Politique de sécurité de l’information

1. Version 9.1: Approbation et entrée en

Texte approuvé le 4 février 2025 par la Direction générale.

La présente politique de sécurité de l’information entre en vigueur à compter de cette date et jusqu’à ce qu’elle soit remplacée par une nouvelle politique.

2. Introduction

Ce document définit la politique de sécurité de l’information des entités Ivnosys Soluciones S.L. (Unipersonal) et Signaturit Solutions S.L. (Unipersonal), qui appartiennent au « Groupe Signaturit » et qui considèrent cette politique de sécurité de l’information comme l’ensemble des principes de base et des lignes d’action que les deux organisations s’engagent à respecter, dans le cadre de la norme ISO/IEC 27001:2022 et du système national de sécurité (ENS). Dans le présent document, les deux entités seront désignées par le terme « l’organisation ».

L’organisation dépend des systèmes TIC (technologies de l’information et de la communication) pour atteindre ses objectifs. Ces systèmes doivent être gérés avec diligence, en prenant les mesures appropriées pour les protéger contre les dommages accidentels ou délibérés qui pourraient affecter la disponibilité, l’intégrité ou la confidentialité des informations traitées ou des
services fournis.

L’information est un actif critique, essentiel et de grande valeur pour le développement de l’activité de l’organisation. Ce bien doit être protégé de manière adéquate, quels que soient les formats, les supports, les moyens de transmission, les systèmes ou les personnes impliquées dans sa connaissance, son traitement ou sa transformation.

L’objectif de la sécurité de l’information est de garantir la qualité de l’information et la fourniture continue de services en agissant de manière préventive, en surveillant l’activité quotidienne et en réagissant rapidement aux incidents, afin ‘assurer la qualité de l’information et la continuité des activités, de minimiser les risques et de maximiser le retour sur investissement et les
opportunités commerciales.

Les systèmes TIC doivent être protégés contre les menaces qui évoluent rapidement et qui peuvent avoir une incidence sur la confidentialité, l’intégrité, la disponibilité, l’utilisation prévue et la valeur des informations et des services. La défense contre ces menaces nécessite une stratégie qui s’adapte à l’évolution de l’environnement afin de garantir continuité de la fourniture des
services. Cela implique que les services doivent mettre en oeuvre les mesures minimales suivantes

Il s’agit également de contrôler en permanence les niveaux de prestation de services, de suivre et d’analyser les vulnérabilités signalées et de préparer une réponse efficace aux incidents afin d’assurer la continuité des services fournis.

Les différents services doivent veiller à ce que la sécurité des TIC fasse partie intégrante de chaque étape du cycle de vie du système, de sa conception à son démantèlement, en passant par les décisions de développement et le déploiement.
les activités de passation de marchés et les activités opérationnelles. Les exigences en matière de sécurité et les besoins de financement doivent être identifiés et inclus dans la planification, dans les appels d’offres auprès des fournisseurs et dans les mémorandums techniques pour les projets TIC.

Les départements doivent être prêts à prévenir, détecter, réagir et se remettre des incidents, conformément à l’article 8 de l’ENS et au système de continuité des activités de la norme ISO 22301.

Cet article prévoit ce qui suit :

Article 8 : Prévention, réaction et rétablissement.

  1. La sécurité du système doit comprendre des actions de prévention, de détection et de réaction afin de minimiser ses vulnérabilités et de garantir que les menaces qui pèsent sur lui ne se concrétisent pas ou, si elles se concrétisent, n’affectent pas gravement les informations qu’il traite ou les services qu’il fournit.
  2. Les mesures préventives, qui peuvent comprendre des éléments visant à dissuader ou à réduire la zone d’exposition, devraient éliminer ou réduire la probabilité que les menaces se concrétisent.
  3. Les mesures de détection viseront à déceler la présence d’un cyberincident.
  4. Les mesures d’intervention, qui seront gérées en temps utile, viseront à rétablir les informations et les services susceptibles d’avoir été affectés par un incident de sécurité.
  5. Sans préjudice des autres principes de base et exigences minimales prévus, le système d’information garantit que les données et les informations sont conservées sous forme électronique.

De même, le système maintiendra les services disponibles tout au long du cycle de vie de l’information numérique, grâce à une conception et à des procédures qui constituent la base de la préservation du patrimoine numérique.

La direction de l’organisation, consciente de la valeur de l’information, est profondément attachée à la politique décrite dans le présent document.

