POLITIQUE DE SÉCURITÉ DE L’INFORMATIONS
[Dernière mise à jour: 17 mai 2018]
Upclick Malta Limited dba Upclick («Upclick» «Société» ou «nous») s'engage à assurer la transparence des mesures de sécurité qu'elle a mises en place afin de sécuriser et de protéger les données personnelles (telles que définies par le Règlement général de l'UE sur la protection des données 2016/679 ("GDPR")) traitées par la Société dans le but de fournir ses services tel que détaillé dans la politique de confidentialité de la Société disponible sur: https://upclick.com/privacy_fr.html
Cette politique de sécurité de l'information («Politique de sécurité») décrit les mesures de sécurité actuelles que déploie la Société à la date de «dernière mise à jour» indiquée ci-dessus. Nous continuerons de mettre à jour cette politique de sécurité de temps à autre, conformément aux lois applicables et à nos politiques internes.
Dans le cadre de notre processus de conformité GDPR (disponible sur: www.upclick.com/gdpr) et de notre conformité PCI (tous les systèmes sont certifiés PCI Level 1 Service Provider conforme à la norme PCI-DSS niveau 1), nous avons mis en œuvre des techniques de protection et de surveillance organisationnelle et un vaste programme d'information et de cybersécurité tout en ce qui concerne les données personnelles traitées par la Société. L'entreprise fait de son mieux pour s'assurer que ses employés se conforment à cette politique de sécurité.
CONTRÔLE D’ACCÈS AU SYSTÈME
L'accès à tous les systèmes de traitement de données se fait uniquement via les systèmes d'authentification des utilisateurs de la Société. Seule une partie du personnel spécifique a accès aux systèmes. Tous les accès au réseau d'administration des systèmes de la société sont disponibles uniquement depuis le bureau via un lien privé en fibre noire vers le centre de données. Les systèmes ne sont pas accessibles depuis Internet. Tous les accès au réseau d'administration des systèmes de la société sont cryptés par VPN et TLS 1.2. L'authentification est multifactorielle. Pour chacun des systèmes, elle se fait par un mot de passe utilisateur, propre à chaque employé ou personnel et à partir d'un contrôleur de domaine différent dédié à cet environnement. Les exigences PCI-DSS de niveau 1 sont conformes, comme les utilisateurs par défaut sont désactivés, le contrôle de mot de passe et la surveillance manuelle et continue sur tous les accès au système. UpClick a mis en place des mesures extrêmes pour assurer la protection des données personnelles.
CONTRÔLE D’ACCÈS AUX DONNÉES
L'accès aux données personnelles est réservé uniquement aux employés qui sont autorisés à recevoir l'accès. Les employés sont éduqués et testés en ce qui concerne la sécurité des données personnelles. La base de données est uniquement accessible aux administrateurs de bases de données et aux développeurs seniors. Tous les systèmes de la société sont conformes à la norme de niveau 1 du fournisseur de services PCI.
CONTRÔLE D’ACCÈS PHYSIQUE
Tous les systèmes de l'entreprise sont dans une cage située dans une colocation. Pour entrer dans la colocation, biométrique (empreinte digitale) est nécessaire avec carte d'accès. Une fois entré, le personnel de sécurité 24/7 doit vérifier l'identité de l'individu et enregistrer l'entrée et la sortie. Une fois dans la société, une clé est nécessaire pour ouvrir le cadenas de la cage. Toutes les portes et les couloirs sont sous surveillance vidéo. Toutes les séquences vidéo surveillées, si elles sont stockées par la Société, elles le sont pour une période d'au moins trois mois.
CONTRÔLE DE TRANSFERT
L'objectif du contrôle des transferts est de s'assurer que les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées par des tiers non autorisés lors de la transmission électronique des données ou pendant leur transport en mouvement vers le centre de données concerné. Les données du client ne sont transférées nulle part ailleurs que dans la base de données de la société. La sauvegarde est envoyée hors site via un lien privé. La zone de sauvegarde hors site est protégée par une carte d'accès pour un accès physique. La transmission des données pendant les sauvegardes est cryptée. Fichiers cryptés sur SFTP. IPN sur TLS 1.2 et accès API tokenisé.
CONTRÔLE DE LA DISPONIBILITÉ ET CONTRÔLE DES OBJECTIFS
La Société possède un site de reprise après sinistre, situé dans un autre emplacement géographique et est prête à ne pas cesser de fonctionner en cas de défaillance du système ou de violation de la sécurité. Cet emplacement de sauvegarde est visité chaque année par un QSA certifié. La sauvegarde de la base de données de l'entreprise qui est envoyée hors site est transférée uniquement via un lien privé. La zone de sauvegarde hors site est protégée par une carte d'accès pour un accès physique. La transmission des données pendant les sauvegardes est cryptée comme indiqué dans la clause de contrôle de transfert. Tous les environnements de test ne traitent et n'utilisent aucune donnée réelle.
CONSERVATION DES DONNÉES
Les données personnelles ainsi que les données brutes sont supprimées dès que possible ou dès que la loi l'exige.
CONTRÔLE DU TRAVAIL
Les employés et les entreprises de traitement de données sont tous signés sur la base d'accords applicables et contraignants, comprenant tous des dispositions relatives aux données applicables et des obligations en matière de sécurité des données. De plus, dans le cadre du processus d'embauche, les employés sont soumis à un processus de sélection applicable selon la loi régionale. Les employés sont tenus de suivre les politiques et les procédures de la Société et les infractions entraîneront des mesures disciplinaires pouvant aller jusqu'au licenciement. Un employé n'aura pas accès aux données personnelles jusqu'à ce que la société ait confiance que ce dernier ait bien été formé en cette matière et qu’il soit en mesure de gérer les données personnelles, si nécessaire, d'une manière sécuritaire. En outre, la société organise une formation annuelle sur la conformité, qui comprend une formation à la sécurité des données
La société a veillé à ce que tous les documents, y compris sans limitations, accords, politiques de confidentialité, termes en ligne, etc. soient conformes au GDPR. Notre équipe juridique est occupée à veiller à ce que notre documentation juridique soit mise à jour afin de refléter tout changement et d'inclure les dispositions obligatoires du Processeur requises par l'article 28 du GDPR.
LES SERVICES DE SÉCURITÉ DE L'INFORMATION, DE LÉGALITÉ, DE CONFIDENTIALITÉ ET DE CONFORMITÉ TRAVAILLENT POUR IDENTIFIER LES LOIS RÉGIONALES, LES RÈGLEMENTS APPLICABLES À LA CONFORMITÉ DE L'ENTREPRISE. PAR CONSÉQUENT, CETTE POLITIQUE DE SÉCURITÉ PEUT ÊTRE MISE À JOUR DE TEMPS À AUTRE, SELON TOUTE LÉGISLATION APPLICABLE OU POLITIQUE INTERNES.