Rentrée des classes : jusqu'à -20% sur TOUT le site. En savoir plus !

Décrivez les contrôles de protection réseau utilisés par votre organisation pour restreindre l'accès public aux bases de données, aux serveurs de fichiers et aux points de terminaison de bureau/développeur.

Accès aux BDD réservé aux équipes techniques, via échange de clés sécurisées. La liaison bureau/développeur se fait sur un réseau local ou vpn si télétravail. Les données PII stockées dans la BDD du CMS ne sont accessibles que via le système. Module permettant log des actions utilisateurs dans le système. Chaque utilisateur possède un compte unique, identifiable et non partagé. Charte informatique sensibilisant à la sécurité des données + ports USB bloqués.

Vérification chaque trimestre des comptes utilisateurs.

Les données PII stockées dans la BDD du CMS sont accessibles que via le système. 

Décrivez comment votre organisation identifie individuellement les employés qui ont accès aux informations Amazon et restreint l'accès des employés aux informations Amazon en fonction des besoins.

Compte dédié par employé pour suivre les actions sur Amazon. Un système de droits nous permet de contrôler l'accès aux fonctionnalités du système pour chaque utilisateur. Chaque nouvelle autorisation doit être validée par notre responsable RGPD. Les comptes des employés sont supprimés dès leur départ.

 

Décrivez le mécanisme mis en place par votre organisation pour surveiller et empêcher l'accès aux Informations Amazon depuis les appareils personnels de vos employés (tels que des clés USB, des téléphones portables) et comment êtes-vous alerté en cas d'incident de ce type.

Les employés n'accèdent à Amazon que via leur ordinateur professionnel. Les codes d'accès sont stockés dans un gestionnaire de mots de passe dont le mot de passe est inconnu des employés. Nos serveurs sont monitorés en temps réel et toute action suspecte est loguée et déclenche une alerte à notre service technique. Les logs sont sauvegardés quotidiennement sur serveur sécurisé. Aucune info personnelle n'est stockée dans les logs. Les ports USB sont bloqués sur les postes utilisateurs.

 

Indiquez les politiques de confidentialité et de traitement des données de votre organisation pour décrire la manière dont les données Amazon sont collectées, traitées, stockées, utilisées, partagées et supprimées. Vous pouvez fournir ces informations sous la forme d'une URL de site Web public.

 

Politique de sécurité IT - Ludilabel

 

Aucune donnée sensible n’est stockée dans les infrastructures Ludilabel.

 

Analyse des risques

Une analyse des risques a été réalisée lors d’un audit RGPD, et les mesures correctives d’ores et déjà mises en place:

  • sensibilisation du personnel avec charte informatique et signature d’une note de service d’information sur la réglementation générale de la protection des données.

  • actions de maintenance sur les postes des collaborateurs

  • gestion des habilitations et mise en place des procédures de gestion des accès aux systèmes contenant de données personnelles (gestion des droits utilisateurs)

  • hébergement des serveurs confié à un prestataire externe, pour optimiser la sécurité et la conservation des données, notamment à l’aide d’un serveur redondant.

  • un registre des traitements des données a été créé, ainsi qu’un registre des incidents

  • mise en place de mécanismes de protection des données personnelles (anonymisation des données de + de 30 jours)

  • mise en place des process permettant d'isoler les environnements de production et de non-production

  • mise en place des mécanismes de traçabilité et de détection d’accès aux données personnelles (notamment déplacement ou copies de données non autorisées déclenchant des alertes aux équipes sécurité)

  • mise en place des mécanismes d'archivage et de suppression des données personnelles

  • en télétravail, l'accès aux données internes à l'entreprise se fait exclusivement depuis le réseau local dans les bureaux ou depuis une connexion à un serveur VPN sécurisé, uniquement si nécessaire.

1. Maintenance du parc informatique et accès internet

Le parc informatique est régulièrement maintenu par le personnel IT interne, qui veille à la sécurité informatique de l’entreprise.

Les accès internet, notamment le réseau Wifi, sont sécurisés.

Un registre des modifications informatiques et fonctionnalités est également tenu à jour.

 

2. Utilisation d’outils permettant de faire face aux attaques informatiques

La majorité du parc informatique est composé de Mac, dotés d’outils natifs (antivirus, antispam, pare-feux). Les autres postes PC sous Windows sont tous dotés d’outils de protection (antivirus, antispam, pare-feux )

Chaque utilisateur dispose d’un gestionnaire sécurisé de mot de passe.

 

3. Hébergement et stockage des données

Les données sont stockées dans des environnements sécurisés et monitorés, via un prestataire de service, sur des serveurs français. Elles sont sauvegardées quotidiennement, et redondées.

 

4. Responsabilisation du personnel

Une charte informatique a été diffusée à l’ensemble des salariés : elle porte sur l’utilisation acceptable des données de l’entreprise.

REGLES DE SECURITE :

Ne jamais installer de logiciel sans avoir au préalable fait analyser le fichier d’installation par un antivirus. En cas de doute, demander assistance plutôt qu’agir.

Les ports USB des devices des salariés sont désactivés; par défaut, ne jamais brancher sur un ordinateur de la société une clé usb personnelle ou trouvée dans la rue.