2.1 La Prévention

Les départements doivent éviter, ou du moins empêcher autant que possible, que des informations ou des services compromis par des incidents de sécurité. À cette fin, les départements doivent mettre en oeuvre les mesures de sécurité minimales déterminées par l’ENS, ainsi que tout contrôle supplémentaire identifié par une évaluation des menaces et des risques. En outre,
et dans l’intention manifeste de renforcer cette prévention, les départements doivent également mettre en oeuvre toutes les exigences nécessaires pour se conformer à la norme ISO/IEC 27001:2022. Ces contrôles, ainsi que les rôles et responsabilités de l’ensemble du personnel en matière de sécurité, devraient être clairement définis et documentés.

Pour assurer la conformité avec la politique, les services doivent :

  • Autoriser les systèmes avant leur mise en service.
  • Évaluer régulièrement la sécurité, y compris les changements de configuration effectués régulièrement.
  • Demander un examen périodique par des tiers afin d’obtenir une évaluation indépendante.

2.2 Détection

Étant donné que les services peuvent se dégrader rapidement en raison d’incidents, allant d’un simple ralentissement à une
immobilisation, les services doivent surveiller l’exploitation en permanence afin de détecter les anomalies dans les niveaux de
fourniture de services et d’agir en conséquence, conformément aux dispositions de l’article 10.
une réévaluation continue et périodique. qui stipule ce qui suit :

  1. La surveillance continue permettra de détecter les activités ou les comportements anormaux et d’y répondre en temps utile.
  2. L’évaluation continue de l’état de sécurité des biens permettra de mesurer leur évolution, de détecter les vulnérabilités et d’identifier les lacunes de configuration.
  3. Les mesures de sécurité sont réévaluées et mises à jour périodiquement et leur efficacité est adaptée à l’évolution des risques et des systèmes de protection, ce qui peut conduire à un réexamen de la sécurité si nécessaire.

La surveillance est particulièrement importante lors de l’établissement des lignes de défense conformément à l’article 9 de l’ENS. Des mécanismes de détection, d’analyse et de notification doivent être mis en place pour atteindre les responsables de manière régulière et lorsqu’un écart significatif par rapport aux paramètres préétablis comme normaux se produit.

L’article 9 stipule que

  1. Le système d’information doit disposer d’une stratégie de protection composée de plusieurs couches de sécurité, organisées de manière à ce que, lorsque l’une des couches est compromise, elle le permette :
    • a) Développer une réaction adéquate aux incidents qui n’ont pu être évités, réduisant ainsi la probabilité que le système dans
      son ensemble soit compromis.
    • b) Minimiser l’impact final sur celui-ci.
  2. Les lignes de défense doivent consister en des mesures de nature organisationnelle, physique et logique.

2.3 Réponse

Les départements devraient :

  • Mettre en place des mécanismes pour répondre efficacement aux incidents de sécurité.
  • Désigner un point de contact pour les communications relatives aux incidents détectés dans d’autres départements ou d’autres agences.
  • Établir des protocoles pour l’échange d’informations relatives à l’incident.

Pour tout type de communication, interne et/ou externe, le plan de communication, publié dans le système de gestion du groupe
Signaturit (Espagne), élaboré par l’organisation, doit être suivi.

2.4 Récupération

Pour garantir la disponibilité des services essentiels, l’organisation dispose d’un plan général de continuité des activités (BCP), publié dans le système de gestion, qui évalue les scénarios de catastrophe possibles et la stratégie de récupération, et établit des plans d’urgence qui sont revus périodiquement.

3. Sensibilisation

La présente politique de sécurité s’applique aux systèmes d’information qui soutiennent les processus d’installation et d’exploitation
des services en nuage de confiance suivants :

  1. Recevoir automatiquement des notifications électroniques.
  2. Communications électroniques entre organisations avec preuves électroniques des différentes transactions.
  3. Gestion centralisée des clés cryptographiques (certificats numériques) et des services web pour les communications et les preuves électroniques, émission et gestion d’horodatages.
  4. Gestion du cycle de vie des certificats.
  5. Authentification et vérification de l’identité à l’aide de données biométriques et de l’identification vidéo
  6. « CPD externe à Paterna (Valence), à Murcia et AWS Services ».

La politique de sécurité de l’information est approuvée par la direction de l’organisme et son contenu ainsi que celui des règles
et procédures qui la développent sont obligatoires :

  • Tous les utilisateurs ayant accès aux informations traitées, gérées ou détenues par l’organisation ont l’obligation et le devoir de les sauvegarder et de les protéger.
  • La politique et les règles de sécurité de l’information sont adaptées à l’évolution des systèmes et des technologies ainsi qu’aux changements organisationnels et sont alignées sur la norme ISO/IEC 27001:2022 et sur le plan national de sécurité.
  • Les mesures de sécurité et les contrôles mis en place doivent être proportionnés à la criticité des informations à protéger et à leur classification.
  • Les mesures disciplinaires nécessaires sont prises à l’encontre des personnes qui enfreignent gravement le contenu de politique de sécurité de l’information ou les règles et procédures complémentaires.

