Politique de sécurité informatique

1. Introduction

Ce document définit les mesures à prendre par tous les employés de SocialPilot Technologies Inc. et par la Société dans son ensemble pour protéger les systèmes informatiques, les dispositifs, l'infrastructure, l'environnement informatique et tous les autres équipements pertinents de la Société (collectivement, les “ systèmes informatiques ”) contre les dommages et les menaces, qu'ils soient internes, externes, délibérés ou accidentels.

2. Introduction Principes clés

  • 2.1 Tous les systèmes informatiques doivent être protégés contre les accès non autorisés.
  • 2.2 Tous les systèmes informatiques ne doivent être utilisés qu'en conformité avec les politiques pertinentes de l'entreprise.
  • 2.3 Toutes les données stockées sur les systèmes informatiques doivent être gérées en toute sécurité, conformément à toutes les parties pertinentes du GDPR et à toutes les autres lois régissant la protection des données, qu'elles soient en vigueur aujourd'hui ou à l'avenir.
  • 2.4 Tous les employés de l'entreprise et tous les tiers autorisés à utiliser les systèmes informatiques, y compris, mais sans s'y limiter, les contractants et les sous-traitants (collectivement, les “utilisateurs”), doivent s'assurer qu'ils ont pris connaissance de la présente politique et doivent s'y conformer à tout moment.
  • 2.5 Tous les systèmes informatiques doivent être protégés contre les accès non autorisés. Tous les responsables hiérarchiques doivent veiller à ce que tous les utilisateurs placés sous leur contrôle et leur direction adhèrent à la présente politique et s'y conforment à tout moment, comme l'exige le paragraphe 2.4.
  • 2.6 Tous les systèmes informatiques doivent être installés, maintenus, entretenus, réparés et mis à niveau par Jimit Bagadiya (le “département informatique”) ou par un ou plusieurs tiers que le département informatique peut autoriser de temps à autre.
  • 2.7 La responsabilité de la sécurité et de l'intégrité de tous les systèmes informatiques et des données qui y sont stockées (y compris, mais sans s'y limiter, la sécurité, l'intégrité et la confidentialité de ces données) incombe au département informatique, sauf indication contraire expresse.
  • 2.8 Toute violation de la sécurité des systèmes informatiques ou des données qui y sont stockées doit être signalée et faire l'objet d'une enquête par le service informatique.
  • 2.9 Tous les utilisateurs doivent signaler immédiatement au service informatique tout problème de sécurité concernant les systèmes informatiques ou les données qui y sont stockées.

