Fran�ais   |   Catal�   |   Espa�ol   |   English   |   Portugu�s

Registre des activités du client : COLEGIO PROFESIONAL. DE DIPLOMADOS EN ENFERMERÍA DE BURGOS

Domaine Contenu
1- Nom de l'activité
2- Responsable du traitement / DPO COLEGIO PROFESIONAL. DE DIPLOMADOS EN ENFERMERÍA DE BURGOS /
3- Finalité du traitement
4- Base juridique du traitement
5- Catégories des intéressés
6 - Origine des données
Catégories de données personnelles
7- Données d'identification
8- Système de traitement
9- Cessions de données
Transferts internationaux
10- Pays
11-Catégorie destinataires
12-Entreprise
13-Base légale
14-Délais de suppression des données
15- Description générale des mesures techniques et organisationnelles de sécurité
FONCTIONS ET OBLIGATIONS Remettre à tous les utilisateurs selon leur profil, les fonctions et obligations concernant les mesures de sécurité qu'ils doivent respecter, ainsi que les conséquences de leur non-respect.
IDENTIFICATION ET AUTHENTIFICATION Identification et authentification individuelle. Procédure d'assignation et de distribution des mots de passe. Complexité et changement de mots de passe.
CONTRÔLE D'ACCÈS Liste à jour des noms d'utilisateur et d'accès autorisés. Contrôle d'accès autorisés selon les fonctions assignées et les mécanismes qui évitent les accès non autorisés. Concession d'autorisations d'accès uniquement pour le personnel autorisé. Contrôle d'accès physique aux locaux où sont situés les systèmes d'information.
copies de sauvegarde Périodicité de la copie. Procédures de réalisation de copies de secours et de récupération de données. Systèmes de copies de sauvegarde à distance.
GESTION DES SUPPORTS Gestion d'inventaire et identification de supports. Conservation des supports sous clé. Registre de sortie et d'entrée de supports. Mesures pour la destruction de supports.
REGISTRE DES ANOMALIES Registre contenant le type, moment de leur détection, personne qui notifie, effets et mesures correctrices de l'anomalie. Procédure de notification et de gestion des anomalies. Procédures de récupération de données.
AUTRES MESURES TECHNIQUES Utilisation d'anti-virus et de firewalls.
Protecteurs d'écran.
Contrôle pour les accès à distance
Règles d'utilisation du courrier électronique et de l'Internet.
Utilisation de périphériques (imprimantes, photocopieuses et multifonctions).
TRAITEMENTS NON AUTOMATISÉS Application de critères de fichier des documents pour faciliter la consultation, localisation et respect des Droits. Utilisation de dispositifs de stockage avec système de fermeture (clé, code...). Conservation de documents actifs pour éviter tout accès abusif.
RESPONSABLES DE TRAITEMENT Liste de responsables de traitement. Description de services fournis. Adoption de garanties par les responsables.

Domaine Contenu
1- Nom de l'activité Gestion de la vidéosurveillance
2- Responsable du traitement / DPO COLEGIO PROFESIONAL. DE DIPLOMADOS EN ENFERMERÍA DE BURGOS /
3- Finalité du traitement

Gestion de la sécurité des installations et personnes à travers des systèmes de vidéosurveillance.

4- Base juridique du traitement RGPD : 6.1. e) et 6.1 f) : Intérêt légitime et public à préserver la sécurité des personnes et des installations.
5- Catégories des intéressés Personnes qui accèdent aux installations.
6 - Origine des données Système de sécurité (caméras et/ou alarmes avec capture d´images).
Catégories de données personnelles

Références d´identification et de contact.

7- Données d'identification

d´identification et de contact : image (photographie ou vidéos) de personnes accédant aux installations ou des inscriptions.

8- Système de traitement Automatisé.
9- Cessions de données

Forces et Corps de sécurité de l´État.