Ne jamais ouvrir un e-mail dont on ne connaît pas la provenance, ni cliquer à l'intérieur ou ouvrir les pièces jointes.

Ne pas écrire de mots de passe dans un fichier sur l’ordinateur, et ne pas les copier/coller non plus dans les emails ni dans les logiciels de communication en temps réel (skype, slack, etc.). Utiliser uniquement Lastpass pour les partager si besoin, mais jamais à un tiers.

Sur les sites internet, vérifier la présence du cadenas dès lors que des informations sensibles sont saisies.

PROTECTION DES DONNEES

Ne pas uploader des fichiers d’entreprise sur des plateformes tiers pour les transferts, utiliser notre serveur interne.

Verrouiller son ordinateur dès que l'on quitte son poste de travail.

Ne pas accéder, tenter d'accéder, ou supprimer des informations si cela ne relève

pas des tâches incombant à l'utilisateur.

Il est interdit de dupliquer et conserver des fichiers et documents d’entreprise pour

usage personnel, en poste ou après le départ.

Signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement.



• Comment votre plan de réponse aux incidents traite-t-il:

a. Que faire en cas de piratage de vos serveurs / bases de données?

Les éléments corrompus sont isolés du réseau, la sauvegarde quotidienne non effectuée pour ne pas corrompre les données et pouvoir restaurer les informations.

Le correctif est appliqué.

Enclenchement de la procédure de remontée d'incidents, de détection, de traitement et de notification des violations de données personnelles sous 24h à Amazon (par e-mail à 3p-security@amazon.com), et selon retour Amazon, à la CNIL ainsi que la communication aux personnes concernées.

Mise à jour du registre des incidents.

Planification d'exercices de gestion de crise et d'incident pur vérifier que le problème ne se reposera pas.

 

b. Que faire en cas d'accès non autorisé aux données client?

Les éléments corrompus sont isolés du réseau, la sauvegarde quotidienne non effectuée pour ne pas corrompre les données et pouvoir restaurer les informations.

Le correctif est appliqué, et la procédure de notification des violations de données enclenchée sous 24h.

 

c. Qui contacter en cas d'incident et quelles étapes suivre?

Les référents IT Ludilabel sont contactés par le personnel en cas de suspicion d'incident.

Ils consultent le registre des modifications informatiques et fonctionnalités, déterminent s'il y a une incidence, prennent les mesures correctives nécessaires après avoir sécurisé les données en amont, et déclenchent sous 24h la procédure de remontée d'incident.

 

d. Que faire en cas de fuite d'informations Amazon sur vos serveurs?

Amazon est alerté dans les 24h, et les correctifs appliqués. 

e. Comment contacter Amazon pour les informer de l'incident?

Par e-mail à 3p-security@amazon.com

Décrivez où votre organisation stocke les informations Amazon en sommeil et donnez des détails sur tout algorithme de chiffrement utilisé.

Mise en place d'une solution automatisée de suppression des données personnelles 20 jours après la création de la commande. Si ces données sont nécessaires après ce délai, elles seront récupérées à nouveau depuis Amazon, par les personnes habilitées. Nos données en sommeil ne sont stockées que sur le disque de notre serveur de base de données. Ce serveur hébergé en France est protège par un pare-feu et accessible uniquement via SSH. Les données en sommeil stockées sur le serveur sont encryptées (RSA 2048). L'encryptage et le décryptage sont assurés par le système. Seuls les employés autorisés ont accès aux données décryptés.

Décrivez comment votre organisation sauvegarde ou archive les informations Amazon et donnez des détails sur tout algorithme de chiffrement utilisé.

Les archives sont transférées par connexion sécurisée (SFTP), sur un serveur accessible uniquement sur le réseau local de l'entreprise et uniquement par les employés du service technique.

Mise en place d'une solution automatisée de suppression des données personnelles 20 jours après la création de la commande. Dans le cas où ces données seraient nécessaires après ce délai, elles seraient récupérées à nouveau depuis Amazon, par les personnes habilitées.

Nos sauvegardes quotidiennes sont réalisées automatiquement sur notre serveur de production et encryptées (RSA 2048), elles sont ensuite téléchargées via SFTP sur un serveur de stockage, accessible uniquement depuis le réseau local de l'entreprise. Le serveur est physiquement présent dans une salle avec un accès restreint par digicode. La gestion des droits sur le serveur de stockage nous assure que seuls les développeurs ont accès aux sauvegardes. Le décryptage des sauvegardes ne peut être réalisé que par le système. Les sauvegardes ne sont conservées que 7 jours.

Décrivez comment votre organisation surveille , détecte et consigne les activités malveillantes dans vos applications.

Présence de pare-feu, de logiciel antivirus et programme de détection de logiciel espion sur les environnements Pc, sinon utilisation de Mac.

Nos serveurs sont monitorés en temps réel et toute action suspecte (tentative d'intrusion, volume anormal de requêtes...) est loguée et déclenche une alerte à notre service technique.

Les logs sont sauvegardés quotidiennement sur un autre serveur sécurisé. Aucune info personnelle n'est stockée dans les logs.