Les Mesures Techniques et Organisationnelles de Sécurité de Ferrero
- 1. CONTROLES GENERAUX
- 1.1. Ferrero a mis en place des politiques de protection des données personnelles qui sont dûment documentées et régulièrement mises à jour.
- 1.2. Les procédures de protection des données personnelles de Ferrero sont formellement documentées et quand cela est nécessaire, elles sont revues périodiquement et justifies avec des objectifs documentés (par exemple, Procès-verbaux de réunions, listes, journaux informatiques), qui peuvent démontrer la diligence et la vigilance constante de Ferrero sur le sujet des données personnelles dans le déroulement des activités effectuées.
- 1.3. Ferrero a nommé à la fois un agent de sécurité et un délégué à la protection des données personnelles (DPD) responsables de la coordination et de la surveillance des règles de sécurité et des procédures, et qui veillent également au respect de la conformité de Ferrero aux règles de protection des données personnelles.
- 2. DROITS DES PERSONNES CONCERNEES SUR LEURS DONNEES (ART. 15 et seq. RGPD)
- 2.1. Les employés de Ferrero sont conscients des procédures concernant l’exercice des droits d’accès des personnes concernées à leurs données, et pour transmettre les demandes pour exercer ce droit d’accès au contrôleur de données.
- 2.2. Ferrero conserve un registre général où sont enregistrées ces demandes, par exemple, d’exercer ce droit d’accès.
- 2.3. Ferrero a nommé une personne/fonction (le DPD) en charge de fournir des explications écrites au contrôleur de données en ce qui concerne les demandes des personnes concernées.
- 2.4. Ferrero défini une date limite pour communiquer ces demandes au contrôleur des données.
- 2.5. Ferrero a une procédure pour documenter, à l’écrit, tout refus formulé aux demandes des personnes concernées, d’exercer leurs droits de suppression, de restriction du traitement ou de la portabilité des données, et de partager cette documentation avec le contrôleur des données.
- 3. POLITIQUE DE CONFIDENTIALITE (ART. 13 RGPD) (Quand cela est applicable)
- 3.1. Les employés de Ferrero ainsi que les autres personnes responsables de la mise en place des politiques de confidentialité / avis de protections des données personnelles et/ou de recueillir le consentement des personnes concernées, au nom du responsable du traitement des données, ont été spécialement formés aux règles de protections des données personnelles.
- 3.2. Ferrero vérifie périodiquement le comportement des employés et des autres personnes quand elles répondent aux demandes des personnes concernées.
- 3.3. Lors de la présentation de politiques de confidentialité / avis de protection des données personnelles aux personnes concernées, les employés de Ferrero et les autres personnes responsables sont capables d’informer clairement les personnes concernées de leurs droits de manière orale ou écrite.
- 3.4. Ferrero conserve un enregistrement de toutes les sources desquelles elle obtient des données personnelles.
- 4. PERSONNES AUTORISEES (ART. 29 RGPD)
- 4.1. Ferrero a effectué des nominations officielles pour toutes les personnes autorisées, soit individuellement ou dans le cadre de parties homogènes.
- 4.2. Toutes les personnes autorisées ont reçu des instructions écrites sur la manière de traiter et protéger les données personnelles.
- 4.3. Ferrero conserve une liste à jour des personnes autorisées, et toutes les personnes autorisées reçoivent une formation adaptée à la protection des données personnelles. Cette formation est documentée de manière appropriée.
- 4.4. Les privilèges d’accès accordés aux personnes autorisées sont adéquates et mises à jour. Les instructions données aux personnes autorisées sont mises à jour. Cela est périodiquement confirmé.
- 5. FORMATION
- 5.1. Les nouveaux arrivants reçoivent une formation appropriée avant de commencer à traiter des données personnelles.
- 5.2. L’intégrité et la fiabilité des employés sont évalués avant de leur confier des activités impliquant l’accès à des données personnelles.
- 5.3. Toutes les personnes autorisées reçoivent régulièrement des mises à jour opérationnelles sur la sécurité.
- 5.4. Ferrero distribue des directives à toutes les personnes autorisées.