Transferts internationaux
10- Pays
11-Catégorie destinataires
12-Entreprise
13-Base légale
14-Délais de suppression des données Un mois depuis la collecte de données personnelles.
15- Description générale des mesures techniques et organisationnelles de sécurité
FONCTIONS ET OBLIGATIONS Remettre à tous les utilisateurs selon leur profil, les fonctions et obligations concernant les mesures de sécurité qu'ils doivent respecter, ainsi que les conséquences de leur non-respect.
IDENTIFICATION ET AUTHENTIFICATION Identification et authentification individuelle. Procédure d'assignation et de distribution des mots de passe. Complexité et changement de mots de passe.
CONTRÔLE D'ACCÈS Liste à jour des noms d'utilisateur et d'accès autorisés. Contrôle d'accès autorisés selon les fonctions assignées et les mécanismes qui évitent les accès non autorisés. Concession d'autorisations d'accès uniquement pour le personnel autorisé. Contrôle d'accès physique aux locaux où sont situés les systèmes d'information.
copies de sauvegarde Périodicité de la copie. Procédures de réalisation de copies de secours et de récupération de données. Systèmes de copies de sauvegarde à distance.
GESTION DES SUPPORTS Gestion d'inventaire et identification de supports. Conservation des supports sous clé. Registre de sortie et d'entrée de supports. Mesures pour la destruction de supports.
REGISTRE DES ANOMALIES Registre contenant le type, moment de leur détection, personne qui notifie, effets et mesures correctrices de l'anomalie. Procédure de notification et de gestion des anomalies. Procédures de récupération de données.
AUTRES MESURES TECHNIQUES Utilisation d'anti-virus et de firewalls.
Protecteurs d'écran.
Contrôle pour les accès à distance
Règles d'utilisation du courrier électronique et de l'Internet.
Utilisation de périphériques (imprimantes, photocopieuses et multifonctions).
TRAITEMENTS NON AUTOMATISÉS Application de critères de fichier des documents pour faciliter la consultation, localisation et respect des Droits. Utilisation de dispositifs de stockage avec système de fermeture (clé, code...). Conservation de documents actifs pour éviter tout accès abusif.
RESPONSABLES DE TRAITEMENT Liste de responsables de traitement. Description de services fournis. Adoption de garanties par les responsables.

Domaine Contenu
1- Nom de l'activité
2- Responsable du traitement / DPO COLEGIO PROFESIONAL. DE DIPLOMADOS EN ENFERMERÍA DE BURGOS /
3- Finalité du traitement
4- Base juridique du traitement
5- Catégories des intéressés
6 - Origine des données
Catégories de données personnelles
7- Données d'identification
8- Système de traitement
9- Cessions de données
Transferts internationaux
10- Pays
11-Catégorie destinataires
12-Entreprise
13-Base légale
14-Délais de suppression des données
15- Description générale des mesures techniques et organisationnelles de sécurité
FONCTIONS ET OBLIGATIONS Remettre à tous les utilisateurs selon leur profil, les fonctions et obligations concernant les mesures de sécurité qu'ils doivent respecter, ainsi que les conséquences de leur non-respect.
IDENTIFICATION ET AUTHENTIFICATION Identification et authentification individuelle. Procédure d'assignation et de distribution des mots de passe. Complexité et changement de mots de passe.
CONTRÔLE D'ACCÈS Liste à jour des noms d'utilisateur et d'accès autorisés. Contrôle d'accès autorisés selon les fonctions assignées et les mécanismes qui évitent les accès non autorisés. Concession d'autorisations d'accès uniquement pour le personnel autorisé. Contrôle d'accès physique aux locaux où sont situés les systèmes d'information.
copies de sauvegarde Périodicité de la copie. Procédures de réalisation de copies de secours et de récupération de données. Systèmes de copies de sauvegarde à distance.
GESTION DES SUPPORTS Gestion d'inventaire et identification de supports. Conservation des supports sous clé. Registre de sortie et d'entrée de supports. Mesures pour la destruction de supports.
REGISTRE DES ANOMALIES Registre contenant le type, moment de leur détection, personne qui notifie, effets et mesures correctrices de l'anomalie. Procédure de notification et de gestion des anomalies. Procédures de récupération de données.
AUTRES MESURES TECHNIQUES Utilisation d'anti-virus et de firewalls.
Protecteurs d'écran.
Contrôle pour les accès à distance
Règles d'utilisation du courrier électronique et de l'Internet.
Utilisation de périphériques (imprimantes, photocopieuses et multifonctions).
TRAITEMENTS NON AUTOMATISÉS Application de critères de fichier des documents pour faciliter la consultation, localisation et respect des Droits. Utilisation de dispositifs de stockage avec système de fermeture (clé, code...). Conservation de documents actifs pour éviter tout accès abusif.
RESPONSABLES DE TRAITEMENT Liste de responsables de traitement. Description de services fournis. Adoption de garanties par les responsables.

