Nos initiatives et engagements en matière de protection des données
Protection des données
En quoi consiste la norme ISO/IEC 27001 ?
Nous fournissons à nos clients,partenaires et collaborateurs, une sécurité complète de leurs données par l’implémentation, la mise à jour et la maintenance d’un système intégré de management global de la sécurité de l’information (SMSI).
La certification témoigne de l’aptitude de Fiabilis à évaluer sa capacité à répondre à toutes les catégories de risques en présence, que ceux-ci soient posés par les infrastructures, les personnes ou les processus.
La norme ISO 27701, un complément à la norme ISO/IEC 27 001
Cette norme nous permet notamment de démontrer, conformément au principe de responsabilité, que nos pratiques internes en matière de traitement des données à caractère personnel sont allignées sur les principes de base posés par le RGPD (licéité, loyauté, transparence; limitation des finalités; minimisation; exactitude, limitation de la conservation; intégrité et confidentialité).
Contrôle externe et renouvellement des certifications ISO
Conformité à la protection des données – FAQ
1) Quel est le rôle de Fiabilis dans le traitement des données des clients ?
2) Comment les données sont-elles transférées à Fiabilis ?
Nous avons créé une plateforme d’échange de données sécurisée et individuelle pour chaque client par laquelle le client peut envoyer ses données directement vers notre serveur. Le client peut également opter pour un transfer de données selon ses exigences, tel que par le biais d’une infrastructure interne dédiée et fournie par ses soins.
3) Où et combien de temps les données sont-elles stockées ?
Vos données sont stockées et traitées exclusivement en Belgique sur les serveurs de Fiabilis pendant la période convenue dans le DPA. Celles-ci sont détruites après cette période.
Les initiatives concrètes prises pour protéger vos données
Sécurité des locaux
- Signature d´une Charte IT et engagement de confidentialité
- Formations, sensibilisations, évaluations régulières des connaissances en matière de sécurité de l’information
Sécurité physique
- Supervision directe des visiteurs par un membre de Fiabilis pendant toute la durée de la visite
- Contrôles et accès limités aux locaux
Gestion des actifs
- Gestion automatisée et décentralisée de l’inventaire des actifs
- Politique de gestion, suivi et mise au rebut des actifs confiés tout au long de leur vie
- Politique de sécurité des périphériques (verrouillage automatique, complexité et rotation des mot de passe, protection en temps réel contre les logiciels malveillants, pare-feu, cryptage des disques, restriction de l’installation des logiciels, mises à jour automatiques…)
- Politique de gestion des droits d’accès centralisée et revues régulières indépendantes
- Politique de gestion des fournisseurs de service ou d’approvisionnement, engagement de confidentialité obligatoire, audit annuel de leur sécurité
- Politique de contrôle des développements, audit de code, test de vulnérabilité
- L’ensemble de nos actifs entre dans la gestion de notre SMSI certifié ISO 27001
Données
- Hébergement de toutes les données clients et internes sur notre propre infrastructure interne
- Politique stricte d’échange ou de partage de fichiers sur nos propres outils hébergés en interne
- Pseudonymisation des données dès leur téléchargement sur le site de la Sécurité Social
- Aucun transfert de données sensibles à un quelconque sous-traitant
- Authentification obligatoire des utilisateurs par login et mot passe, avec double authentification (MFA) obligatoire pour les accès distants (VPN)
- Archivage centralisé des logs d’accès aux données
- Cycle de vie strict des données en application des règlementations en vigueur (RGPD), des recommandations locales (CNIL…), la norme ISO 27101 et la norme ISO 27701
- Politique de backup qui définit clairement le cryptage et le lieu de stockage des données en interne (dans nos locaux) et en site sécurisé externe.
Hébergements et réseaux
- L’ensemble de l’infrastructure est hébergé localement dans nos propres bureaux physiques
- Fiabilis dispose de différents réseaux internes permettant une gestion fine des accès et une séparation des environnements
- L’accès aux données, réservé au personnel de Fiabilis, n’est possible qu’en connexion physique locale ou via le VPN protégé par une double authentification (MFA)
Audit de sécurité
- Chaque année, conformément à notre certification ISO 27001, l’organisme indépendant Aenor audite, contrôle et certifie notre SMSI, outre le contrôle de notre PMSI en vertu de l´ISO 27701.
- Un plan d’audit interne assure une cohérence du PDCA (Plan, Do, Check, Act) indispensable sur l’ensemble de nos processus
- Chaque année, 3 tests de pénétration internes sont réalisés par les équipes IT internes. Ils sont complétés par 1 test de pénétration et scan de vulnérabilité externe et indépendant.