4. Objectif

Comme nous l’avons déjà mentionné, l’objectif de cette politique de sécurité de l’information est de protéger les actifs
informationnels du groupe Signaturit (Espagne), en garantissant leur disponibilité, leur intégrité et leur confidentialité,
l’authenticité et la traçabilité des informations et des installations, systèmes et ressources qui les traitent, les gèrent, les
transmettent et les stockent, toujours conformément aux exigences de l’entreprise et à la législation en vigueur.

5. Objectifs de la Mission et du Cadre

L’information doit être protégée tout au long de son cycle de vie, depuis sa création jusqu’à son effacement ou sa destruction. À cette fin, les principes minimaux suivants sont établis :

  • Les systèmes d’information ne sont accessibles qu’aux utilisateurs, organes et entités ou processus expressément autorisés à cet effet.
  • Un engagement en faveur de l’amélioration continue du SMSI doit être pris.
  • Un niveau de disponibilité des systèmes d’information doit être garanti et les plans et mesures nécessaires doivent être mis en place pour assurer la continuité des services et la reprise après un incident grave.
  • Un processus continu d’analyse et de traitement des risques sera défini comme le mécanisme sur lequel la gestion de la sécurité des systèmes d’information devrait être fondée.
  • Des lignes de travail seront développées pour prévenir les incidents liés à la sécurité des TIC.
  • Les services seront contrôlés en permanence afin de détecter les anomalies dans les niveaux de prestation et d’agir en conséquence.
  • Le degré de conformité avec les améliorations de sécurité planifiées sur une base annuelle et le degré d’efficacité des contrôles de sécurité des TIC en place seront analysés, en vue de proposer de manière proactive de nouvelles actions d’amélioration.
  • L’ensemble du personnel de l’organisation sera sensibilisé à ses devoirs et obligations en matière de traitement sécurisé de l’information et tous ceux qui gèrent et administrent les systèmes d’information et de télécommunications seront formés aux questions spécifiques de sécurité des TIC.

6. Cadre Réglementaire

  • Loi 39/2015, du 1er octobre, sur la procédure administrative commune des administrations publiques. Loi 40/2015, du 1er octobre, sur le régime juridique du secteur public.
  • RD 1671/2009 du 6 novembre 2009 [application partielle de la loi 11/2007].
  • Décret royal 311/2022 du 3 mai, qui régit le régime de sécurité nationale.
  • Loi organique 3/2018, du 5 décembre, sur la protection des données à caractère personnel et la garantie des droits numériques.
  • Les différentes séries CCN-STIC-400/800, qui établissent des politiques, des procédures et des recommandations appropriées pour la mise en oeuvre des mesures prévues dans le schéma de sécurité nationale (RD 3/2010).
  • ISO/IEC 27001:2022.
  • Décret législatif royal 1/1996, du 12 avril 1996, approuvant le texte révisé de la loi sur la propriété intellectuelle, régularisant, clarifiant et harmonisant les dispositions légales en vigueur en la matière.
  • Loi 2/2019 du 1er mars 2019, qui modifie le texte révisé de la loi sur la propriété intellectuelle, approuvée par le décret royal législatif 1/1996 du 12 avril 1996, et qui incorpore dans l’ordre juridique espagnol la loi sur la propriété intellectuelle.
  • Directive 2014/26/UE du Parlement européen et du Conseil du 26 février 2014 et directive (UE) 2017/1564 du Parlement européen et du Conseil du 13 septembre 2017.
  • Décret-loi royal 14/2019 du 31 octobre, adoptant des mesures urgentes pour des raisons de sécurité publique dans les domaines de l’administration numérique, des marchés publics et des télécommunications.
  • Loi 6/2020, du 11 novembre, réglementant certains aspects des services de confiance électroniques.
  • Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et prévoyant abroge la directive 1999/93/CE.
  • Ordonnance ETD/465/2021, du 6 mai, réglementant les méthodes d’identification vidéo à distance pour la délivrance de certificats électroniques qualifiés.
  • Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 relative à des mesures visant à assurer un niveau commun élevé de cybersécurité dans l’ensemble de l’Union, modifiant la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 relative à des mesures visant à assurer un niveau commun élevé de cybersécurité dans l’ensemble de l’Union, modifiant la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 relative à des mesures visant à assurer un niveau commun élevé de cybersécurité dans l’ensemble de l’Union, modifiant la directive…
  • Règlement (UE) n° 910/2014 et directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148 (directive ISR 2).
  • Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 relative à des mesures visant à assurer un niveau commun élevé de cybersécurité dans l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148 (directive SRI 2).

