Retour aux fonctionnalités
76x
001631
25.02.2021

Annexe 2 à l'Accord AV : Mesures techniques et organisationnelles

Voici ci-dessous une description des principales mesures prises par Dlubal Software pour le respect des règles relatives à la protection des données selon l'art. 32 du PDGR suivra. Cependant, il convient de souligner que toutes les mesures de sécurité ne peuvent pas être masquées. et notamment dans l'intérêt de la protection et de la sécurité des données, il est indispensable de se passer de descriptions confidentielles et détaillées.

1 Profondeur (art. 32, par. 1, let. b PDFR)

1.1 Contrôle de l'accès physique

Mesures appropriées pour empêcher les personnes non autorisées d'accéder aux systèmes de traitement des données avec lesquels des données personnelles sont traitées ou utilisées :

  • Les bureaux ne sont accessibles que par une entrée centrale. Les zones d'accès sont contrôlées à l'aide d'une caméra et occupée par le personnel de la réception. Si aucun personnel de la réception n'est présent, les portes d'accès sont fermées et sécurisées par un système d'avertissement.
  • De plus, les salles de serveur sont fermées en permanence et accessibles uniquement au personnel autorisé.
  • Dépannage du produit Dlubal dans lequel les données personnelles sont stockées, si nécessaire
  • Les systèmes de serveur importants à l'extérieur des bureaux sont sécurisées dans un centre de données au moyen d'une autorisation de personne multi-facteurs, de surveillance vidéo reliée à la police et contre les attentats.

1.2 Contrôle électronique de l'accès

Mesures appropriées pour empêcher des personnes non autorisées d'utiliser les systèmes de traitement des données :

  • Les données ne sont accessibles qu'aux collaborateurs Dlubal, dans la mesure où cela est nécessaire, via un système de gestion de la relation client, contrôlable par des droits personnalisables.
  • Les collaborateurs disposent de droits d'accès définis par leur rôle.
  • Les ordinateurs sont protégés par une identification avec un nom d'utilisateur et un mot de passe (Active Répertoire).
  • Mots de passe à sécurité renforcée (structure, longueur, date d'expiration).
  • Les systèmes externes sont connectés via des tunnels VPN. Seules les adresses connues peuvent être consultées via une liste blanche IP. Toutes les communications externes sont contenant un chiffrement.
  • Les systèmes d'ordinateurs sont équipés de logiciels antivirus.
  • Les réseaux de données sont protégés par des pare-feu.
  • Seules les personnes autorisées ont accès aux systèmes de serveur.

1.3 Contrôle des accès internes

Mesures qui assurent que les personnes autorisées à utiliser un système de traitement des données peuvent accéder aux données uniquement dans le cadre de leur privilège d'accès et que les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant le traitement, l'utilisation et après stockage :

  • Droits : Tous les services utilisent le modèle d'accès « Modifier par défaut ». Seuls les personnes et groupes autorisés disposent d'un accès approprié. La matrice de droits de chaque service est contrôlée et peut être exportée dans le panneau administrateur pour chaque service. Tous les droits sont gérés par des chefs d'administrateur système. Le nombre d'administrateurs système est réduit au minimum.
  • Fichiers journaux : Les serveurs de stockage en réseau disposent de rapports d'analyse contenant l'historique des versions des fichiers (CRud). Le serveur Active Répertoire enregistre toutes les demandes d'autorisation aux services du réseau.
  • Système de contrôle des versions : Toutes les données du réseau sont sécurisées par des captures d'écran VSS et BTRFS. Les bases de données sont sécurisées via des captures d'écran horaires.

1.4 Contrôle de la séparation

Mesures permettant d'assurer que les données compilées à des fins différentes peuvent être traitées séparément :

  • Stockage physique séparé sur des systèmes ou supports de données distincts
  • Création d'un concept d'autorisation
  • Cryptage des ensembles de données, qui sont traitées dans le même but
  • Attribution des attributs d'objectif/champs de données aux ensembles de données
  • Désignation des droits de base de données
  • Séparation logique des données des clients en fonction des compétences et des fonctions

1.5 Pseudonyme et estimation (Art. 32 (1) let. un article de notre base de connaissance Dlubal ; Art. 25 (1) du PDFR)

Le traitement des données personnelles de sorte que ces données ne puissent pas être attribuées à une personne concernée sans avoir consulté des informations supplémentaires, à condition que ces informations supplémentaires soient stockées séparément et que des mesures techniques et d'organisation nœud soient appliquées :

Si cela est possible pour le traitement des données concerné, les principales caractéristiques des données personnelles sont supprimées de l'application de données correspondante et stockées séparément.

