Politique de sécurité des données à caractère personnel et de contrôle d’accès

La Politique de sécurité des données à caractère personnel et de contrôle d’accès définit les exigences propres à l’organisation pour protéger les informations personnelles dans les systèmes, applications, services, appareils, environnements cloud et processus opérationnels. Elle s’applique lorsque des données à caractère personnel sont stockées, transmises, traitées, consultées, administrées ou protégées, et couvre les contextes de responsable du traitement, responsable conjoint du traitement, sous-traitant et sous-traitant ultérieur. La politique est expressément conçue pour s’intégrer aux pratiques existantes de sécurité de l’information plutôt que pour remplacer un système de management de la sécurité de l’information complet, une Politique de sécurité réseau, une Politique de développement sécurisé, une politique de sauvegarde, une politique relative aux terminaux, une politique de sécurité cloud, une norme cryptographique ou des procédures de gestion des vulnérabilités ou de réponse aux incidents. Son objet principal est de veiller à ce que les données à caractère personnel soient protégées par des contrôles de sécurité et de contrôle d’accès appropriés, fondés sur les risques et auditables tout au long du traitement. À cette fin, la politique établit un référentiel minimal de sécurité des données à caractère personnel et exige des éléments de preuve traçables au moyen de REG02, REG08, REG10 et REG12. Ce modèle d’éléments de preuve est central pour la politique : les journaux opérationnels, les sorties des outils de sécurité, les exports de revue d’accès, les rapports de vulnérabilités et les éléments de preuve de configuration peuvent être joints aux éléments de preuve canoniques, résumés dans ceux-ci ou référencés par eux, mais ils ne sont pas traités comme des registres PIMS distincts. Cela permet à l’organisation de démontrer que les contrôles sont planifiés, mis en œuvre, revus, surveillés et améliorés sans dupliquer les enregistrements de sécurité. La politique fixe des exigences détaillées en matière de contrôle d’accès, d’authentification et d’accès à privilèges. L’accès aux données à caractère personnel doit être limité aux rôles approuvés et aux utilisateurs autorisés, enregistrés dans REG02 ou REG12 ou traçables dans ces registres, et l’objectif métier doit être approuvé avant le provisionnement des accès. Les systèmes contenant des données à caractère personnel sensibles ou à fort impact exigent au moins des revues trimestrielles des accès des utilisateurs, tandis que les autres systèmes contenant des données à caractère personnel exigent au moins une revue annuelle. Les accès doivent être supprimés ou modifiés dans un délai d’un jour ouvré après un changement de rôle, un départ, une finalisation du contrat ou lorsque l’accès n’est plus requis. L’accès à privilèges exige une justification, un périmètre et une approbation documentés avant d’être accordé, avec une revue mensuelle pour les systèmes contenant des données à caractère personnel sensibles ou à fort impact et une revue trimestrielle pour les autres systèmes contenant des données à caractère personnel. La politique traite également des exigences techniques de sécurité relatives à l’authentification, au chiffrement, au stockage sécurisé, à la journalisation, à la surveillance, à la configuration, à la gestion des vulnérabilités, à l’accès aux terminaux et à l’accès cloud. Des identités utilisateur uniques sont requises pour les comptes disposant d’un accès aux données à caractère personnel, et une authentification forte est requise pour les accès à privilèges, à distance, administratifs ou à fort impact aux données à caractère personnel. Le chiffrement ou une protection compensatoire approuvée doit être défini avant que des données à caractère personnel à fort impact, sensibles ou transmises à l’extérieur soient stockées, transmises ou rendues accessibles. Le périmètre de journalisation doit couvrir les événements d’authentification, les événements d’accès, les actions à privilèges, les activités d’exportation de données à caractère personnel et les modifications substantielles de configuration. Le statut de configuration et la couverture des vulnérabilités doivent être enregistrés dans REG12, les vulnérabilités à risque élevé non résolues affectant les données à caractère personnel étant enregistrées dans un délai de cinq jours ouvrés après validation. Les responsabilités de gouvernance sont réparties entre le Top Management, le responsable de la protection des données / responsable du PIMS, le délégué à la protection des données / conseiller en protection des données, le responsable de la sécurité de l’information, le responsable de processus / propriétaire de l’entreprise, le propriétaire du système / propriétaire d’application, le responsable des fournisseurs / des achats, le coordinateur de la réponse aux incidents et le réviseur d’audit interne / conformité. La politique impose des revues trimestrielles de complétude des éléments de preuve couvrant REG02, REG08, REG10 et REG12, une revue trimestrielle de l’efficacité du référentiel minimal et des lacunes non résolues, ainsi qu’un échantillonnage d’audit des revues d’accès, des revues des accès à privilèges, des éléments de preuve de journalisation et des éléments de preuve de configuration. Les exceptions doivent être enregistrées avant activation, inclure une date d’expiration, un contrôle compensatoire et une date de revue, et recevoir l’approbation du Top Management lorsqu’elles affectent des données à caractère personnel à fort impact, des données à caractère personnel sensibles, l’accès à privilèges, le chiffrement, la journalisation ou des vulnérabilités à risque élevé non résolues.