7. Organisation de la Sécurité

7.1 Comités

Le groupe Signaturit (Espagne) dispose d’une procédure de gestion et d’organisation des responsabilités internes et externes en matière de sécurité de l’information, qui détermine le comité du système de gestion, dont la mission principale est l’approbation, la supervision de la conformité, la gestion et la diffusion des règles et des politiques de l’organisation, ainsi que le suivi et la gestion des incidents et des risques présents, dans le domaine de la sécurité de l’information. la sécurité de l’information.

Les fonctions du comité SG sont définies dans le système de gestion de l’organisation.

Le comité SG se réunit au moins tous les six mois et ses membres obligatoires sont la direction générale, le CTO, le CISO, le responsable informatique et la personne responsable du système de gestion.

Il n’existe pas encore d’obligation de disposer en usine d’un Délégué à la Protection des Données (DPO), en conformité avec la norme dictée par le RGPD, de manière volontaire et due aux services que l’organisation doit effectuer, si nous sommes disposés en usine d’un DPO/Privacy Officer.

En outre, tou
s les autres responsables dont l’intervention est nécessaire parce qu’ils sont concernés par le système de sécurité nationale, par le RGPD ou par toute autre réglementation relative à la sécurité nationale sont également concernés. la sécurité de l’information, , entre autres, le gestionnaire de services et l’administrateur de sécurité.

7.2 Rôles : Fonctions et Responsabilités

Étant donné que la sécurité doit impliquer tous les membres de l’organisation, comme le prévoient l’article 11 et l’annexe II de l’ENS, section 3.1, la politique de sécurité doit définir clairement les responsabilités en matière de conformité et être portée à la connaissance de tous les membres de l’organisation.

Le système de gestion du groupe Signaturit (Espagne) comporte une section permettant d’identifier les personnes qui assument les rôles composant le comité du SG et leurs fonctions spécifiques. Les rôles définis et leurs responsabilités sont détaillés cidessous :

7.2.1 Direction Générale

Approuver les mesures et les budgets.

Veiller au respect du système.

Faire preuve de leadership et d’engagement à l’égard du système de gestion de la sécurité de l’information.

Veiller à ce que la politique et les objectifs en matière de sécurité de l’information soient établis et compatibles avec l’orientation stratégique de l’organisation.

Rencontrer au moins deux fois par an, et chaque fois qu’un événement ou une demande extraordinaire l’exige, les responsables de la sécurité et du système, afin d’être informé sur le SGSI et de mettre à jour la stratégie de sécurité de l’information.

Favoriser une culture d’entreprise en matière de sécurité de l’information, en promouvant la sensibilisation.

Soutenir l’amélioration continue des processus et des projets de sécurité de l’information.

Veiller à ce que les ressources soient disponibles pour assurer le respect de la politique de sécurité de l’information, de la politique de sécurité de l’information, du les règles d’utilisation des systèmes et de fonctionnement du SMSI.

Déterminer les mesures, disciplinaires ou autres, qui peuvent être prises à l’encontre des responsables de violations de la sécurité.

7.2.2 CTO

Approuver les mesures et les budgets.

Veiller au respect du système.

Faire preuve de leadership et d’engagement à l’égard du système de gestion de la sécurité de l’information.

Réunir deux fois par an, et chaque fois qu’un événement ou une demande extraordinaire l’exige, au moins le responsable de la sécurité et le responsable du système, afin d’être informé sur le SGSI et de mettre à jour la stratégie de sécurité de l’information.

Favoriser une culture d’entreprise en matière de sécurité de l’information, en promouvant la sensibilisation.

Soutenir l’amélioration continue des processus et des projets de sécurité de l’information.

Veiller à ce que les ressources soient disponibles pour assurer le respect de la politique de sécurité de l’information, des règles d’utilisation des systèmes et du fonctionnement du SMSI.

Définir l’approche de l’analyse et de la gestion des risques liés à la sécurité de l’information et les critères de prise de risque, et assurer l’évaluation des risques au moins une fois par an.

Veiller à ce que des audits internes de la sécurité de l’information soient réalisés et que leurs résultats soient examinés afin d’identifier les possibilités d’amélioration.

Déterminer les mesures, disciplinaires ou autres, qui peuvent être prises à l’encontre des responsables de violations de la sécurité.

Contacter les autorités compétentes en cas d’incidents ou de violations de la sécurité.

7.2.3 Chef du SG

Mettre en oeuvre, développer et maintenir le système de gestion.

Coordonner la gestion de la qualité, la sécurité de l’information, les services et la continuité des activités dans l’ensemble de l’entreprise.

Définir et développer un ensemble de procédures de gestion de la qualité, de la sécurité, des services et de la continuité des activités, ainsi que les normes qui les soutiennent.