3. Responsabilités du département informatique

  • 3.1 Le responsable informatique, Jimit Bagadiya, est chargé des tâches suivantes :
    • a) veiller à ce que tous les systèmes informatiques soient évalués et jugés aptes à satisfaire aux exigences de sécurité de l'entreprise ;
    • b) veiller à ce que les normes de sécurité informatique au sein de l'entreprise soient effectivement mises en œuvre et régulièrement examinées, au moyen d'audits périodiques et d'évaluations des risques, et que des rapports soient régulièrement présentés à la direction générale interne de l'entreprise sur l'état de la sécurité informatique de l'entreprise et sur le respect de la présente politique ;
    • c) assurer une gestion organisationnelle et un personnel spécialisé responsable de l'élaboration, de la mise en œuvre et de la maintenance de la présente politique ;
    • d) en procédant à des évaluations de la vulnérabilité et à la gestion des correctifs au moyen de technologies de protection contre les menaces et de procédures de contrôle programmées conçues pour identifier, évaluer, atténuer et protéger contre les menaces de sécurité identifiées, les virus et autres codes malveillants ; et
    • e) veiller à ce que tous les utilisateurs soient informés des exigences de la présente politique et de toutes les législations, réglementations et autres règles pertinentes, qu'elles soient en vigueur aujourd'hui ou à l'avenir, y compris, mais sans s'y limiter, le GDPR et le Computer Misuse Act 1990 (loi sur l'utilisation abusive des ordinateurs).
  • 3.2 Le service informatique est chargé des tâches suivantes :
    • a) aider tous les utilisateurs à comprendre et à respecter la présente politique ;
    • b) fournir à tous les utilisateurs un soutien et une formation appropriés en matière de sécurité informatique et d'utilisation des systèmes informatiques ;
    • c) veiller à ce que tous les utilisateurs se voient accorder des niveaux d'accès aux systèmes d'information adaptés à chacun d'entre eux, compte tenu de leur fonction, de leurs responsabilités et de toute exigence particulière en matière de sécurité ;
    • d) recevoir et traiter tous les rapports relatifs aux questions de sécurité informatique et prendre les mesures appropriées en conséquence ;
    • e) prendre des mesures proactives, dans la mesure du possible, pour établir et mettre en œuvre des procédures de sécurité informatique et sensibiliser les utilisateurs ;
    • f) assister le responsable informatique dans le contrôle de la sécurité informatique au sein de l'entreprise et prendre toutes les mesures nécessaires pour mettre en œuvre la présente politique et toute modification apportée à celle-ci à l'avenir ;
    • g) veiller à ce que des sauvegardes régulières de toutes les données stockées dans les systèmes informatiques soient effectuées à des intervalles d'au moins 24 heures et que ces sauvegardes soient stockées dans un endroit approprié en dehors des locaux de l'entreprise ; et
    • h) veiller au respect de toutes les normes de sécurité informatique énoncées dans la norme ISO 27001, dans la mesure où ces normes ne sont pas couvertes par les obligations énoncées à la clause 3.2 a) - g).

4. Responsabilités des utilisateurs

  • 4.1 Tous les utilisateurs doivent se conformer à toutes les parties pertinentes de la présente politique à tout moment lorsqu'ils utilisent les systèmes informatiques.
  • 4.2 Tous les utilisateurs doivent utiliser les systèmes informatiques uniquement dans les limites de la législation indienne et ne doivent pas utiliser les systèmes informatiques à des fins ou pour des activités susceptibles de contrevenir à la législation indienne, qu'elle soit en vigueur aujourd'hui ou à l'avenir.
  • 4.3 Les utilisateurs doivent immédiatement informer le département informatique de tout problème de sécurité lié aux systèmes informatiques.
  • 4.4 Tous les utilisateurs doivent se conformer à toutes les parties pertinentes de la présente politique à tout moment lorsqu'ils utilisent les systèmes informatiques. Les utilisateurs doivent immédiatement informer le département informatique de tout autre problème technique (y compris, mais sans s'y limiter, les pannes de matériel et les erreurs de logiciel) pouvant survenir sur les systèmes informatiques.
  • 4.5 Toute violation délibérée ou par négligence de la présente politique par les utilisateurs sera traitée de manière appropriée dans le cadre des procédures disciplinaires de l'entreprise.

