Nos initiatives et engagements en matière de protection des données
Fiabilis met tout en œuvre pour garantir la protection de vos données. Pour ce faire, nous nous appuyons notamment sur un système de management global de la sécurité de l’information (SMSI) certifié ISO/IEC 27001 par un auditeur indépendant. Mais ce n’est pas tout !
Protection des données
En quoi consiste la norme ISO/IEC 27001 ?
Fiabilis Consulting Group est engagé dans un processus de protection des données. La certification ISO 27001 confirme notre capacité à protéger toute donnée et information essentielles à nos analyses.
Nous fournissons à nos clients,partenaires et collaborateurs, une sécurité complète de leurs données par l’implémentation, la mise à jour et la maintenance d’un système intégré de management global de la sécurité de l’information (SMSI).
La certification témoigne de l’aptitude de Fiabilis à évaluer sa capacité à répondre à toutes les catégories de risques en présence, que ceux-ci soient posés par les infrastructures, les personnes ou les processus.
La norme ISO 27701, un complément à la norme ISO/IEC 27 001
En complément de la norme ISO 27001, Fiabilis a obtenu la certification ISO 27701 en 2022. Cette norme internationale de certification étend le champ d´application de la norme 27001 à la gouvernance et aux mesures de sécurité à mettre en place pour protéger les données personnelles. Elle tient compte des principaux textes applicables en matière de protection des données personnelles, et en particulier du RGPD.
Cette norme nous permet notamment de démontrer, conformément au principe de responsabilité, que nos pratiques internes en matière de traitement des données à caractère personnel sont allignées sur les principes de base posés par le RGPD (licéité, loyauté, transparence; limitation des finalités; minimisation; exactitude, limitation de la conservation; intégrité et confidentialité).
Contrôle externe et renouvellement des certifications ISO
Des audits annuels approfondis sont réalisés chaque année par Aenor. Tous les trois ans, les certifications sont rétudiées et renouvelées après un contrôle de conformité strict.
Un aperçu des initiatives prises pour protéger vos données
RH
- Signature d´une Charte IT et engagement de confidentialité
- Formations, sensibilisations, évaluations régulières des connaissances en matière de sécurité de l’information
Sécurité physique
- Supervision directe des visiteurs par un membre de Fiabilis pendant toute la durée de la visite
- Contrôles et accès limités aux locaux
Gestion des actifs
- Gestion automatisée et décentralisée de l’inventaire des actifs
- Politique de gestion, suivi et mise au rebut des actifs confiés tout au long de leur vie
- Politique de sécurité des périphériques (verrouillage automatique, complexité et rotation des mot de passe, protection en temps réel contre les logiciels malveillants, pare-feu, cryptage des disques, restriction de l’installation des logiciels, mises à jour automatiques…)
- Politique de gestion des droits d’accès centralisée et revues régulières indépendantes
- Politique de gestion des fournisseurs de service ou d’approvisionnement, engagement de confidentialité obligatoire, audit annuel de leur sécurité
- Politique de contrôle des développements, audit de code, test de vulnérabilité
- L’ensemble de nos actifs entre dans la gestion de notre SMSI certifié ISO 27001
Données
- Désignation, dans chaque pays, d´un spécialiste en matière de protection des données personnelles pour controler la conformité de nos activités avec le RGPD et les autres textes de loi en matière de protection de la vie privée et donner des avis spécifiques (DPO ou Privacy Champion)
- Hébergement de toutes les données clients et internes sur notre propre infrastructure interne
- Politique stricte d’échange ou de partage de fichiers sur nos propres outils hébergés en interne
- Pseudonymisation des données dès leur téléchargement sur le site de la Sécurité Social
- Aucun transfert de données sensibles à un quelconque sous-traitant
- Authentification obligatoire des utilisateurs par login et mot passe, avec double authentification (MFA) obligatoire pour les accès distants (VPN)
- Archivage centralisé des logs d’accès aux données
- Cycle de vie strict des données en application des règlementations en vigueur (RGPD), des recommandations locales (la norme ISO 27101 et la norme ISO 27701
- Politique de backup qui définit clairement le cryptage et le lieu de stockage des données en interne (dans nos locaux) et en site sécurisé externe.
Hébergements et réseaux
- L’ensemble de l’infrastructure est hébergé localement dans nos propres bureaux physiques
- Fiabilis dispose de différents réseaux internes permettant une gestion fine des accès et une séparation des environnements
- L’accès aux données, réservé au personnel de Fiabilis, n’est possible qu’en connexion physique locale ou via le VPN protégé par une double authentification (MFA)
Audit de sécurité
- Chaque année, conformément à notre certification ISO 27001, l’organisme indépendant Aenor audite, contrôle et certifie notre SMSI, outre le contrôle de notre PMSI en vertu de l´ISO 27701.
- Un plan d’audit interne assure une cohérence du PDCA (Plan, Do, Check, Act) indispensable sur l’ensemble de nos processus
- Chaque année, 3 tests de pénétration internes sont réalisés par les équipes IT internes. Ils sont complétés par 1 test de pénétration et scan de vulnérabilité externe et indépendant.
Conformité à la protection des données – FAQ
1) Quel est le rôle de Fiabilis dans le traitement des données des clients ?
Fiabilis traite en principe les données personnelles de ses clients en qualité de sous-traitant. Avant le lancement d’une analyse, nous signons avec chaque client un accord approprié sur le traitement des données personnelles (Data Processing Agreement ou DPA). Cet accord définit précisément les principes selon lesquels le traitement des données aura lieu ainsi que nos obligations lors de ce processus, conformément à l´article 28 du RGPD.
2) Comment les données sont-elles transférées à Fiabilis ?
Nous avons créé une plateforme d’échange de données sécurisée et individuelle pour chaque client par laquelle le client peut envoyer ses données directement vers notre serveur. Le client peut également opter pour un transfer de données selon ses exigences, tel que par le biais d’une infrastructure interne dédiée et fournie par ses soins.
3) Où et combien de temps les données sont-elles stockées ?
Vos données sont stockées et traitées exclusivement en Belgique sur les serveurs de Fiabilis pendant la période convenue dans le DPA. Celles-ci sont détruites après cette période.