Fournir des conseils sur tous les aspects procéduraux de la gestion de la qualité, de la sécurité de l’information, des services et de la continuité des activités.

Identifier tout problème affectant la qualité des produits et des services. Enquêter sur tous les incidents de sécurité qui surviennent en collaboration avec le responsable des systèmes.

Lancer des actions pour prévenir et/ou corriger les non-conformités et veiller à ce que ces actions soient menées à bien.

Veiller à ce que la sensibilisation aux exigences des clients soit encouragée à tous les niveaux de l’organisation.

Maintenir et réviser les processus, les procédures documentées et les instructions de travail relatifs à la qualité, à la sécurité de l’information, aux services et à la continuité des activités.

Rédiger, en collaboration avec le responsable de la sécurité, la documentation relative à la sécurité.

Rendre compte à la direction générale des performances du système de gestion, du degré de réalisation des objectifs et de tout besoin d’amélioration.

Développer des programmes de sensibilisation et de formation à la gestion de la qualité et de la sécurité pour les employés de l’entreprise. surveiller l’efficacité des contrôles mis en place pour assurer la sécurité de l’information proposer des plans d’amélioration et faire approuver les investissements qu’ils peuvent entraîner.

Suivi du cycle de vie des systèmes : spécification, architecture, développement, exploitation, modifications.

Coordonner et contrôler la mise en oeuvre des projets de conformité à la norme ISO/IEC 27001:2022 et aux normes ENS, en collaboration avec le responsable de la sécurité.

Effectuer des exercices et des tests sur les procédures opérationnelles de sécurité et les plans de continuité existants. Apporter un soutien à :

  • Analyse des risques.
  • Projets liés à la sécurité.
  • Mise en oeuvre et maintien des processus nécessaires au système de gestion de la qualité et de la sécurité de l’information.
  • Audits.
  • Incorporation des exigences en matière de sécurité de l’information dans les contrats et les accords.
  • Élaboration de plans de continuité des activités au sein de l’organisation.
  • Mesurer la satisfaction du client.

7.2.4 RSSI

Définir, développer et superviser l’ensemble des procédures et des instructions techniques relatives à la sécurité de l’information pour soutenir le système de gestion.

Maintenir et réviser la documentation technique relative à la sécurité de l’information, les procédures documentées et les instructions de travail.

Contrôler le respect de la présente politique et la configuration de la sécurité des systèmes.

Coordonner les processus de gestion liés à la sécurité de l’information, en collaboration avec le chef du SG. Fournir des conseils sur tous les aspects techniques de la gestion de la sécurité de l’information.

Identifier tout problème affectant la sécurité des produits et des services.

Enquêter sur tous les incidents de sécurité qui se produisent et les signaler à la personne responsable du système de gestion.

Mettre en oeuvre les actions techniques correctives et préventives nécessaires à la suite de non-conformités.

Maintenir et réviser la documentation technique relative à la sécurité de l’information, les procédures documentées et les instructions de travail.

Contrôler l’efficacité des contrôles mis en place pour garantir la sécurité de l’information.

Signer la déclaration d’applicabilité, qui contient la liste des mesures de sécurité sélectionnées pour un système.

Mettre en place des mesures de sécurité adéquates et efficaces pour répondre aux exigences de sécurité établies par la direction, en respectant à tout moment les exigences de l’annexe II de l’ENS, en déclarant l’applicabilité de ces mesures et de la norme ISO/IEC 27001:2022. promouvoir les activités de sensibilisation et de formation à la sécurité dans leur domaine de responsabilité Proposer des améliorations à la personne responsable du système de gestion.

Afin de s’acquitter de ses fonctions, le responsable de la sécurité peut solliciter la collaboration des personnes suivantes

Gestionnaire du système.

Il fait office de point de contact avec les administrations publiques auxquelles le groupe Signaturit (Espagne) fournit des services externalisés.

7.2.5 Responsable du Service et Responsable de l’Information

Établir les exigences de sécurité du service, y compris les exigences en matière d’interopérabilité, d’accessibilité et de disponibilité.

Déterminer les niveaux de sécurité du service, en accord avec le responsable de la sécurité et l’administrateur du système.

Maintenir la sécurité des informations traitées et des services fournis par les systèmes d’information dans son domaine de responsabilité.

Approuver toute modification substantielle de la configuration de tout élément du système. suspendre le traitement de certaines informations ou la fourniture d’un service électronique s’il est informé de graves lacunes en matière de sécurité, sous réserve d’un accord préalable avec le responsable de la sécurité et la direction.

En outre, il assumera le rôle de contrôleur de l’information : il sera responsable en dernier ressort de toute erreur ou négligence entraînant un incident de confidentialité ou d’intégrité (en termes de protection des données) et de disponibilité (en termes de protection des données). la sécurité de l’information).