2 Intégrité (Art. 32 Para.1 let. b PDFR)

2.1 Contrôle d'entrée

Mesures permettant de contrôler rétroactivement et de déterminer si des données personnelles ont été insérées, modifiées ou supprimées dans les systèmes de traitement et par qui :

  • Enregistrement de l'entrée, de la modification et de la suppression des données
  • Traçabilité de l'entrée, des modifications et de la suppression des données à l'aide des noms d'utilisateur individuels
  • Attribution des droits d'entrée, de modification et de suppression des données en fonction d'un concept d'autorisation
  • Gestion des documents

2.2 Contrôle du transfert de données

Mesures qui assurent que les données personnelles ne peuvent pas être copiées, modifiées ou supprimées sans autorisation au cours d'une transmission électronique, de leur transport ou de leur stockage sur des supports de données :

  • Ce serveur utilise la Sender Politique Framework (SPF) pour empêcher une utilisation non autorisée de nos domaines. Le destinataire peut ainsi vérifier s'il provient d'un serveur autorisé.
  • Les e-mails sont marqués de la signature DKIM afin de garantir l'intégrité de ces e-mails.
  • Les e-mails sensibles peuvent en outre être affinés à l'aide d'un chiffrement de bout en bout.
  • Les services ftp et VPN fonctionnent avec un chiffrement SSL/TLS.

3 Disponibilité et raideur (art. 32 (1) let. b PDFR)

3.1 Contrôle de disponibilité

Mesures qui assurent que les données personnelles sont protégées de la perte ou de l'endommagement accidentel :

  • Concept de sauvegarde et restauration
  • Bloc d'alimentation ininterrompu (UPS)
  • Miroiter le disque dur
  • Utilisation de systèmes raidisseurs
  • Systèmes de données BTRFS et ReFS pour la détection et la correction des erreurs ainsi que pour la prévention des pertes de données dissimulées
  • Regroupements de ressources à haute capacité et mise en miroir des données et services sur plusieurs sites
  • Sauvegarde des connexions Internet et des trafics afin d'éviter les pannes prolongées
  • Mémoire ECC sur tous les serveurs pour détecter les erreurs de mémoire, les modifications de données et les pertes de données
  • Gestionnaire de protection des données Microsoft System installé sur chaque serveur
  • Sauvegarde via DPM Stockage au moins une fois par jour
  • Sauvegarde Windows + Lun iSCS
  • Les services importants sont contrôlés par des outils réseau et indiquent les défaillances de services, les pannes, les aciers DoS et DDoS.
  • Salle serveur sécurisée
  • Prises de protection dans la salle serveur
  • Contrôle régulier des équipements électriques par une entreprise spécialisée
  • Avertisseurs feu et fumée, équipements d'incendie
  • Plans d'urgence et gestion de crise
  • Pare-feu avec détection, protection et prévention des antivirus et des inclinaisons (AV/IDS/IDP, Zywall Security poutre)
  • ESet Web Security pour les échanges afin de protéger le serveur de adresse e-mail contre les courriers indésirables, les logiciels antivirus, les logiciels de contreventement, les escroquerie, etc.
  • ESet AntiVirus sur tous les ordinateurs comme protection extrémité des utilisateurs à l'aide de la console d'administrateur ESet
  • Antivirus open source ClamAV pour la protection des serveurs et du stockage en réseau
  • Mises à jour périodiques du système gérées via WSUS
  • Activer la règle de groupe du répertoire pour tous les ordinateurs

3.2 Possibilité de recouvrement

Mesures permettant de garantir la disponibilité des données personnelles et leur accès après un incident physique ou technique : Toutes les données sont protégées contre la perte grâce à des sauvegardes périodiques. Différents outils permettent de récupérer facilement ces données en cas d'accident physique ou technique. Voici les mesures à prendre en compte :

  • Concept de sauvegarde et restauration
  • Sauvegarde via DPM Stockage au moins une fois par jour
  • Sauvegarde Windows + Lun iSCS

4 Procédures pour les analyses périodiques, l'analyse et l'évaluation (Art. 32 (1) let. d GDPR ; Art. 25 (1) du PDFR)

4.1 Gestion de la confidentialité

  • Formations des collaborateurs sur la protection des données
  • Contrainte des employés à la confidentialité des données personnelles
  • Désignation du responsable de la protection des données
  • Directives sur les employés pour la gestion des données personnelles
  • Enregistrement des activités de traitement iSd Art 30 (1) et (2) GDPR
  • Implémentation d'un système de gestion de la protection des données

4.2 Contrôle des applications

Mesures qui assurent que les données personnelles traitées dans le cadre de l'opération ne peuvent être traitées que selon les instructions du client au sens de l'art. 28 du GDR :

  • Un contrat clair
  • Gestion des commandes centralisée
  • Sélection adéquate du sous-traitant
  • Instructions écrites au sous-traitant via le contrat de traitement des données
  • Contrainte de confidentialité de l'entreprise
  • Une surveillance continue des sous-traitants et de leurs activités