Embedded Files
Objet de ce document
Objet de ce document
Procaryote met en œuvre des mesures de sécurité appropriées pour protéger les données personnelles qu'elle traite contre l'accès non autorisé, la modification ou la destruction.
La sécurité des données et la confidentialité ainsi que la vie privée des patients sont conformes aux lois applicables, y compris le Règlement Général sur la Protection des Données (RGPD) européen.
Procaryote suit les procédures les plus strictes pour assurer la meilleure sécurité des informations, y compris celles que nous collectons à votre sujet, comme décrit dans cette politique. Cela implique que Procaryote dispose d'un système de gestion de la sécurité de l'information de classe mondiale, garantissant une protection rigoureuse des données traitées.
Ces Mesures de Sécurité Techniques et Organisationnelles (Mesures de Sécurité) expliquent comment Procaryote assure la sécurité des données personnelles qu'elle traite. Elles décrivent l'ensemble des mesures, procédures et processus que Procaryote a mis en place pour assurer la disponibilité, l'intégrité et la confidentialité de toutes les formes d'information, dans le but de garantir la continuité de l'information et de la fourniture d'informations, y compris l'infrastructure informatique sous-jacente, et de limiter les conséquences possibles des incidents de sécurité à un niveau acceptable et prédéterminé.
Si vous avez un accord avec Procaryote en tant que professionnel de la santé, en tant que patient ou en tant qu’utilisateur enregistré, ces Mesures de Sécurité font partie de cet accord.
Mesures Techniques
Mesures Techniques
Les mesures techniques se réfèrent aux mesures et contrôles que Procaryote met en place pour ses systèmes et tout aspect technologique de l'organisation, y compris les appareils, les réseaux et le matériel.
Stockage des Données
Stockage des Données
Toutes les données personnelles et informations traitées par Procaryote sont stockées dans le cloud et non sur un site appartenant à ou exploité par Procaryote. Le(s) fournisseur(s) de services cloud de Procaryote est/sont responsable(s) de la sécurité de leurs centres de données. Procaryote effectue régulièrement, et au moins une fois par an, une diligence raisonnable de son/ses fournisseur(s) de services cloud, y compris l'obtention et l'examen des certifications de conformité en matière de sécurité.
Disponibilité
Disponibilité
Notre infrastructure est configurée pour offrir une haute disponibilité. Les bases de données et serveurs de Procaryote sont déployés dans plusieurs centres de données. Si l'un des centres de données rencontre un problème, nos services restent disponibles. Nos applications sont également hébergées derrière un réseau de distribution de contenu (Content Delivery Network - CDN).
Le réseau de distribution de contenu est essentiel pour améliorer la vitesse, la fiabilité et la sécurité des services Internet, en fournissant du contenu de manière efficace et fiable aux utilisateurs finaux du monde entier. Les principaux bénéfices sont:
la réduction de la latence : Le CDN place les serveurs aux emplacements géographiques les plus proches des utilisateurs finaux. Cela réduit le temps nécessaire pour que les données voyagent entre le serveur et l'utilisateur, améliorant ainsi la vitesse de chargement des pages Web et d'autres contenus.
Distribution du trafic : Un CDN répartit la charge de trafic sur plusieurs serveurs, évitant ainsi la surcharge d'un seul serveur, ce qui peut entraîner des pannes ou des ralentissements.
Amélioration de la performance : En stockant des copies mises en cache du contenu à différents endroits dans le monde, un CDN peut offrir un accès plus rapide aux données et améliorer les performances globales du site Web ou de l'application.
Sécurité renforcée : Le CDN aide à atténuer les attaques par déni de service distribué (Distributed Denial of Service - DDoS) en dispersant le trafic malveillant à travers plusieurs serveurs, empêchant ainsi une seule cible d'être submergée.
Haute disponibilité et redondance : En cas de panne d'un serveur, le CDN peut rediriger le trafic vers un autre serveur fonctionnel, assurant ainsi une disponibilité continue du service.