Assurer le bon usage de l’information et donc sa protection. Établir des exigences en matière de sécurité de l’information.

Déterminer les niveaux de sécurité des informations traitées, en évaluant les conséquences d’un impact négatif.

7.2.6 Administrateur de la Sécurité du Système

La mise en oeuvre, la gestion et la maintenance des mesures de sécurité applicables au système d’information.

La gestion des autorisations accordées aux utilisateurs du système, en particulier les privilèges accordés, y compris le contrôle que l’activité effectuée sur le système est conforme à ce qui est autorisé.

La mise en oeuvre de procédures opérationnelles de sécurité.

Veiller à ce que les contrôles de sécurité établis soient strictement respectés et à ce que les procédures approuvées pour la gestion du système d’information soient appliquées.

7.2.7 Responsable Informatique

La gestion, la configuration et la mise à jour, le cas échéant, du matériel et des logiciels sur lesquels reposent les mécanismes et les services de sécurité des systèmes d’information.

Mettre en oeuvre les changements de configuration du système d’information.

Veiller à ce que les contrôles de sécurité établis soient strictement respectés et à ce que les procédures approuvées pour la gestion du système d’information soient appliquées.

Contrôler les installations, modifications et mises à niveau du matériel et des logiciels afin de s’assurer que la sécurité n’est pas compromise et qu’elle est à tout moment conforme aux autorisations pertinentes.

7.2.8 DPD/Responsable de la Protection de la Vie Privée

Informer et former en interne sur la protection des données. Fournir des conseils
sur la protection des données.

Contrôle de la conformité avec le règlement (GDPR).

Participer à toutes les décisions organisationnelles relatives à la protection des données.

Fournir les conseils demandés sur l’analyse d’impact relative à la protection des données et contrôler sa mise en oeuvre conformément à l’article 35 du GDPR – « Analyse d’impact relative à la protection des données ». coopérer avec l’autorité de contrôle, en l’occurrence l’Agence espagnole de protection des données, après coordination avec la direction. servir de point de contact avec l’autorité de contrôle pour les questions relatives au traitement, y compris la consultation préalable
visée à l’article 36 du GDPR, et consulter, le cas échéant, sur toute autre question.

7.3 Examen et Approbation de la Politique de Sécurité de l’Information

Le comité SG a pour mission de réexaminer chaque année la présente politique de sécurité de l’information et de proposer sa révision ou sa mise à jour.

La politique sera approuvée par la direction de l’organisation et, étant donné qu’il s’agit d’un document public conformément à la politique de classification de l’information du groupe Signaturit (Espagne) (disponible dans le système de gestion), elle sera diffusée par le service de communication afin que toutes les parties concernées en aient connaissance, et
mis à la disposition de tiers via le site web de l’organisation : www.signaturit.com

En outre, il peut être réexaminé en cas de changements significatifs affectant la sécurité, les services fournis par l’organisation, les changements réglementaires ou toute autre question pertinente.

8. Politique de Confidentialité Groupe Signaturit (Espagne)

Conformément aux dispositions du règlement applicable en matière de protection des données (RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DE L’UNION EUROPÉENNE (UE)). PARLEMENT EUROPÉEN ET DU CONSEIL sur la protection des personnes physiques à l’égard du traitement données à caractère personnel ou RGPD et la loi organique 3/2018, du 5 décembre, sur la protection des données à caractère personnel et la garantie des droits numériques) Ivnosys Soluciones SLU et Signaturit Solutions sL en sa qualité de responsable du traitement des données à caractère personnel. Traitement ou Contrôleurs conjoints selon le cas et Responsable du traitement des données de ses clients s’engage à :