5. Mesures de sécurité des logiciels

  • 5.1 Tous les logiciels utilisés sur les systèmes informatiques (y compris, mais sans s'y limiter, les systèmes d'exploitation et les applications logicielles individuelles) seront maintenus à jour et toutes les mises à jour, correctifs et autres versions intermédiaires des logiciels seront appliqués à la seule discrétion du département informatique. Cette disposition ne s'étend pas à la mise à niveau des logiciels vers de nouvelles ‘versions majeures’ (par exemple, de la version 1.0 à la version 2.0), mais uniquement aux mises à jour au sein d'une version majeure particulière (par exemple, de la version 1.0 à la version 1.0.1, etc.). Si une mise à jour de logiciel n'est pas disponible gratuitement, elle sera considérée comme une version majeure et relèvera donc du domaine de l'acquisition de nouveaux logiciels et n'entrera pas dans le champ d'application de la présente disposition.
  • 5.2 Lorsqu'une faille de sécurité est identifiée dans un logiciel, cette faille est corrigée immédiatement ou le logiciel peut être retiré des systèmes informatiques jusqu'à ce que la faille de sécurité puisse être corrigée de manière efficace.
  • 5.3 Aucun utilisateur ne peut installer son propre logiciel, qu'il soit fourni sur un support physique (par exemple, un DVD-Rom) ou qu'il soit téléchargé, sans l'accord du responsable des technologies de l'information. Tout logiciel appartenant à un utilisateur doit être approuvé par le responsable des technologies de l'information et ne peut être installé que si cette installation ne présente aucun risque pour la sécurité des systèmes informatiques et si l'installation n'enfreint pas les accords de licence auxquels le logiciel peut être soumis.
  • 5.4 Tous les logiciels seront installés sur les systèmes informatiques par le département informatique, à moins qu'un utilisateur individuel n'en reçoive l'autorisation écrite du responsable informatique. Cette autorisation écrite doit indiquer clairement quel logiciel peut être installé et sur quel(s) ordinateur(s) ou appareil(s) il peut être installé.

6. Mesures de sécurité matérielle

  • 6.1 Dans la mesure du possible, les systèmes informatiques sont installés dans des locaux qui peuvent être fermés à clé en toute sécurité lorsqu'ils ne sont pas utilisés ou, le cas échéant, à tout moment, qu'ils soient utilisés ou non (les utilisateurs autorisés y ayant accès au moyen d'une clé, d'une carte à puce, d'un code de porte ou d'un moyen similaire). Lorsque l'accès à ces lieux est restreint, les utilisateurs ne doivent permettre à aucune personne non autorisée d'y accéder, pour quelque raison que ce soit.
  • 6.2 Tous les systèmes informatiques qui ne sont pas destinés à une utilisation normale par les utilisateurs (y compris, mais sans s'y limiter, les serveurs, les équipements de réseau et l'infrastructure de réseau) et toutes les autres zones où des données à caractère personnel peuvent être stockées (par exemple, les centres de données ou les salles de serveurs) doivent être conçus pour (i) protéger les informations et les biens matériels contre un accès physique non autorisé, (ii) gérer, surveiller et enregistrer les mouvements des personnes entrant et sortant des installations concernées, et (iii) se prémunir contre les risques environnementaux tels que la chaleur, les incendies et les dégâts des eaux.
  • 6.3 Aucun utilisateur n'a accès à des systèmes informatiques qui ne sont pas destinés à une utilisation normale par les utilisateurs (y compris les dispositifs mentionnés ci-dessus) sans l'autorisation expresse du responsable des technologies de l'information. Dans des circonstances normales, chaque fois qu'un utilisateur identifie un problème avec ces systèmes informatiques, ce problème doit être signalé au département informatique. Un utilisateur ne doit en aucun cas tenter de remédier à ces problèmes sans l'autorisation expresse (et, dans la plupart des cas, l'instruction et/ou la supervision) du responsable des technologies de l'information.
  • 6.4 Tous les dispositifs non mobiles (y compris, mais sans s'y limiter, les ordinateurs de bureau, les postes de travail et les moniteurs) doivent, chaque fois que cela est possible et pratique, être physiquement sécurisés à l'aide d'un mécanisme de verrouillage approprié. Lorsque la conception du matériel le permet, les boîtiers d'ordinateurs sont verrouillés afin d'empêcher la manipulation ou le vol des composants internes.
  • 6.5 Tous les appareils mobiles (y compris, mais sans s'y limiter, les ordinateurs portables, les netbooks, les tablettes, les PDA et les téléphones portables) fournis par l'entreprise doivent toujours être transportés en toute sécurité et manipulés avec soin. Lorsque ces appareils mobiles doivent être laissés sans surveillance, ils doivent être placés dans un étui verrouillable ou dans tout autre contenant approprié. Les utilisateurs doivent faire tous les efforts raisonnables pour éviter que ces appareils mobiles ne soient laissés sans surveillance ailleurs qu'à leur domicile privé ou dans les locaux de la société. Si un tel appareil mobile doit être laissé dans un véhicule, il doit être rangé hors de vue.
  • 6.6 Le département informatique tient un registre complet des actifs de tous les systèmes informatiques. Tous les systèmes informatiques sont étiquetés et les données correspondantes sont conservées dans le registre des actifs.