Domaine Contenu
1- Nom de l'activité
2- Responsable du traitement / DPO COLEGIO PROFESIONAL. DE DIPLOMADOS EN ENFERMERÍA DE BURGOS /
3- Finalité du traitement
4- Base juridique du traitement
5- Catégories des intéressés
6 - Origine des données
Catégories de données personnelles
7- Données d'identification
8- Système de traitement
9- Cessions de données
Transferts internationaux
10- Pays
11-Catégorie destinataires
12-Entreprise
13-Base légale
14-Délais de suppression des données
15- Description générale des mesures techniques et organisationnelles de sécurité
FONCTIONS ET OBLIGATIONS Remettre à tous les utilisateurs selon leur profil, les fonctions et obligations concernant les mesures de sécurité qu'ils doivent respecter, ainsi que les conséquences de leur non-respect.
IDENTIFICATION ET AUTHENTIFICATION Identification et authentification individuelle. Procédure d'assignation et de distribution des mots de passe. Complexité et changement de mots de passe.
CONTRÔLE D'ACCÈS Liste à jour des noms d'utilisateur et d'accès autorisés. Contrôle d'accès autorisés selon les fonctions assignées et les mécanismes qui évitent les accès non autorisés. Concession d'autorisations d'accès uniquement pour le personnel autorisé. Contrôle d'accès physique aux locaux où sont situés les systèmes d'information.
copies de sauvegarde Périodicité de la copie. Procédures de réalisation de copies de secours et de récupération de données. Systèmes de copies de sauvegarde à distance.
GESTION DES SUPPORTS Gestion d'inventaire et identification de supports. Conservation des supports sous clé. Registre de sortie et d'entrée de supports. Mesures pour la destruction de supports.
REGISTRE DES ANOMALIES Registre contenant le type, moment de leur détection, personne qui notifie, effets et mesures correctrices de l'anomalie. Procédure de notification et de gestion des anomalies. Procédures de récupération de données.
AUTRES MESURES TECHNIQUES Utilisation d'anti-virus et de firewalls.
Protecteurs d'écran.
Contrôle pour les accès à distance
Règles d'utilisation du courrier électronique et de l'Internet.
Utilisation de périphériques (imprimantes, photocopieuses et multifonctions).
TRAITEMENTS NON AUTOMATISÉS Application de critères de fichier des documents pour faciliter la consultation, localisation et respect des Droits. Utilisation de dispositifs de stockage avec système de fermeture (clé, code...). Conservation de documents actifs pour éviter tout accès abusif.
RESPONSABLES DE TRAITEMENT Liste de responsables de traitement. Description de services fournis. Adoption de garanties par les responsables.

Domaine Contenu
1- Nom de l'activité Gestion des RH
2- Responsable du traitement / DPO COLEGIO PROFESIONAL. DE DIPLOMADOS EN ENFERMERÍA DE BURGOS /
3- Finalité du traitement

Personnel professionnel (structure) : Gestion de la relation de travail et du dossier des employés ; traitement adhésion et cessation auprès de la Sécurité sociale, émission et paiement des salaires ; évaluation, suivi et contrôle du développement des activités professionnelles ; contrôle des accès et de présence, et enregistrement de la journée de travail/horaires (y compris, selon le cas, à travers des données biométriques, des applications intégrant la géolocalisation ou cartes d´identification) ; promouvoir et proposer des actions de formation, même bonifiées ; prévention des risques professionnels ; promotions et/ou changements de catégorie professionnelle. Traitement de déclarations d´accidents de travail (avec description de l´accident et ses conséquences, ce qui peut impliquer l´accès et le traitement de données sanitaires). Tenue d´un registre historique des employés à durée indéterminée.