- 5.5. Ferrero conserve des documentations pour accompagner et démontrer les activités de formations mises en place.
- 6. POLITIQUES DE SECURITE DE L’INFORMATION
- 6.1. Ferrero a défini un ensemble de critères et de politiques pour clarifier sa posture et accompagner la sécurité des informations, mais également des contrôles de sécurité en ce qui concerne les appareils mobiles et de télétravail (comme l’accès à distance ou les espaces de travail virtuels).
- 6.2. Ferrero a défini des rôles et responsabilités séparé pour la sécurité de l’information et les a assigné aux individus approprié, pour éviter les conflits d’intérêt et prévenir toute activité inappropriée.
- 6.3. Ferrero a conclu des accords adéquats avec le (s) sous-traitant (s), qui leur impose de mettre en place des mesures de sécurité techniques et organisationnelles en ce qui concerne la protection des données personnelles.
- 7. SECURITE DES RESSOURCES HUMAINES
- 7.1. Les responsabilités sur la sécurité de l’information sont considéré avant l’embauche, quand il y a un recrutement ou à la sélection des employés, des entrepreneurs et des équipes saisonnières (par exemple, au moyen de descriptions appropriées des postes vacants ou d'un contrôle préalable à l'embauche). Elles sont comprises dans les contrats d'emploi ou d'autres services (par exemple, dans les termes et conditions d'emploi et dans tous les autres accords signés qui définissent les rôles et les responsabilités liés à la sécurité, au moyen d'obligations de conformité, etc.).
- 7.2. Les gestionnaires Ferrero sont en mesure d’assurer que les employés, les sous-traitants et les équipes saisonnières sont au courant qu’elles doivent respecter leurs obligations en matière de sécurité des informations et qu’elles peuvent être sujettes à des mesures disciplinaires, dans le cas où ils seraient responsables d’incidents de sécurité.
- 7.3. Ferrero a mis en place des procédures disciplinaires officielles qui peuvent être déclenchées dans le cas ou des collaborateurs, des sous-traitants ou du personnel temporaire seraient responsables d’un incident de sécurité.
- 7.4. Quand une personne quitte Ferrero, ou quand il y a des changements significatifs de rôles et des responsabilités, tous les aspects en rapport avec la sécurité sont gérés, par des moyens comme par exemple, des obligations de rendre toutes les informations et équipements d’entreprise, une mise à jour de leurs droits et autorisations d’accès et des rappels aux personnes impliquées de leurs obligations en cours à la suite de la fin de leur contrat.
- 7.5. Les personnes autorisées reçoivent des informations spécifiques sur la manière de supprimer ou détruire leurs données stockées dans leurs supports de stockage, avant qu’ils ne soient réutilisés.
- 8. GESTION DES ACTIFS
- 8.1. Ferrero a un inventaire complet de tous ses actifs contenant des informations, et les personnes qui détiennent ces actifs sont identifiés, afin d’assurer la responsabilisation de ces actifs d’information. Ferrero a défini des politiques “d’utilisations acceptables” en ce qui concerne ces actifs.
- 8.2. Les supports de stockage sont gérés, contrôlés, transportés et préparés de sorte que les informations stockées soient préservées.
- 8.3. Ferrero a un nombre adapté de conteneurs sûrs, distribués de manière adéquate et disponible aux personnes en charge de la détention (même temporaire) d’informations personnelles quel que soit leur forme (papier, électronique ou autres).
- 8.4. Ferrero a implémenté des contrôles pour éviter que les documents contenant certaines catégories de données personnelles ne soient laissés dans surveillance, quand ils sont confiés à des personnes autorisées et enlevés de leurs archives protégées.
- 8.5. Le personnel autorisé peut facilement accéder et utiliser un déchiqueteur de documents papier.
- 8.6. Ferrero a mis en place une politique adaptée sur l’utilisation, le stockage et la destruction des documents papier.
- 8.7. Les documents papier contenant des catégories spécifiques de données personnelles sont effacés ou détruits avant d’être réutilisés.