  • que les données personnelles des clients et des autres employés et collaborateurs seront traitées conformément aux principes de légalité, de loyauté et de transparence. Les données collectées et utilisées le seront de la manière suivante pour des finalités explicites et légitimes. Les données collectées sont pertinentes, adéquates et limitées au regard des finalités
    établies pour ce traitement. Le principe d’exactitude est respecté et toutes les mesures nécessaires sont prises pour leur rectification le cas échéant. Les données ne seront pas conservées plus longtemps que nécessaire au regard des finalités du traitement, sauf pour répondre à des objectifs légaux.
  • que toutes les mesures de sécurité mentionnées dans la présente politique de sécurité de l’information tiennent compte de la protection de la vie privée.
  • pour les données personnelles dont le traitement est effectué en sa qualité de responsable du traitement, les employés s’engagent à respecter et à faire respecter toutes les mesures énoncées dans la présente politique qui peuvent affecter les données personnelles auxquelles ils peuvent avoir accès en raison de leur activité professionnelle, en fonction de leurs
    responsabilités. De même, en ce qui concerne les données personnelles traitées par Signaturit en sa qualité de responsable du traitement, les employés s’engagent à respecter toutes les mesures énoncées dans la présente politique qui peuvent affecter les données personnelles auxquelles ils peuvent avoir accès en raison de leur activité professionnelle. Contrôleur de données.
  • que tant Signaturit que ses employés et collaborateurs externes, lorsque, pour fournir les services contractés par ses clients, elle a besoin d’accéder à des données à caractère personnel dont la conservation et le traitement dans des fichiers sont responsable du client (conditions d’accès aux données pour le traitement) ; les conditions énoncées dans les documents « Activités de traitement à effectuer » de chaque service contracté, qui seront envoyés au client, en tant qu’ANNEXES aux « Conditions applicables à l’accès aux données à caractère personnel », seront appliquées.
  • que tant Signaturit que son personnel et ses collaborateurs externes participent de manière proactive et communiquent, selon les canaux de communication internes et externes établis dans le plan de communication, tout incident ou violation de sécurité dont ils ont connaissance, en particulier ceux qui peuvent affecter les données personnelles, et collaborent à leur gestion et à leur résolution selon le degré de responsabilité qui leur a été attribué.

De même, pour toutes les questions qui ne sont pas expressément incluses dans la présente politique, Signaturit et l’ensemble de son personnel s’engagent à respecter scrupuleusement toutes les dispositions et tous les principes énoncés dans la les règles de protection des données actuellement en vigueur, mentionnées au début de cette section, et les règles qui les modifient ou les remplacent.

Signaturit dispose d’un système de gestion de la sécurité de l’information (SGSI) mettant en oeuvre les meilleures pratiques de gestion de la sécurité de l’information conformément à la norme ISO/IEC 27001:2022 et appliquant à tous les traitements de données qu’elle effectue, dans le cadre des contrats signés avec les clients, les contrôles et mesures visant à garantir la sécurité des données personnelles, sous la responsabilité des clients, dont elle fait l’objet. l’accès aux fins du contrat.

L’organisation garantit qu’elle effectuera les contrôles périodiques et les audits de sécurité nécessaires pour vérifier que les contrôles et les mesures de sécurité en place sont efficaces pour faire face aux risques pour lesquels ils ont été mis en oeuvre dans chaque cas.

9. Gestion des Risques

Tous les systèmes soumis à la présente politique procèdent à une analyse des risques, en évaluant les menaces et les risques auxquels ils sont exposés. Cette analyse est effectuée régulièrement, au moins une fois par an. En outre, elle peut être répétée dans les cas suivants :

  • en cas de modification des informations traitées Lorsque les services fournis
    changent.
  • Lorsqu’un incident de sécurité grave se produit.
  • Lorsque des vulnérabilités graves sont signalées.

Pour l’harmonisation des analyses de risque, le comité SG établira une évaluation de base pour les différents types d’informations traitées et les différents services fournis.

La méthodologie utilisée pour l’évaluation des risques est MAGERIT et permet une gestion efficace incidents susceptibles de se produire dans les différents actifs informationnels et d’affecter l’un ou l’autre des principes suivants confidentialité, intégrité, disponibilité, authenticité et traçabilité.

Le comité SG rationalisera la disponibilité des ressources pour répondre aux besoins de sécurité des différents systèmes en
encourageant les investissements horizontaux.

10. Élaboration de la Politique de Sécurité de l’Information

La présente politique de sécurité de l’information complète les politiques de sécurité du groupe Signaturit (Espagne) dans différents domaines :

  • Politique en matière de système de gestion.
  • Déclarations de politique et de pratique des services eIDAS.
  • Politique d’utilisation acceptable des actifs.
  • Analyse des risques de sécurité.
  • Gestion des incidents.
  • Gestion des actifs.
  • Sécurité physique et environnementale. Contrôle d’accès.
  • Sécurité des communications et des opérations.
  • Organisation de la sécurité.
  • Continuité.
  • Gestion du changement.
  • Classification des informations.
  • Développement sécurisé.
  • Amélioration continue.

La présente politique est développée au moyen de règlements de sécurité qui traitent d’aspects spécifiques. La politique de sécurité est mise à la disposition de tous les membres de l’organisation qui ont besoin de la connaître, et en particulier de ceux qui utilisent, exploitent ou administrent les systèmes d’information et de communication.

Ces règles (processus, procédures, instructions de travail et toute autre documentation nécessaire) doivent être publiées dans le système de gestion de Confluence, ainsi que dans le Wiki de l’entreprise du groupe Signaturit (Espagne).