Étudiants en stage : Gestion de la relation avec l´étudiant/e, et le cas échéant, paiement des rétributions ; prévention des risques ; actions de formation ; évaluation, suivi et contrôle du développement des stages ; contrôles d´accès et des présences et enregistrement de la journée de travail/horaires.

Travailleurs indépendants assimilés : Gestion de la relation commerciale avec le professionnel ; paiement des rétributions ; évaluation, suivi et contrôle des activités professionnelles ; contrôle des accès et des présences ; promouvoir et proposer des actions de formation ; prévention des risques professionnels.  Intérimaires : Gestion de la relation de travail avec l´employé ; prévention des risques professionnels ; formation ; évaluation, suivi et contrôle du développement des activités professionnelles ; contrôles d´accès et de présence.

Travailleurs externes : Contrôle et identification des travailleurs externes travaillant sur les installations ; disposer de certificats d´aptitude à la surveillance sanitaire, certificats de formation en prévention de risques professionnels, CNI, TC et autres documents visant au respect des obligations vis-à-vis de la Sécurité sociale, en matière de coordination entrepreneuriale et en prévention des risques professionnels ; formation ; contrôle des activités développées ; contrôles d´accès et de présence.

Traitements supplémentaires : Collecte, utilisation et publication d´images et/ou audio pour les photographies ou vidéos visant à la promotion de l´établissement. Utilisation et publication de données personnelle à des fins sociales. Utilisation du téléphone portable et/ou de l´adresse électronique particulier pour des communications d´ordre professionnel, envoi de bulletins de salaire et/ou newsletter corporative. Envoi de notifications et/ou création de groupes au sein d´applications de messagerie pour la gestion de la relation et des communications. Contrôle professionnel au moyen de caméras de vidéosurveillance qui pourront être utilisées pour l´application de sanctions disciplinaires ou tout manquement dans le cadre professionnel. Utilisation de systèmes de géolocalisation dans des véhicules ou des dispositifs d´entreprise, visant à contrôler le manquement aux obligations, optimiser des itinéraires, garantir la sécurité et la gestion des réclamations. Souscription d´assurances collectives. Prélèvement des cotisations syndicales. Représentation et défense des travailleurs à travers des délégués ou le Comité d´entreprise. Communication de références aux entreprises du groupe pour des raisons professionnelles et de coordination de l´entreprise.

Candidats : Participer à des processus de sélection de personnel présents et futurs ; vérifier les références fournies. Le cas échéant : réaliser les épreuves et des test nécessaires visant à évaluer sa candidature et élaborer des profils professionnels. "