7. Sécurité d'accès

  • 7.1 Tous les systèmes informatiques (et en particulier les appareils mobiles, notamment les ordinateurs portables, les netbooks, les tablettes, les PDA et les téléphones mobiles) sont protégés par un mot de passe sécurisé ou toute autre forme de système de connexion sécurisé que le département informatique peut juger appropriée. Ces autres formes de connexion sécurisée peuvent inclure l'identification des empreintes digitales et la reconnaissance faciale.
  • 7.2 Contrôles d'accès logiques conçus pour gérer l'accès électronique aux données et aux fonctionnalités des systèmes informatiques sur la base des niveaux d'autorité et des fonctions professionnelles (par exemple, octroi de l'accès sur la base du besoin de savoir et du moindre privilège, utilisation d'identifiants et de mots de passe uniques pour tous les utilisateurs, examen périodique et révocation/modification rapide de l'accès en cas de cessation d'emploi ou de changement de fonctions professionnelles).
  • 7.3 Tous les mots de passe doivent, lorsque le logiciel, l'ordinateur ou l'appareil le permet :
    • 7.3.1 doit comporter au moins 5 caractères ;
    • 7.3.2 être différent du mot de passe précédent ;
    • 7.3.3 ne pas être évidents ou faciles à deviner (par exemple, anniversaires ou autres dates mémorables, noms, événements ou lieux mémorables, etc ;);
    • 7.3.4 être créés par des utilisateurs individuels ; et
    • 7.3.5 les mots de passe nouvellement attribués doivent être modifiés après la première utilisation
  • 7.4 Les mots de passe doivent être gardés secrets par chaque utilisateur. En aucun cas un utilisateur ne doit partager son mot de passe avec qui que ce soit, y compris le responsable informatique et le personnel informatique. Aucun utilisateur ne se verra légitimement demander son mot de passe par qui que ce soit, à quelque moment que ce soit, et toute demande de ce type doit être refusée. Si un utilisateur a des raisons de croire qu'une autre personne a obtenu son mot de passe, il doit le changer immédiatement et signaler la violation présumée de la sécurité au département informatique.
  • 7.5 Si un utilisateur oublie son mot de passe, il doit le signaler au service informatique. Le département informatique prendra les mesures nécessaires pour rétablir l'accès de l'utilisateur aux systèmes informatiques, ce qui peut inclure la délivrance d'un mot de passe temporaire qui peut être entièrement ou partiellement connu du membre du personnel informatique chargé de résoudre le problème. Un nouveau mot de passe doit être créé par l'utilisateur dès que l'accès aux systèmes informatiques est rétabli.
  • 7.6 Tous les systèmes informatiques dotés d'écrans et de dispositifs d'entrée utilisateur (par exemple, souris, clavier, écran tactile, etc.) sont protégés, dans la mesure du possible, par un économiseur d'écran protégé par un mot de passe qui s'active après 30 minutes d'inactivité. Cette période ne peut pas être modifiée par les utilisateurs et ceux-ci ne peuvent pas désactiver l'économiseur d'écran. L'activation de l'économiseur d'écran n'interrompt ni ne perturbe aucune autre activité se déroulant sur l'ordinateur (par exemple, le traitement de données).
  • 7.7 Le service informatique procède régulièrement à des audits de système ou à des enregistrements d'événements et à des procédures de surveillance connexes afin d'enregistrer de manière proactive l'accès et l'activité des utilisateurs sur les systèmes informatiques en vue d'un examen de routine.
  • 7.8 Les utilisateurs ne peuvent utiliser aucun logiciel susceptible de permettre à des tiers d'accéder aux systèmes informatiques sans l'autorisation expresse du responsable des technologies de l'information. Tout logiciel de ce type doit être raisonnablement requis par l'utilisateur pour l'exécution de son travail et doit être entièrement inspecté et autorisé par le responsable des technologies de l'information.