11. Obligations du Personnel

Tous les membres du groupe Signaturit (Espagne) sont tenus de connaître et de respecter la présente politique de sécurité de l’information et les règles de sécurité, et il incombe au comité SG de mettre à disposition les moyens nécessaires. pour s’assurer que les informations parviennent aux personnes concernées.

Tous les membres du groupe Signaturit (Espagne), dans le cadre du plan de formation annuel, doivent assister à une session de sensibilisation à la sécurité des TIC au moins une fois par an. Un programme de sensibilisation continue sera mis en place, basé sur la diffusion régulière d’e-mails sur la sécurité de l’information, afin d’atteindre tous les membres du groupe Signaturit
(Espagne), en particulier les nouvelles recrues. Pour ce personnel, nous nous engageons en outre à suivront une formation spécifique et une évaluation des connaissances acquises, dans le cadre du processus d’adhésion à l’organisation.

Les personnes responsables de l’utilisation, du fonctionnement ou de l’administration des systèmes TIC seront formées à l’utilisation, au fonctionnement ou à l’administration des systèmes TIC. la sécurité de fonctionnement des systèmes dans la mesure où ils en ont besoin pour effectuer leur travail. La formation est obligatoire avant d’assumer une responsabilité, qu’il s’agisse d’une première mission ou d’un changement d’emploi ou de responsabilités professionnelles.

12. Tiers

Lorsque le groupe Signaturit (Espagne) fournit des services à d’autres organisations ou traite des informations provenant d’autres organisations, celles-ci seront informées de la présente politique de sécurité de l’information et des canaux seront mis en place pour signaler et coordonner la sécurité de l’information des autres organisations.

Les personnes responsables et les procédures respectives doivent être établies, conformément à la procédure de gestion des incidents de l’organisme, pour réagir aux éventuels incidents de sécurité qui peuvent survenir.

Lorsque le groupe Signaturit (Espagne) utilise des services de tiers ou transfère des informations à des tiers, ceux-ci sont informés des points suivants
la présente politique de sécurité et le règlement de sécurité relatifs à ces services ou informations. Ce tiers est soumis aux obligations énoncées dans la présente politique et peut élaborer ses propres procédures opérationnelles pour satisfaire à ces obligations. Des procédures spécifiques de notification et de résolution des incidents doivent être établies. Voir
veiller à ce que le personnel du tiers soit suffisamment sensibilisé à la sécurité, au moins au même niveau que celui défini dans la présente politique. Lorsqu’un aspect de la politique ne peut être respecté par un tiers, ce dernier doit veiller à ce que le tiers

Comme indiqué dans les paragraphes précédents, le responsable de la sécurité se réunira avec le responsable du service pour définir et préciser les risques encourus et la manière d’y faire face. Le groupe Signaturit (Espagne) s’engage à garantir le respect des obligations légales établies contractuellement avec ses fournisseurs en élaborant une politique de chaîne d’approvisionnement et en contrôlant et supervisant le respect de celle-ci.

Les tiers ayant ou non une relation contractuelle avec le groupe Signaturit (Espagne) s’abstiendront de tester des intrusions, des vulnérabilités et/ou tout type d’accès ou de tentative d’accès à l’un des systèmes d’information du groupe Signaturit (Espagne), sauf accord exprès préalable, conformément aux dispositions du droit pénal national et international.

Annexe – Glossaire

Analyse des risques

Utilisation systématique des informations disponibles pour identifier les dangers et estimer les risques.

Données personnelles

Toute information concernant des personnes physiques identifiées ou identifiables.

Gestion des incidents

Plan d’action pour traiter les incidents qui surviennent. En plus de les résoudre, il doit intégrer des mesures de performance qui
permettent de connaître la qualité du système de protection et de détecter les tendances avant qu’elles ne se transforment en problèmes majeurs.

Gestion des risques

Activités coordonnées visant à diriger et à contrôler une organisation en ce qui concerne les risques.

Incident de sécurité

Événement inattendu ou indésirable ayant des conséquences préjudiciables à la sécurité du système d’information.

Informations

Cas particulier d’un certain type d’information.

Politique de sécurité

Ensemble de lignes directrices écrites qui régissent la manière dont une organisation gère et informations et les services qu’elle
considère comme critiques.

Responsable de l’information

Une personne qui a le pouvoir d’établir les exigences en matière de sécurité de l’information.

Responsable de la sécurité

Le responsable de la sécurité détermine les décisions à prendre pour satisfaire aux exigences en matière de sécurité de
l’information et des services.

Responsable du système

Personne chargée de l’exploitation du système d’information.

Système d’information

Ensemble organisé de ressources permettant la collecte, le stockage, le traitement ou la manipulation, la maintenance, l’utilisation, le partage, la distribution, la mise à disposition, la présentation ou la transmission d’informations.