Mesures techniques et organisationnelles (TOM)

1. Confidentialité

1.1 Contrôle des accès physiques

1.1.1 Mesures techniques :

Sécurité des portes avec serrures de sécurité et/ou système de badge
Journalisation des accès
Systèmes d'alarme
Vidéosurveillance à l'entrée dans le centre de données
Alarme en cas de tentatives d'accès non autorisées

1.1.2 Mesures organisationnelles :

Politiques et directives - accès réservé aux personnes autorisées uniquement
Formation de sensibilisation pour les employés
Concept de zone avec différents niveaux de sécurité et autorisations d'accès
Contrôle périodique des autorisations d'accès

1.2 Contrôle d'accès aux systèmes (serveur)

1.2.1 Mesures techniques :

Authentification à plusieurs facteurs via VPN et divers points de contrôle
Zonage du réseau, firewalls pour sécuriser et contrôler les transitions réseau
Journalisation de tous les accès

1.2.2 Mesures organisationnelles :

Politiques et directives - accès réservé uniquement aux administrateurs autorisés, au minimum
Concept de zone réseau avec protection des transitions réseau
Formation de sensibilisation pour les employés
Comptes utilisateurs personnalisés
Contrôle périodique des autorisations d'accès

1.3 Contrôle d'accès (accès aux applications)

1.3.1 Mesures techniques :

Enregistrement des accès de connexion à l'application et historique des connexions pour la communication avec les candidats.
Destruction physique des supports de stockage lors de leur remplacement ou de leur mise hors service

1.3.2 Mesures organisationnelles :

Contrôle des autorisations
Concept de rôle
Gestion des droits utilisateurs par le gestionnaire des utilisateurs (du client)

1.4 Contrôle de la séparation

1.4.1 Mesures techniques :

Séparation physique (systèmes/bases de données/supports de données)
Capacité multi-clients des applications pertinentes via base de données orientée objet
Utilisation d'une base de données orientée objet avec séparation des clients par hiérarchie. La hiérarchie est directement liée au parcours de l'URL.
Les documents sont stockés par client dans une structure d'ordre séparée.

1.4.2 Mesures organisationnelles :

Contrôle via un concept d'autorisation
Réglage des droits de la base de données

1.5 Pseudonymisation

1.5.1 Mesures techniques :

Anonymisation des données et utilisation anonyme à des fins statistiques
Suppression automatique des données après expiration de la période de conservation

2. Intégrité

2.1 Contrôle du transfert

2.1.1 Mesures techniques :

Connexion cryptée (https)
Accès au serveur via VPN

2.1.2 Mesures organisationnelles :

Les accès sont à tout moment limités aux rôles et fonctions autorisés (RH, superviseur, le cas échéant, etc.).
Les accès sont à tout moment limités aux candidatures préalablement autorisées (pour les superieurs directs)
L’activation d’une candidature par le responsable RH s’effectue directement dans la vue d’ensemble des candidatures d'un poste. Le statut ainsi que les personnes ou rôles autorisés à consulter les données de candidature sont à tout moment visibles et enregistrés. L’historique permet de retracer qui a eu accès aux données et à quel moment.

2.2 Contrôle d'accès (journalisation et traçabilité)

2.2.1 Mesures techniques :

Les accès au firewall et à l'application sont enregistrés dans les fichiers journaux

2.2.2 Mesures organisationnelles :

Attribution des rôles et des droits sur la base d'un concept d'autorisation
Saisie des données (par exemple, commentaires) traçable grâce à des noms d'utilisateur individuels et personnels (pas de groupes d'utilisateurs)
Responsabilités claires pour l'administration des rôles (création et suppression des utilisateurs)
L'autorisation d'accès aux données des candidats peut être définie. Seules les personnes assignées peuvent accéder et modifier les données de candidature. Les détails d'une candidature, tels que le statut, les commentaires ou les évaluations, sont enregistrés avec la personne traitant la candidature. Ces données enregistrées peuvent être consultées par les personnes responsables.
Refline fournit aux utilisateurs des instructions détaillées sur l'utilisation de l'application.

3. Disponibilité et résilience

3.1 Contrôle de la disponibilité

3.1.1 Mesures techniques :

Systèmes de détection et de protection contre les incendies
Climatisation
UPS
Systèmes de stockage RAID
Systèmes redondants
Concept de deux sites
Sauvegardes
Protection contre les logiciels malveillants

3.1.2 Mesures organisationnelles :

Politiques et règlements
Formation de sensibilisation pour les employés
Tests réguliers
Maintenance régulière des infrastructures et des systèmes
Contrôles périodiques

4. Procédures de révision, d'évaluation et de réévaluation régulières

4.1 Mesures de protection des données

4.1.1 Mesures techniques :

Révision et adaptation de la solution logicielle aux exigences de protection des données, y compris l'automatisation des processus de suppression

4.1.2 Mesures organisationnelles :

Délégué à la protection des données interne
Formation et engagement des employés en matière de protection des données et de confidentialité
Sensibilisation régulière des employés au moins une fois par an
Processus formalisé pour le traitement des demandes d'information

4.2 Gestion des incidents

4.2.1 Mesures techniques :

Systèmes de protection contre les logiciels malveillants
Surveillance automatique des activités

4.2.2 Mesures organisationnelles :

Politiques et directives

4.3 Paramètres par défaut respectueux de la vie privée

Privacy by design / privacy by default

4.3.1 Mesures techniques :

Pas plus de données personnelles collectées que nécessaire pour l'objectif respectif
Droit de révocation simple des personnes concernées (fonction de suppression)

4.4 Contrôle des commandes (externalisation à des tiers)

4.4.1 Mesures organisationnelles :

Les tiers sont scrupuleusement sélectionnés et contrôlés.