8. Protection des données

  • 8.1 Toutes les données personnelles (telles que définies dans le Règlement général sur la protection des données (“RGPD”)) collectées, détenues et traitées par la Société le seront dans le strict respect du RGPD et de la politique de protection des données de la Société.
  • 8.2 Le service informatique veille à ce qu'il existe des contrôles de sécurité des données qui comprennent au minimum, mais sans s'y limiter, une séparation logique des données, un accès et une surveillance restreints (par exemple, en fonction des rôles) et l'utilisation de technologies de cryptage disponibles dans le commerce et conformes aux normes industrielles pour les données à caractère personnel :
    • a) transmis sur des réseaux publics (c'est-à-dire l'Internet) ou transmis sans fil ; ou
    • b) au repos ou stockés sur des supports portables ou amovibles (ordinateurs portables, CD/DVD, clés USB, bandes de sauvegarde).
  • 8.3 Tous les courriels contenant des données personnelles doivent être cryptés.
  • 8.4 Les données à caractère personnel contenues dans le corps d'un courriel, qu'elles aient été envoyées ou reçues, doivent être copiées à partir du corps de ce courriel et stockées en toute sécurité. Le courriel lui-même doit être supprimé. Tous les fichiers temporaires qui y sont associés doivent également être supprimés.
  • 8.5 Lorsque des données à caractère personnel doivent être envoyées par télécopie, le destinataire doit être informé à l'avance de la transmission et doit attendre près du télécopieur pour recevoir les données.
  • 8.6 Si des données à caractère personnel sont consultées sur un écran d'ordinateur et que l'ordinateur en question doit être laissé sans surveillance pendant un certain temps, l'utilisateur doit verrouiller l'ordinateur et l'écran avant de le quitter.
  • 8.7 Aucune donnée à caractère personnel ne doit être transférée sur un appareil appartenant personnellement à un employé et les données à caractère personnel ne peuvent être transférées sur des appareils appartenant à des agents, des sous-traitants ou d'autres parties travaillant pour le compte de l'entreprise lorsque la partie en question a accepté de se conformer pleinement à la lettre et à l'esprit de la présente politique et du GDPR (ce qui peut inclure la démonstration à l'entreprise que toutes les mesures techniques et organisationnelles appropriées ont été prises).
  • 8.8 Le département informatique met en place des procédures et des contrôles opérationnels pour assurer l'élimination sécurisée de toute partie des systèmes informatiques ou de tout support afin de rendre toutes les informations ou données qu'ils contiennent indéchiffrables ou irrécupérables avant leur élimination définitive ou leur retrait de la possession de l'entreprise.
  • 8.9 Lorsque des données à caractère personnel doivent être effacées ou éliminées pour quelque raison que ce soit (y compris lorsque des copies ont été faites et ne sont plus nécessaires), elles doivent être supprimées et éliminées en toute sécurité. Les copies papier doivent être déchiquetées et les copies électroniques doivent être supprimées en toute sécurité.
  • 8.10 Le département informatique veille à mettre en place les mesures techniques et organisationnelles appropriées pour se protéger contre le traitement non autorisé ou illicite de données à caractère personnel et contre la perte ou la destruction accidentelle de données à caractère personnel ou les dommages causés à celles-ci, en fonction du préjudice qui pourrait résulter du traitement non autorisé ou illicite ou de la perte, de la destruction ou des dommages accidentels, ainsi que de la nature des données à protéger, en tenant compte de l'état d'avancement des technologies et du coût de mise en œuvre des mesures (ces mesures peuvent comprendre, le cas échéant, la pseudonymisation et le cryptage des données à caractère personnel, la garantie de la confidentialité, de l'intégrité, de la disponibilité et de la résilience de ses systèmes et services, la garantie que la disponibilité des données à caractère personnel et l'accès à celles-ci peuvent être rétablis en temps utile après un incident, ainsi que l'appréciation et l'évaluation régulières de l'efficacité des mesures techniques et organisationnelles qu'il a adoptées).
  • 8.11 Toutes les données personnelles stockées électroniquement doivent être sauvegardées chaque jour, les sauvegardes étant stockées dans le nuage AWS (AWS takes DB backup). Toutes les sauvegardes doivent être cryptées.
  • 8.12 Toutes les copies électroniques de données à caractère personnel doivent être stockées en toute sécurité à l'aide de mots de passe et d'un système de cryptage des données.
  • 8.13 Seuls les utilisateurs qui ont besoin d'accéder aux données à caractère personnel et de les utiliser afin d'exécuter correctement les tâches qui leur sont confiées ont accès aux données à caractère personnel détenues par l'entreprise.
  • 8.14 Tous les utilisateurs qui traitent des données à caractère personnel pour le compte de la société sont soumis aux dispositions de la politique de protection des données de la société et doivent s'y conformer.