4- Base juridique du traitement Structure : RGPD 6.1.b) Exécution contrat de travail, RGPD 6.1.c) Réponse à l´obligation légale (Statut des Travailleurs et Conventions collectives applicables) et RGPD 6.1.f) Intérêt légitime à conserver le prénom et le nom, poste de travail et dates en guise de registre des antécédents des employés. Stage : RGPD 6.1.b) Exécution convention de stage. Assimilés : RGPD 6.1.b) Exécution d´un contrat commercial. Entreprises de travail temporaire : RGPD 6.1.b) Exécution contrat de mise à disposition entre l´entreprise de travail temporaire et l´entreprise utilisatrice et RGPD 6.1.c) Exécution d´un obligation légale (réglementation entreprises de travail temporaire) Externes : RGPD 6.1.b) Exécution d´un contrat commercial avec l´employeur. RGPD 6.1.c) Respect d´une obligation légale (Loi sur Prévention des risques professionnels et l´Arrêté royal en matière de coordination des activités de l´entreprise). Candidat : RGPD 6.1.a) Consentement de l´intéressé. Traitements supplémentaires : RGPD 6.1.a) Consentement de l´intéressé et/ou RGPD 6.1.b) Exécution d´un contrat dans lequel l´intéressé constitue une partie ou pour l´application de mesures précontractuelles et/ou RGPD 6.1.c) Respect d´une obligation légale.
5- Catégories des intéressés Employés (régime général, travailleurs indépendants assimilés, étudiants en stage) ; employés des ETT ; travailleurs externes ; candidats ; anciens employés.
6 - Origine des données Structure/Assimilés : L´intéressé lui-même ou son représentant légal. Stage : L´intéressé lui-même ou son représentant légal et/ou le centre ou établissement de formation auquel il appartient. Entreprise de travail temporaire : Entreprises de travail temporaire. Externes : Entreprise externe responsable de l´employé (employeur) Candidats : L´intéressé lui-même, portails d´emploi, entreprises de sélection du personnel. Le cas échéant : société-mère et/ou entreprises appartenant au groupe d´entreprises.
Catégories de données personnelles

d´identification et de contact ; caractéristiques personnelles ; conditions sociales et familiales ; relatives à la personnalité ; académiques et professionnelles ; détails de l´emploi ; syndicales ; économiques, financiers et assurances ; médicaux et sanitaires ; administratifs ; judiciaires ; sociaux ; d´infrastructure ; autres catégories spéciales de données. 

7- Données d'identification

d´identification et de contact : Prénom, nom, CNI/NIE ou Passeport, n° affiliation à la sécurité sociale, domicile, adresse électronique, numéro de téléphone, signature, images et/ou audio, adresse IP/MAC des dispositifs. Caractéristiques personnelles : Date et lieu de naissance, âge, état civil, sexe, nationalité, langue maternelle, caractéristiques physiques ou anthropométriques. Conditions sociales et familiales : Situation familiale, charges et références familiales, licences, permis, autorisations, hobbys et style de vie. Personnalité : Évaluations de profils, comportements et attitudes. Académiques et professionnelles : Formation, diplômes, profession et expérience professionnelle, appartenance à des ordres ou des associations professionnelles, adresse électronique, numéro d´identification, références hiérarchiques. Détails de l´emploi : Catégorie ou poste de travail, informations non économiques de salaire, dossier professionnel et historique de l´employé, expérience dans le domaine professionnel. Syndicales : Affiliation syndicale et/ou appartenance à un comité d´entreprise ou groupement syndical. Économiques, financières et d´assurances : Bancaires, compte courant, revenus, rentes, crédits, prêts, avals, plan de pension et/ou retraite, biens patrimoniaux, informations économiques sur salaire, déduction d´impôts, compensations, indemnisations, assurances, hypothèques, saisies, dettes. Médicales et sanitaires : accidents du travail, degré d´incapacité ou de handicap et/ou degré d´invalidité professionnelle et autres informations associées à l´état de santé. Administratives : procédures administratives, conciliations, réclamations, ressources, sanctions. Judiciaires : procédures judiciaires, réclamations, sanctions. Sociales : aides, subventions ou avantages et prestations d´assistance sociale, indemnités et pensions. d´infrastructure : images de vidéosurveillance. Autres références (catégorie spéciale) : croyances ou convictions religieuses, empreinte digitale et/ou autres données ou modèle biométriques d´identification.

