Digitsole prend les mesures de sécurité techniques et organisationnelles suivantes pour protéger les données personnelles :

1. Gestion organisationnelle et personnel spécialisé responsable du développement, de la mise en œuvre et de la maintenance du programme de sécurité de l'information de Digitsole.

2. Procédures d'audit et d'évaluation des risques aux fins d'examen et d'évaluation périodiques des risques pour l'organisation Digitsole, de contrôle et de maintien de la conformité aux politiques et procédures de Digitsole, et de compte rendu de l'état de sa sécurité de l'information et de sa conformité à la haute direction interne.

3. Maintenir les politiques de sécurité de l'information et s'assurer que les politiques et les mesures sont régulièrement révisées et, si nécessaire, les améliorer.

4. La communication avec les applications Digitsole utilise des protocoles cryptographiques tels que TLS pour protéger les informations en transit sur les réseaux publics. A la périphérie du réseau, des pare-feux à état, des pare-feux d'applications web et une protection DDoS sont utilisés pour filtrer les attaques. Au sein du réseau interne, les applications suivent un modèle à plusieurs niveaux qui permet d'appliquer des contrôles de sécurité entre chaque couche.

5. Les contrôles de sécurité des données qui comprennent la séparation logique des données, un accès et une surveillance restreints (par exemple, en fonction du rôle) et, le cas échéant, l'utilisation de technologies de cryptage disponibles dans le commerce et conformes aux normes du secteur.

6. Des contrôles d'accès logiques conçus pour gérer l'accès électronique aux données et aux fonctionnalités du système en fonction des niveaux d'autorité et des fonctions (par exemple, octroi de l'accès sur la base du besoin de savoir et du moindre privilège, utilisation d'identifiants et de mots de passe uniques pour tous les utilisateurs, examen périodique et révocation/modification rapide de l'accès en cas de cessation d'emploi ou de changement de fonctions).

7. Contrôles des mots de passe conçus pour gérer et contrôler la force des mots de passe et leur utilisation, y compris l'interdiction pour les utilisateurs de partager leurs mots de passe.

8. Audit du système ou enregistrement des événements et procédures de surveillance connexes pour enregistrer de manière proactive l'accès des utilisateurs et l'activité du système pour un examen de routine.

9. Sécurité physique et environnementale du centre de données, des installations de la salle de serveurs et des autres zones contenant des informations confidentielles sur les clients, conçue pour : (i) protéger les actifs d'information contre tout accès physique non autorisé, (ii) gérer, surveiller et enregistrer les mouvements des personnes à l'entrée et à la sortie des installations Digitsole, et (iii) se prémunir contre les risques environnementaux tels que la chaleur, le feu et les dégâts des eaux.

10. Procédures et contrôles opérationnels pour assurer la configuration, la surveillance et la maintenance de la technologie et des systèmes d'information conformément aux normes internes prescrites et aux normes industrielles adoptées, y compris l'élimination sécurisée des systèmes et des supports pour rendre toutes les informations ou données qui y sont contenues indéchiffrables ou irrécupérables avant l'élimination finale ou la libération de la possession de Digitsole.

11. Des procédures de gestion des changements et des mécanismes de suivi conçus pour tester, approuver et surveiller tous les changements apportés à la technologie et aux ressources d'information de Digitsole.

12. Des procédures de gestion des incidents / problèmes conçues pour permettre à Digitsole d'enquêter, de répondre, d'atténuer et de notifier les événements liés à la technologie et aux actifs d'information de Digitsole.

13. Les contrôles de sécurité du réseau qui prévoient l'utilisation de pare-feu d'entreprise et d'architectures DMZ en couches, ainsi que des systèmes de détection des intrusions et d'autres procédures de corrélation du trafic et des événements conçues pour protéger les systèmes contre les intrusions et limiter la portée de toute attaque réussie.

14. Évaluation de la vulnérabilité, gestion des correctifs, technologies de protection contre les menaces et procédures de surveillance programmée conçues pour identifier, évaluer, atténuer et protéger contre les menaces de sécurité identifiées, les virus et autres codes malveillants.

15. Des procédures de résilience/continuité des activités et de reprise après sinistre, le cas échéant, conçues pour maintenir le service et/ou assurer la reprise après des situations d'urgence ou des catastrophes prévisibles.