Vtiger - Mesures techniques et organisationnelles (TOM)

• Immeuble et bureau verrouillés
• accès biométrique
• Système de verrouillage manuel
• Portes avec système de verrouillage automatique
• Personnel de sécurité
• Vidéosurveillance de l'entrée
• Aucun serveur de production sur site

• Liste de contrôle des réglementations clés
• Réception avec le personnel des agents de sécurité
• Livre d'or
• Badge employé/visiteur
• Visiteur accompagné d'un employé
• Politique de sécurité des informations
• Instructions de travail Contrôle d'accès

• Connectez-vous avec un nom d'utilisateur et un mot de passe fort
• Pare-feu
• Systèmes de détection d'intrusion
• Utilisez VPN pour l'accès à distance
• Chiffrement des disques, appareils/ordinateurs portables/tablettes
• Authentification à deux facteurs
• Verrouillage automatique des ordinateurs de bureau/ordinateurs portables
• Logiciel antivirus installé sur les appareils et les serveurs
• L'accès est surveillé et enregistré
• Verrouillage automatique du compte en cas d'échec des connexions/authentifications
• Toutes les activités d'utilisation et les modifications de données sont enregistrées

• Gestion des autorisations des utilisateurs, y compris l'autorisation basée sur les rôles
• Création de profils spécifiques à l'utilisateur
• Politique de sécurité des informations
• Politique de mot de passe
• Politique relative aux appareils mobiles
• Instructions de travail : SOP de sécurité informatique et contrôle d'accès des employés
• Vérification des employés
• Formation et sensibilisation
• Principe de minimis

• Suppression physique des supports de données/appareils
• Accès crypté SSH
• Cryptage SSL certifié
• Déchiquetez les fichiers et les papiers qui ne sont plus utilisés
• Suppression automatique des sauvegardes des archives après la période de conservation ou à la demande du client
• Journalisation des accès aux applications, notamment lors de la saisie, de la modification et de la suppression de données

• Politique de sécurité des informations
• Réduire les rôles d'administrateur
• Gestion des droits des utilisateurs par les administrateurs
• Instructions de travail sur le traitement des informations et des actifs

• Séparation physique (systèmes/bases de données/supports de données)
• Multilocation des applications pertinentes
• L'application client et les données sont logiquement séparées
• Mise en scène de l'environnement de développement, de test et de production

• Politique de sécurité des informations
• Politique de protection des données
• Contrôle via le concept d'autorisation
• Instruction de travail pour : Sécurité opérationnelle et, Sécurité dans le développement et les tests de logiciels

Cryptage des données en transit (en mouvement)

• Implémentation des protocoles Transport Layer Security (TLS 1.2 et supérieur) et Secure Sockets Layer (SSL) pour toutes les transmissions de données.
• Ces protocoles chiffrent les données lors de leur déplacement entre les systèmes, les rendant illisibles pour quiconque les intercepte.

Chiffrement des données au repos (stockées)

• Disques de stockage : chiffrés avec un chiffrement au niveau du disque
• Données sensibles : cryptées avec AES-256 (norme de cryptage avancée 256 bits)
• Gestion des clés : AWS Key Management Service (KMS)
• Sauvegardes : chiffrées avec AES-256 sur AWS S3
• Masquage des données : les détails spécifiques au client sont obscurcis.

• Rotation des clés : rotation régulière des clés de chiffrement utilisées pour les données et les sauvegardes afin de minimiser le risque associé à une clé compromise.
• Contrôle d'accès : restreindre l'accès aux clés de chiffrement à un nombre limité de personnes autorisées avec un strict besoin de connaître.
• Audit : maintenez des journaux détaillés d'utilisation des clés pour surveiller les accès et identifier toute anomalie potentielle.

• Utilisation du VPN
• Journalisation des accès et des récupérations
• Provisionnement via des connexions cryptées telles que SFTP, HTTPS et des magasins cloud sécurisés

• Enquête sur les processus réguliers de récupération et de transmission
• Sélection rigoureuse du personnel de transport et des véhicules
• Remise personnelle avec protocole
• Politique de sécurité des informations
• Politique de protection des données

• Journalisation technique de la saisie, de la modification et de la suppression des données
• Contrôle manuel ou automatisé des logs (selon un cahier des charges interne strict)

• Enquête sur les programmes qui peuvent être utilisés pour saisir, modifier ou supprimer quelles données
• Traçabilité de la saisie, de la modification et de la suppression des données via les noms d'utilisateurs individuels
• Attribution de droits de saisie, de modification et de suppression de données sur la base d'un concept d'autorisation
• Des responsabilités claires pour les suppressions
• Politique de sécurité des informations