8- Système de traitement Mixte (systèmes informatiques et support papier).
9- Cessions de données

Organisations ou personnes directement associées au responsable. Trésorerie générale de la Sécurité sociale et Agence nationale de l´emploi (SEPE) et autres administrations publiques ayant des compétences en la matière. Établissements bancaires et financiers. Administration fiscale. Mutuelles et entreprises de prévention des risques professionnels. Des entreprises de formation et de gestion des bonifications auprès de la Fondation nationale pour l´emploi. Compagnies d´assurance. Tribunaux. Avocats. Notaires. Forces et corps de sécurité. Comité et/ou délégué/s d´entreprise. Établissements, clients et/ou fournisseurs vis-à-vis desquels il est nécessaire d´identifier les employés ou les utilisateurs. Établissements publics et privés pour la présentation dans le cadre de projets, concours et subventions. Autres légalement prévus. Maison-mère et/ou autres établissements appartenant au groupe d´entreprises pour raisons d´organisation d´entreprise et gestion des ressources humaines. Dans le cas des candidats : pour augmenter les possibilités de souscription.

Transferts internationaux
10- Pays
11-Catégorie destinataires
12-Entreprise
13-Base légale
14-Délais de suppression des données Structure/Assimilés/Stagiaires : Les données seront conservées pendant la durée de validité de la relation. Au terme de la relation, les informations professionnelles seront conservées bloquées pendant les délais exigés légalement pour répondre à d'éventuelles responsabilités ; hormis le prénom et le nom, poste de travail et dates d'entrée et de départ qui seront conservés en tant que registre historique pour une durée indéterminée sur la base d'un intérêt légitime de l'entreprise. Employés ETT : Pendant la durée de validité du contrat de mise à disposition avec l'ETT, et au terme de celui-ci, elles seront conservées bloquées pendant les délais légalement prévus pour répondre à d'éventuelles responsabilités ou pour établir un nouveau contrat. L'entreprise conservera, sur la base d'un intérêt légitime, le prénom et le nom, poste de travail, motif de fin, et les dates en tant que registre historique à durée indéterminée sur la base de l'Intérêt légitime de l'entreprise. Externes : Pendant la validité du contrat commercial avec l'établissement (employeur), et au terme de celui-ci, les données seront conservées pendant les délais prévus légalement pour répondre à d'éventuelles responsabilités. Candidats : Durant le développement des processus de sélection de personnel, et au terme de celui-ci, pendant 1 année pour les futurs processus. Envois d'informations : jusqu'à ce que soit demandé le désabonnement. Images/Documents audio : tant qu'elles sont publiées dans les médias décrits et qu'elles servent aux fins pour lesquelles elles ont été obtenues, sauf mention contraire.
15- Description générale des mesures techniques et organisationnelles de sécurité
FONCTIONS ET OBLIGATIONS Remettre à tous les utilisateurs selon leur profil, les fonctions et obligations concernant les mesures de sécurité qu'ils doivent respecter, ainsi que les conséquences de leur non-respect.
IDENTIFICATION ET AUTHENTIFICATION Identification et authentification individuelle. Procédure d'assignation et de distribution des mots de passe. Complexité et changement de mots de passe.
CONTRÔLE D'ACCÈS Liste à jour des noms d'utilisateur et d'accès autorisés. Contrôle d'accès autorisés selon les fonctions assignées et les mécanismes qui évitent les accès non autorisés. Concession d'autorisations d'accès uniquement pour le personnel autorisé. Contrôle d'accès physique aux locaux où sont situés les systèmes d'information.
copies de sauvegarde Périodicité de la copie. Procédures de réalisation de copies de secours et de récupération de données. Systèmes de copies de sauvegarde à distance.
GESTION DES SUPPORTS Gestion d'inventaire et identification de supports. Conservation des supports sous clé. Registre de sortie et d'entrée de supports. Mesures pour la destruction de supports.
REGISTRE DES ANOMALIES Registre contenant le type, moment de leur détection, personne qui notifie, effets et mesures correctrices de l'anomalie. Procédure de notification et de gestion des anomalies. Procédures de récupération de données.
AUTRES MESURES TECHNIQUES Utilisation d'anti-virus et de firewalls.
Protecteurs d'écran.
Contrôle pour les accès à distance
Règles d'utilisation du courrier électronique et de l'Internet.
Utilisation de périphériques (imprimantes, photocopieuses et multifonctions).
TRAITEMENTS NON AUTOMATISÉS Application de critères de fichier des documents pour faciliter la consultation, localisation et respect des Droits. Utilisation de dispositifs de stockage avec système de fermeture (clé, code...). Conservation de documents actifs pour éviter tout accès abusif.
RESPONSABLES DE TRAITEMENT Liste de responsables de traitement. Description de services fournis. Adoption de garanties par les responsables.