Optimisation de la bande passante : En utilisant des techniques de compression et de mise en cache, le CDN peut réduire la quantité de bande passante utilisée et les coûts associés pour les fournisseurs de contenu.
Séparation des Environnements
Séparation des Environnements
Procaryote assure une stricte séparation entre les environnements de production et de non-production pour réduire les risques d'accès non autorisé ou de modifications à l'environnement opérationnel. L'environnement de production est isolé dans un réseau dédié. Les environnements de non-production de Procaryote sont utilisés pour le développement, les tests et les déploiements en production. Il n'y a pas de tests avec des données de production.
Cybersécurité
Cybersécurité
Procaryote a mis en œuvre des contrôles de détection, de prévention et de récupération pour protéger ses systèmes et données contre les logiciels malveillants (tels que les virus, les logiciels espions et les ransomwares). La connexion Internet et le réseau interne de Procaryote sont sécurisés avec un pare-feu puissant. Le réseau wifi est protégé par mot de passe et les invités utilisent un réseau wifi séparé. Pour éviter la modification ou l'utilisation abusive des actifs de Procaryote, les tâches ou responsabilités conflictuelles sont effectuées par différentes personnes. Lorsque cela est impossible en raison de la taille limitée de Procaryote, d'autres mesures (telles que la surveillance ou la supervision) sont prises.
Chiffrement
Chiffrement
Procaryote utilise le chiffrement pour protéger les informations confidentielles et sensibles au repos et en transit.
Sécurité Physique
Sécurité Physique
Procaryote a mis en place des contrôles de sécurité physique adaptés au niveau de risque posé par les informations détenues et la nature des opérations dans les bureaux de Procaryote. Les bureaux de Procaryote sont situés dans un bâtiment dont l'accès est restreint aux titulaires de moyens d'accès fournis après un processus d'approbation formel. Les bureaux et salles de réunion de Procaryote sont réservés au personnel ayant besoin d'accéder à ces zones pour accomplir leurs fonctions. Les moyens d'accès du personnel sont révoquées lorsqu'elles ne sont plus nécessaires, y compris dans un délai d'un jour ouvrable suivant le changement de rôle ou le départ du personnel concerné. Les copies papier des dossiers sont stockées dans une armoire verrouillée. Les visiteurs sont escortés dans tous les espaces non publics et ne sont jamais laissés sans surveillance. Les alarmes incendie et les extincteurs sont vérifiés à intervalles réguliers et leur accès n'est pas bloqué.
Élimination Appropriée
Élimination Appropriée
Procaryote s'assure que les documents et dispositifs contenant ou pouvant contenir des données personnelles ou d'autres informations sensibles sont détruits de manière sécurisée afin que les données personnelles ou informations sensibles ne puissent pas être récupérées par une personne non autorisée. Toutes les copies papier, cartes de crédit et CD/DVD-ROMs qui ne sont plus nécessaires sont déchiquetées au bureau. Les appareils matériels sont effacés de manière sécurisée et stockés dans un endroit sécurisé avant d'être récupérés par une entreprise de destruction de matériel reconnue au niveau national pour le recyclage ou la destruction.
Mots de Passe
Mots de Passe
Procaryote exige que le personnel interne et externe, les systèmes et les services (cloud) détenant des informations confidentielles ou sensibles définissent des mots de passe robustes et, dans la mesure du possible, activent l'authentification multi-facteurs. L'authentification à deux facteurs est requise pour les systèmes détenant des informations sensibles et confidentielles. Les mots de passe sont stockés de manière chiffrée/hachée et séparés des autres données, et les informations de connexion sont transmises de manière chiffrée.
Droits d'Accès
Droits d'Accès
L'accès aux bases de données contenant des données personnelles et aux documents contenant des données sensibles n'est accordé que sur une base de besoin de savoir/usage. Tout le personnel ayant accès à ces bases de données ou documents sensibles est lié par des obligations de confidentialité et de sécurité. Les listes d'accès logiques sont examinées régulièrement, en fonction de la classification des informations. Les droits d'accès des utilisateurs sont revus chaque trimestre. L'accès aux systèmes de Procaryote est révoqué dans un délai d'un jour ouvrable après le départ d'un employé ou d'un contractant. Procaryote tient un journal de toutes les connexions à ses bases de données.