- 9. CONTRÔLES D'ACCÈS
- 9.1. Les exigences organisationnelles de Ferrero en place sur le contrôle d’accès aux actifs d’informations sont clairement documentées dans les procédures/politiques d’accès de contrôle d’accès, et l’accès au réseau Ferrero et les connexions sont restreintes.
- 9.2. Les utilisateurs sont au courant de leurs responsabilités quant à la maintenance des contrôles d’accès, comme le fait de choisir des mots de passe complexes et de les garder confidentiels.
- 9.3. L’accès à l’information est restreinte en conformité avec les procédures/politiques de contrôle d’accès de Ferrero, comme par exemple au moyen de systèmes de connexions sécurisés, gestion des mots de passe, de contrôles d’accès privilégiés et de restrictions d’accès aux codes sources.
- 9.4. Ferrero contrôle l’accès aux zones sensibles. Les personnes accédant à ces zones sensibles doivent obtenir au préalable une autorisation.
- 9.5. Les zones sensibles sont équipées avec des outils de contrôle d’accès électroniques, ou sujettes à une supervision appropriée.
- 9.6. Ferrero examine fréquemment les journaux d’accès aux zones sensibles comme les salles des serveurs pour repérer les accès injustifiés.
- 10. SECURITE PHYSIQUE ET ENVIRONNEMENTALE
- 10.1. Ferrero a clairement défini des périmètres physiques et des barrières, avec des contrôles d’accès physiques et des procédures internes pour protéger ses locaux, bureaux, salles, zones de chargement et de déchargement, etc… contre les accès non autorisés (des protections contre les feux, les inondations, les tremblements de terre, les bombes, etc…).
- 10.2. Ferrero peut confirmer que les équipements et/ou les informations ne sont pas extraites des locaux sans autorisation préalable et convenablement protégés que ce soit à l’intérieur ou à l’extérieur des locaux.
- 10.3. Les informations contenues dans les supports de stockage sont détruites, avant d’être déployés ou réutilisés.
- 10.4. Tout équipement sans surveillance est protégé, une place spécifique et une politique de contrôle claire pour ces équipements existe.
- 11. SÉCURITÉ OPÉRATIONNELLE
- 11.1. Des contrôles des logiciels malveillants ont été mis en place et sont entretenus.
- 11.2. Des sauvegardes appropriées sont effectuées et entretenues, en accord avec la politique de Ferrero sur les sauvegardes.
- 11.3. Les sauvegardes sont testées. Les résultats sont documentés et enregistrés.
- 12. AUTHENTIFICATION ET SURVEILLANCE
- 12.1. Les systèmes de chronométrage sont synchronisés pour assurer la cohérence temporelle et le suivi des données.
- 12.2. Ferrero suit le principe de moindre privilège, l’accès est autorisé aux utilisateurs sur la base de leurs fonctions de travail.
- 13. GESTION TECHNIQUE DE LA VULNERABILITE
- 13.1. Ferrero peut confirmer qu’un processus de gestion des vulnérabilités a été développé pour identifier les failles de sécurité en utilisant des sources externes de confiance, pour les informations vulnérables et affecter une classification des risques aux vulnérabilités de sécurité.
- 13.2. Les composants du système et les mises à jour logicielles liés à la correction des vulnérabilités connues sont évalués, afin de déterminer l’applicabilité, testé avant l’installation si cela correspond, et mis en œuvre en temps opportun.
- 13.3. Des règles relatives à l’installation par les utilisateurs de logiciels ont été mises en place, pour éviter la création de nouvelles vulnérabilités.
- 13.4. Ferrero a défini et mis en place un processus de tests de pénétration au niveau des applications et des infrastructures.
- 14. SÉCURITÉ DES COMMUNICATIONS
- 14.1. La sécurité du réseau et des services réseaux de Ferrero sont protégés, par exemple, au moyen d’une séparation du réseau.
- 14.2. Ferrero a mis en place des mesures de sécurité pour contrôler les communications aux frontières internes et externes de l’infrastructure.
- 14.3. Ferrero a mis en place des politiques, des procédures et des accords (par exemple, des accords de non-divulgation), sur le transfert des informations en provenance ou à destination des troisièmes parties, cela inclus les messages électroniques.