Domaine Contenu
1- Nom de l'activité Gestion des fournisseurs
2- Responsable du traitement / DPO COLEGIO PROFESIONAL. DE DIPLOMADOS EN ENFERMERÍA DE BURGOS /
3- Finalité du traitement

Gestion de fournisseurs, comptable, fiscale et administrative. 

4- Base juridique du traitement Prestation de service : RGPD 6.1. b) : exécution du contrat.
5- Catégories des intéressés Fournisseurs, personnes de contact et/ou représentants légaux.
6 - Origine des données L´intéressé lui-même ou son représentant légal.
Catégories de données personnelles

Références d´identification et de contact ; économiques, financiers et assurances.

7- Données d'identification

d´identification et de contact : Prénom, nom, document d´identité (CNI, NIE ou passeport), domicile, numéro de téléphone et adresse électronique. Prénom, nom, numéro de téléphone des personnes de contact. Prénom, nom et signature de représentants légaux.

Économiques, financières et d´assurances : Références bancaires.

8- Système de traitement Mixte (systèmes informatiques et support papier).
9- Cessions de données

Organisations ou personnes directement associées au responsable. Administrations publiques avec des compétences en la matière. Administration fiscale. Établissements bancaires. Autres légalement prévus.

Transferts internationaux
10- Pays
11-Catégorie destinataires
12-Entreprise
13-Base légale
14-Délais de suppression des données Les données seront conservées tant que dure la relation, et à son terme, selon les délais légalement prévus pour répondre à d´éventuelles responsabilités.
15- Description générale des mesures techniques et organisationnelles de sécurité
FONCTIONS ET OBLIGATIONS Remettre à tous les utilisateurs selon leur profil, les fonctions et obligations concernant les mesures de sécurité qu'ils doivent respecter, ainsi que les conséquences de leur non-respect.
IDENTIFICATION ET AUTHENTIFICATION Identification et authentification individuelle. Procédure d'assignation et de distribution des mots de passe. Complexité et changement de mots de passe.
CONTRÔLE D'ACCÈS Liste à jour des noms d'utilisateur et d'accès autorisés. Contrôle d'accès autorisés selon les fonctions assignées et les mécanismes qui évitent les accès non autorisés. Concession d'autorisations d'accès uniquement pour le personnel autorisé. Contrôle d'accès physique aux locaux où sont situés les systèmes d'information.
copies de sauvegarde Périodicité de la copie. Procédures de réalisation de copies de secours et de récupération de données. Systèmes de copies de sauvegarde à distance.
GESTION DES SUPPORTS Gestion d'inventaire et identification de supports. Conservation des supports sous clé. Registre de sortie et d'entrée de supports. Mesures pour la destruction de supports.
REGISTRE DES ANOMALIES Registre contenant le type, moment de leur détection, personne qui notifie, effets et mesures correctrices de l'anomalie. Procédure de notification et de gestion des anomalies. Procédures de récupération de données.
AUTRES MESURES TECHNIQUES Utilisation d'anti-virus et de firewalls.
Protecteurs d'écran.
Contrôle pour les accès à distance
Règles d'utilisation du courrier électronique et de l'Internet.
Utilisation de périphériques (imprimantes, photocopieuses et multifonctions).
TRAITEMENTS NON AUTOMATISÉS Application de critères de fichier des documents pour faciliter la consultation, localisation et respect des Droits. Utilisation de dispositifs de stockage avec système de fermeture (clé, code...). Conservation de documents actifs pour éviter tout accès abusif.
RESPONSABLES DE TRAITEMENT Liste de responsables de traitement. Description de services fournis. Adoption de garanties par les responsables.