Mesures Organisationnelles
Mesures Organisationnelles
Les mesures organisationnelles se réfèrent aux politiques, standards de procédures et audits que Procaryote met en place pour assurer la cohérence dans la protection des données personnelles tout au long du cycle de traitement.
Système de Gestion de la Sécurité de l'Information
Système de Gestion de la Sécurité de l'Information
Le Système de Gestion de la Sécurité de l'Information (ISMS) de Procaryote est un ensemble de politiques et de procédures destinées à protéger les données personnelles et sensibles. Il couvre toutes les personnes, systèmes et processus de Procaryote, incluant les employés, clients, fournisseurs et tiers. Son objectif est de garantir la sécurité et la continuité des informations, et de limiter les impacts des incidents de sécurité.
L'ISMS est géré par une équipe de sécurité dédiée sous la direction du responsable de la sécurité. Procaryote surveille et met à jour l'ISMS annuellement pour refléter les changements organisationnels, technologiques et législatifs. Une politique de sécurité formelle, approuvée par la haute direction, garantit la conformité et l'efficacité des contrôles de sécurité.
Politique de Continuité des Activités et Plans de Reprise Après Sinistre
Politique de Continuité des Activités et Plans de Reprise Après Sinistre
Procaryote maintient une Politique de Continuité des Activités et des Plans de Reprise après Sinistre documentés. Notre politique et nos plans incluent :
des rôles et responsabilités clairement définis;
des objectifs de points de reprise;
des objectifs de temps de reprise et
une politique de sauvegarde.
Procaryote examine et met à jour sa Politique de Continuité des Activités et ses Plans de Reprise après Sinistre au moins une fois par an. Les sauvegardes sont testées mensuellement.
Processus de Gestion des Incidents
Processus de Gestion des Incidents
Procaryote a développé et maintient un Processus de Gestion des Incidents à utiliser en cas de violation réelle ou suspectée des données ou d'un autre incident de sécurité. Il définit des rôles et responsabilités clairs, des mécanismes de rapport et des procédures pour classer, contenir et récupérer de l'incident. Il inclut également des procédures pour les notifications requises aux autorités compétentes et aux personnes concernées ainsi que des mécanismes conçus pour prévenir les incidents similaires à l'avenir.
Processus de Développement de Logiciels
Processus de Développement de Logiciels
Le Processus de Développement de Logiciels de Procaryote inclut des principes et règles concernant le stockage du code source, la révision du code source et les règles et principes appliqués à la conception et à l'ingénierie des systèmes, réseaux et infrastructures. L'architecture et les conceptions des réseaux/systèmes sont toujours revues par les pairs et tout changement à l'architecture/système de Procaryote est d'abord testé et publié dans l'environnement de mise en scène de Procaryote avant d'être appliqué à l'environnement de production. La sécurité est conçue pour permettre une adoption régulière des nouvelles technologies, y compris un processus de mise à niveau technologique sécurisé et logique.
Tests de Pénétration et Évaluations des Risques
Tests de Pénétration et Évaluations des Risques
Procaryote subit des audits réguliers par des équipes de sécurité internes et externes. En interne, Procaryote effectue régulièrement des évaluations des risques sous la responsabilité du Gestionnaire des Risques. Procaryote effectue également des audits non annoncés et des exercices de phishing ciblant son personnel. Au moins une fois tous les trois ans ou après un changement majeur dans l'architecture/infrastructure de Procaryote, Procaryote est également soumis à des tests de pénétration externes par une entreprise de sécurité reconnue au niveau national.
Délégué à la Protection des Données
Délégué à la Protection des Données
Procaryote dispose d'un Délégué à la Protection des Données (Data Protection Officer - DPO) qui relève directement de l'équipe de direction. Ce DPO possède une expérience combinée en droit, en technologie et dans le secteur de la santé. Les responsabilités du DPO chez Procaryote comprennent :
Informer et conseiller Procaryote et ses employés sur leurs obligations légales en matière de protection des données.