9. Utilisation d'Internet et du courrier électronique

  • 9.1 Tous les utilisateurs sont soumis aux dispositions de la politique de l'entreprise en matière de communication, de courrier électronique et d'Internet et doivent s'y conformer lorsqu'ils utilisent les systèmes informatiques.
  • 9.2 Lorsque les dispositions de la présente politique exigent que des mesures supplémentaires soient prises pour garantir la sécurité informatique lors de l'utilisation de l'internet ou du courrier électronique, au-delà des exigences imposées par la politique en matière de communications, de courrier électronique et d'internet, les utilisateurs doivent prendre les mesures nécessaires.

10. Signalement des violations de la sécurité informatique

  • 10.1 Toutes les préoccupations, questions, suspicions d'infractions ou infractions avérées doivent être immédiatement transmises à Jimit Bagadiya.
  • 10.2Dès réception d'une question ou d'une notification de violation, le service informatique évalue, dans les 24 heures, le problème, y compris, mais sans s'y limiter, le niveau de risque qui y est associé, et prend toutes les mesures qu'il juge nécessaires pour répondre au problème.
  • 10.3 En aucun cas, un utilisateur ne doit tenter de résoudre une faille de sécurité informatique par ses propres moyens sans consulter au préalable le service informatique. Les utilisateurs ne peuvent tenter de résoudre les failles de sécurité informatique que sur instruction et avec l'autorisation expresse du département informatique.
  • 10.4 Toutes les violations de la sécurité informatique, qu'elles soient corrigées par le service informatique ou par un utilisateur sous la direction du service informatique, doivent faire l'objet d'une documentation complète.

11. Continuité des activités

L'entreprise met en place des procédures adéquates de résilience/continuité des activités et de reprise après sinistre conçues pour maintenir toute information et la fourniture de tout service et/ou la reprise après des situations d'urgence ou des catastrophes prévisibles.

12. Mise en œuvre de la politique

La présente politique est réputée entrer en vigueur le 25-5-2018. Aucune partie de la présente politique n'a d'effet rétroactif et ne s'applique donc qu'aux faits survenus à partir de cette date.

Nom : Jimit Bagadiya
Poste : Directeur général et délégué à la protection des données
Date : 15/05/2018
Signature : Signature

Entreprise

Produits

Gestion des médias sociaux

Fonctionnalités

Outils et modèles

Ressources

  • linkedin
  • Instagram
  • Youtube
  • 2026 SocialPilot Technologies Inc. Tous droits réservés.