- 14.4. Ferrero a mis en place des chaînes sécurisées (par exemple, des protocoles de cryptage en cas de connexion au réseau d’entreprise, et/ou des VPN en cas de connexion à distance) pour les communications entre les systèmes d’information et le réseau d’entreprise.
- 15. ACQUISITION, DÉVELOPPEMENT ET ENTRETIEN DU SYSTÈME
- 15.1. Ferrero analyse et précise les exigences de contrôles de sécurité, cela inclus les applications web et les transactions.
- 15.2. Les règles régissant la sécurité des logiciels / systèmes de développement sont définies en accord avec la politique interne de Ferrero.
- 15.3. Les modifications sont gérées, effectuées, revues et approuvées (idéalement à l’aide d’un outil) dans un environnement dédié avant d’être migrer en production.
- 15.4. Les modifications apportées à la configuration des paramètres des applications sont approuvées avant leur implémentation, et sont validées avant d’être effectuées.
- 15.5. Les progiciels ne sont pas modifiés, et les principes d'ingénierie sur la sécurité du système sont respectés.
- 15.6. Les environnements de développement, de test et de production sont séparés afin d’éviter des accès non autorisés ou des modifications aux systèmes de production ou aux référentiels de code.
- 15.7. Toutes les données de test sont sélectionnées, générées et contrôler avec soin.
- 16. RELATIONS AVEC LES FOURNISSEURS
- 16.1. Ferrero a mis en place des politiques, des procédures, des activités de sensibilisations, etc…, afin de protéger les informations organisationnelles qui sont accessibles aux sous-traitants informatiques et aux autres fournisseurs externes (qu’ils soient ou non des sous-traitants) à travers toute la chaîne d’approvisionnement. Ceux-ci se traduisent par des accords écrits signés avec ces entités.
- 16.1. Ferrero a mis en place des politiques, des procédures, des activités de sensibilisations, etc…, afin de protéger les informations organisationnelles qui sont accessibles aux sous-traitants informatiques et aux autres fournisseurs externes (qu’ils soient ou non des sous-traitants) à travers toute la chaîne d’approvisionnement. Ceux-ci se traduisent par des accords écrits signés avec ces entités.
- 17. GESTION DES INCIDENTS DE SÉCURITÉ DE L'INFORMATION
- 17.1. Ferrero a mis en place des procédures et des obligations pour gérer (rapporter, évaluer, répondre et apprendre) les événements de sécurité de l'information, les incidents et les vulnérabilités, y compris les violations de données personnelles, d'une manière cohérente et efficace, afin de permettre la notification en temps opportun au responsable du traitement des données, ainsi que la collecte de preuves judiciaires appropriées si nécessaire.
- 17.1. Ferrero a mis en place des procédures et des obligations pour gérer (rapporter, évaluer, répondre et apprendre) les événements de sécurité de l'information, les incidents et les vulnérabilités, y compris les violations de données personnelles, d'une manière cohérente et efficace, afin de permettre la notification en temps opportun au responsable du traitement des données, ainsi que la collecte de preuves judiciaires appropriées si nécessaire.
- 18. ASPECTS DE LA SÉCURITÉ DE L'INFORMATION CONCERNANT LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS
- 18.1. Ferrero a prévu la continuité de la sécurité des informations, implémenté, testé et revue en tant que partie intégrante de ses systèmes de gestion, de la continuité des opérations.
- 18.2. Ferrero a une redondance suffisante, afin de répondre aux exigences de disponibilité.
- 19. COMFORMITÉ
- 19.1. Ferrero a identifié et documenté ses obligations de sécurité de l'information envers les autorités ( y compris les autorités de surveillance) et les autres parties tierce, y compris en ce qui concerne la propriété intellectuelle, les archives d’entreprise ou autres, la confidentialité et le cryptage.
- 19.1. Ferrero a identifié et documenté ses obligations de sécurité de l'information envers les autorités ( y compris les autorités de surveillance) et les autres parties tierce, y compris en ce qui concerne la propriété intellectuelle, les archives d’entreprise ou autres, la confidentialité et le cryptage.
Dernière mise à jour : Juin 2018