesures à prendre afin d’éviter qu’un incident ne se reproduise et les leçons tirées.
Gestion des fournisseurs et des sous-traitants
Les fournisseurs et sous-traitants représentent des logiciels, associations ou intervenants avec lesquels nous travaillons pour fournir et bonifier nos services.
Notre processus de sélection nous assure que nos fournisseurs :
- Aient seulement accès aux données nécessaires et pour une durée nécessaire à la réalisation de l’objet pour lequel elles sont partagées.
- Adoptent des normes de sécurité de l’information qui répondent à nos exigences.
Lors de l’évaluation d’un fournisseur tiers, nous tenons notamment compte de la portée des données concernées, le cas échéant, ainsi que des risques de sécurité si ce fournisseur venait à être compromis.
En savoir plus sur nos fournisseurs et sous-traitants
Vérification des antécédents à l’embauche
Nous effectuons une vérification de routine du casier et des antécédents judiciaires avant d’entériner chaque embauche. Cette vérification et répétée à chaque deux (2) ans.
Sécurité physique et matérielle
Notre Politique de gestion des accès physiques définit les règles à suivre pour protéger nos employés et prévenir tout accès non autorisé à nos bureaux ou à nos outils de travail. Cette Politique détaille notamment les procédures de gestion du verrouillage, des systèmes d’alarme et des visiteurs.
Notre matériel informatique ainsi que les logiciels que nous exploitons sont obligatoirement protégés par mot de passe. En cas de perte ou de vol, nous avons la capacité d’effacer à distance les données stockées sur un ordinateur.
En outre, nos bases de données sont hébergées hors de nos bureaux, dans des centres de données hautement sécurisés gérés par Digital Ocean.
En savoir plus sur la sécurité des centres de données de Digital Ocean
Requêtes
Pour toute question ou demande relative à la sécurité ou à l’utilisation des données, n’hésitez pas à contacter notre responsable de la protection des renseignements personnels à l’adresse confidentialite@planitou.ca.