Collaborer avec le Responsable de la Confidentialité interne sur les questions de confidentialité.
Surveiller la conformité de Procaryote à toutes les législations en matière de protection des données, y compris par des audits, des activités de sensibilisation et des formations pour le personnel impliqué dans le traitement des données.
Fournir des conseils lors de la réalisation d'Évaluations d'Impact sur la Protection des Données et surveiller leur mise en œuvre.
Agir comme point de contact pour les individus concernant le traitement de leurs données personnelles et l'exercice de leurs droits.
Coopérer avec les Autorités de Protection des Données (APD) et servir de point de contact pour ces autorités sur les questions relatives au traitement des données.
Ce cadre garantit que Procaryote maintient les normes les plus élevées en matière de protection des données et de respect des droits des individus.
Formation
Formation
Tous les employés de Procaryote et, le cas échéant, les contractants, reçoivent une formation et une sensibilisation appropriées ainsi que des mises à jour régulières sur les politiques et procédures organisationnelles, en fonction de leurs fonctions. En plus de ces formations obligatoires, Procaryote propose à son personnel des ressources de formation supplémentaires, notamment des lectures de sécurité supplémentaires et des hackathons.
Vérifications de Diligence Raisonnable
Vérifications de Diligence Raisonnable
Procaryote effectue des vérifications de diligence raisonnable sur toutes les nouvelles recrues ainsi que sur les contractants tiers ayant accès aux systèmes et informations de l'entreprise. Tous les employés et contractants sont tenus par des obligations de confidentialité, qui demeurent en vigueur même après la fin de leur emploi ou de leur collaboration. Procaryote applique une procédure disciplinaire stricte pour toute violation par le personnel de leurs obligations de sécurité et de confidentialité.
Autres Politiques et Procédures
Autres Politiques et Procédures
Procaryote a instauré diverses politiques et procédures pour assurer une protection efficace de ses informations et actifs. Parmi celles-ci, on trouve :
Politique de classification de l'information : Définit les niveaux de sensibilité des informations et les mesures de protection appropriées.
Politique de conservation de l'information : Spécifie les durées de conservation des données et les procédures de destruction sécurisée.
Politique de contrôle d'accès : Réglemente l'accès aux systèmes et aux informations en fonction des rôles et des responsabilités.
Politique de cryptographie : Encadre l'utilisation de techniques de cryptage pour protéger les données sensibles.
Politique de mot de passe : Détaille les exigences de création et de gestion des mots de passe pour garantir leur robustesse.
Politique de dispositifs mobiles : Réglemente l'utilisation des appareils mobiles pour accéder aux informations de l'entreprise.
Code de conduite : Couvre des aspects de sécurité supplémentaires tels que le télétravail, l'utilisation de dispositifs personnels, la messagerie électronique et le partage de fichiers.
Chaque politique est révisée au moins une fois par an pour s'assurer qu'elle reste à jour et efficace face aux nouvelles menaces et exigences réglementaires.
Modifications de ce document
Modifications de ce document
Ce document est la dernière version selon la liste des versions ci-dessous. Nous révisons régulièrement ce document pour nous assurer qu'il est à jour et nous pouvons le modifier au fil du temps pour refléter les changements dans nos services et nos activités de traitement des données. Si nous le faisons, nous publierons les mesures de sécurité mises à jour sur cette page web. Veuillez consulter ces Mesures de Sécurité pour prendre connaissance de toute modification, car toute version révisée des mesures de sécurité s'appliquera à toutes les données personnelles traitées par Procaryote.
Résumé des changements
Résumé des changements
V1.0 - 10 avril 2021 : Première version.
Contact
Contact
Pour communiquer avec Procaryote à propos de ces mesures de sécurité, veuillez envoyer un email à security@procaryote.com.
Page updated
Report abuse