• Une disponibilité minimale de 99.9 % (hors maintenance programmée les nuits de week-end).
• Disponibilité continue des données
• Systèmes de détection d'incendie et de fumée
• Salle des serveurs d'extincteurs
• Surveillance de la température et de l'humidité de la salle des serveurs
• Climatisation salle serveur
• Système UPS et générateurs diesel de secours
• Barrettes de protection dans la salle des serveurs
• Système RAID / mise en miroir du disque dur
• Salle des serveurs de vidéosurveillance

• Notion de sauvegarde
• Existence d'un plan d'urgence
• Stockage de sauvegarde hors site
• Séparation du système d'exploitation et des partitions de données si nécessaire

• Surveillance et reporting des sauvegardes
• Restauration à partir d'outils d'automatisation
• Concept de sauvegarde selon criticité et spécifications client

• Plan de reprise après sinistre
• Contrôle du processus de sauvegarde
• Tests réguliers de récupération de données et journalisation des résultats
• Stockez les supports de sauvegarde dans un endroit sûr à l'extérieur de la salle des serveurs
• Existence d'un plan d'urgence

• Documentation centrale de toutes les règles de protection des données avec accès pour les employés
• Certification de sécurité selon ISO 27001
• Un examen de l'efficacité des TOM est effectué au moins une fois par an et les TOM sont mis à jour.

• Un délégué à la protection des données (DPD) est nommé.
• Tous les membres du personnel ont été formés et sont tenus au respect de la confidentialité et du secret des données. Ils reçoivent régulièrement des formations de sensibilisation au moins une fois par an.
• Des analyses d’impact sur la protection des données (DPIA) sont réalisées selon les besoins.
• Des processus ont été établis pour se conformer aux obligations d'information conformément aux articles 13 et 14 du RGPD.
• Un processus formalisé pour traiter les demandes d’informations des personnes concernées est en place.
• Les aspects liés à la protection des données sont intégrés dans notre gestion des risques d’entreprise.
• Les éléments clés de l'entreprise, y compris les opérations du centre de données, sont certifiés ISO 27001 et des audits de surveillance annuels sont effectués.

• Utilisation d'un pare-feu et mise à jour régulière
• Utilisation d'un filtre anti-spam et mise à jour régulière
• Utilisation d'un antivirus et mise à jour régulière
• Système de détection d'intrusion (IDS) pour les systèmes clients sur commande
• Système de prévention des intrusions (IPS) pour les systèmes clients sur commande

• Un processus documenté pour identifier et signaler les incidents de sécurité et les violations de données, y compris les obligations de signaler aux autorités de contrôle
• La procédure standard de traitement des incidents de sécurité impliquant le Délégué à la Protection des Données (DPD)
• Documenter les incidents de sécurité et les violations de données à l'aide du système de tickets interne
• Le processus standard de suivi des incidents de sécurité et des violations de données
• Politique de notification de violation

• Approbation des applications tierces : l'approbation des chefs d'équipe et des responsables des opérations informatiques est requise pour toutes les applications tierces utilisées dans le développement.
• Source de téléchargement sécurisée : n'exigez le téléchargement d'outils de développement qu'à partir de sources sûres telles que les serveurs du fabricant.
• Authentification unique (SSO) : implémentez l'authentification unique lorsque cela est possible pour les applications tierces afin de gérer l'accès de manière centralisée.
• Désactivation des applications moins sécurisées : désactivez par défaut les applications tierces moins sécurisées via les configurations de l'administrateur.

• Conception soucieuse de la confidentialité : encouragez le développement de produits qui minimise la quantité de données que les utilisateurs doivent saisir. Évitez les champs de données inutiles ou rendez-les facultatifs.
• Paramètres de confidentialité par défaut : présélectionnez par défaut les paramètres respectueux de la confidentialité pour donner la priorité à la protection des données des utilisateurs.
• PbD : Politique de protection des données (comprend les principes « confidentialité dès la conception / par défaut »)

• Surveillance de l'accès à distance par des parties externes, par exemple dans le cadre d'une assistance à distance
• Suivi des sous-traitants en conséquence.

• Traiter les données selon les instructions du client
• Créer des instructions de travail pour la gestion des fournisseurs et l'évaluation des fournisseurs
• Respecter la réglementation concernant le recours à des sous-traitants supplémentaires
• Sélectionnez soigneusement les sous-traitants, en vous concentrant principalement sur la protection et la sécurité des données.
• Conclure les accords de traitement de données nécessaires, tels que le traitement commandé ou les clauses contractuelles types de l'UE
• Veiller à ce que les employés de l'entrepreneur maintiennent la confidentialité des données et respectent la politique de sécurité des informations.
• Assurez-vous de détruire les données après la résiliation du contrat.