Mécanisme de gestion d'habilitations permettant de garantir que seules les personnes habilitées peuvent accéder aux données personnelles

Revue annuelle des habilitations

Utilisation de mots de passe et d'identifiant pour authentifier les connexions

Règles visant des mots de passe minimum

Changement régulier des mots de passe

Utilisation d'un login unique par utilisateur

Utilisation d'un historique de mots de passe de façon à interdire la réutilisation des mots de passe

Base de données des mots de passe hashée ou cryptée

Limitation de nombre de tentatives d’accès à un compte

Utilisation de questions secondaires, codes, tokens, PIN pour renforcer la sécurité d'une partie de son réseau ou de son système

Mise en place d'un processus pour l'attribution, la gestion et la révocation des accès aux données

Conservation d'une liste des utilisateurs des données

Suppression des utilisateurs inactifs et des permissions d’accès obsolètes

Le responsable du traitement utilise une double authentification

Allocation de privilèges administratifs seulement sur demande

Le responsable de la sécurité fait partie de l’équipe de direction

Si autre, précisez:

L’entreprise est certifiée conforme PCI

Si autre, précisez:

Existence de normes ou standards internes en relation avec la sécurité des données

Les normes ou les standards en relation avec la sécurité ont une base normative contraignante

Politique de rétention et de suppression des données à caractère personnel

Existence de processus définis pour répondre aux incidents de sécurité

Existence de processus définis pour apporter les modifications à ses réseaux et systèmes informatiques

Utilisation de moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement

Utilisation des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique

Utilisation des procédures visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement

Le responsable du traitement a mis en place une politique de destruction sécurisée des données confidentielles, notamment électroniques, sur papier et sur médias amovibles

Si autre, précisez:

Verrouillage automatique des sessions

Message d'avertissement avant toute connexion indiquant que les systèmes sont réservés au personnel autorisé

Conservation d'une journalisation des accès à ses applications, aux opérations et aux connexions à ses applications et exploitation ces journaux

Si autre, précisez:

Réalisation de la pseudonymisation des données à caractère personnel

Utilisation de méthode de cryptage pour protéger la transmission des données

L'accès aux données n'est fourni que sur la base des stricts besoins

Les serveurs et les PC internes du responsable du traitement sont séparés du web et des autres réseaux externes par des pare-feux et/ou d'autres moyens

Utilisation de systèmes de détection d’intrusion (IDS) ou des systèmes de prévention d’intrusion (IDP)

Révision hebdomadaire des règles sécurité et des alertes

Révision mensuelle des règles sécurité et des alertes

Tous les systèmes sont protégés par des anti-virus

Les signatures des antivirus utilisés par le responsable du traitement sont mises à jour au moins quotidiennement

Mises à jour de sécurité des systèmes d’exploitation et des applications pour tous les systèmes

Les mises à jour sont appliquées au moins mensuellement

Les données informatiques sont protégées contre la perte ou la corruption par des sauvegardes régulières conservées séparément

Réalisation des tests de pénétration au moins chaque année

Si autre, précisez:

Les utilisateurs ayant accès aux données sont informées et sensibilisés à la valeur des données dans un objectif de sécurité

Les utilisateurs sont informés et sensibilisés quant aux procédures internes en matière de sécurisation des données

Les utilisateurs sont formés à la protection des données à caractère personnel

Si autre, précisez:

Sécurisation des appareils informatiques nomades via des systèmes appropriés (ouverture d’accès interne, VPN, etc.)

Les réseaux sans fil du responsable du traitement utilisent des protocoles de cryptage et d’accès

Mise en place de protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi

Si autre, précisez:

Des plans de reprise ont été prévus

Les plans de reprise sont testés régulièrement

Le responsable du traitement a mis en place des accords afin de garantir la continuité des services

Si autre, précisez:

Mot de passe pour les équipements mobiles

Chiffrement des équipements mobiles

Si autre, précisez:

Les logs d’audit sont conservés pendant au moins 6 mois et consultés au moins chaque semaine

Les logs d’audit sont conservés de façon sécurisée afin d’assurer qu’ils ne puissent être altérés

Si autre, précisez:

Le matériel informatique est protégé grâce à un accès physique sécurisé

Les accès physiques du matériel informatique sont répertoriés

Le matériel informatique est protégé en cas de panne de courant

Le matériel informatique est protégé en cas d’inondation

Si autre, précisez:

Le site web du responsable du traitement est protégé par un pare-feu

Le front end du site web du responsable du traitement est séparé des bases de données et des réseaux locaux

Le site web du responsable du traitement est protégé par IDS, IPS, WAF ou une autre méthode de sécurité avancée

Réalisation de scans de vulnérabilité du site web au moins chaque trimestre

Réalisation des tests de pénétration au moins chaque année

Les données du responsable du traitement sont accessibles via le site web

Les parties sensibles du site web du responsable du traitement sont protégées par un cryptage renforcé

Si autre, précisez:

Procédure de notification en cas de violation des données à caractère personnel

Si autre, précisez:

Data Privacy Box et LAR

vous proposent des services et des solutions
intégrés pour permettre
aux intermédiaires en assurances de faire face
à leurs obligations en matière
de protection des données

Entrer

Data Privacy Box en LAR

stellen u hun diensten en geintegreerde
mogelijkheden voor verzekeringsmakelaars voor,
teneinde hen in staat te stellen hun
verplichtingen na te komen betreffende de
gegevensbescherming

TOEGANG

MON PORTAIL

Description générale des mesures de sécurité techniques et organisationnelles (BE)

Description générale des mesures de sécurité techniques et organisationnelles

Authentification et habilitation

Organisation interne

Certification

Politiques internes et procédures

Connexion

Sécurité et anti-virus

Information et sensibilisation

Connexion externe et Wi-fi

Continuité des services

Equipement mobile

Audit

Protection physique matériel informatique

Site Web

Procédure de violation des données à caractère personnel

Info@Dataprivacybox.Com