La liste ci-dessous représente les mesures techniques et organisationnelles de Website BuilderLa liste ci-dessous représente les mesures techniques et organisationnelles de l'Union européenne au 29 juillet 2024. Website Builder se réserve le droit de réviser ces mesures techniques et organisationnelles à tout moment, sans préavis, pour autant que ces révisions ne réduisent ou n'affaiblissent pas matériellement la protection des données personnelles que la Société traite dans le cadre de la fourniture de ses différents services. Website Builder prend les mesures de sécurité techniques et organisationnelles suivantes pour protéger les données à caractère personnel :
-
Gouvernance de la sécurité de l'information
-
L'entreprise est certifiée ISO 27001:2022.
-
L'entreprise a nommé un responsable de la sécurité de l'information qui rend compte directement à un cadre supérieur de l'entreprise.
-
Un ensemble de politiques et de normes de sécurité de l'information sont documentées, approuvées et régulièrement mises à jour.
-
L'entreprise dispose d'une assurance cybernétique.
-
Un plan de réponse aux incidents est documenté et testé régulièrement afin de garantir une réponse efficace et un rétablissement rapide en cas d'incident de sécurité.
-
-
Contrôle RH
-
Tous les employés de l'entreprise suivent régulièrement des séances de sensibilisation à la sécurité.
-
Les vérifications des antécédents des nouveaux employés sont effectuées lorsque la législation locale le permet.
-
Les employés de l'entreprise s'engagent à respecter les principes de protection de la vie privée et de sécurité de l'information.
-
Les employés ayant accès aux données personnelles sont soumis à une obligation de confidentialité basée sur des accords de non-divulgation (NDA) ou des clauses équivalentes.
-
En cas de licenciement, les droits d'accès de l'employé sont révoqués et un rappel de ses obligations en matière de sécurité est effectué.
-
-
Formation et sensibilisation à la sécurité de l'information
-
L'entreprise fixe des objectifs liés à la sécurité comme objectifs de l'entreprise et agit pour sensibiliser aux questions de sécurité de l'information et de protection de la vie privée.
-
Des sessions de formation et de sensibilisation à la sécurité et à la protection de la vie privée sont organisées périodiquement pour tous les employés.
-
-
Sécurité des réseaux et de l'informatique dématérialisée
-
L'environnement en nuage de l'entreprise est hébergé et pris en charge par AWS. Pour plus d'informations sur la sécurité physique, veuillez vous référer aux contrôles de sécurité AWS.
-
Les données au repos et en transit sont cryptées à l'aide d'algorithmes de cryptage de qualité industrielle.
-
Utilisation de pare-feu (réseau et application) et de systèmes d'authentification.
-
L'accès administratif à l'infrastructure en nuage est sécurisé par des mots de passe forts + 2FA activé et l'accès à distance par VPN et tunnel SSH.
-
Séparation complète du réseau de production et des actifs cloud (VPC) des environnements de test et de développement.
-
L'utilisation de systèmes de détection d'intrusion, qu'ils soient basés sur le réseau (NIDS) ou sur l'hôte (HIDS).
-
Toutes les communications sortantes TCP sont cryptées par TLS.
-
-
Confidentialité des données personnelles traitées
-
Les données à caractère personnel stores et traitées par l'entreprise sont convenablement sécurisées conformément aux meilleures pratiques commerciales en vigueur dans des entreprises similaires.
-
L'accès aux données personnelles des clients est limité au besoin d'en connaître.
-
Des mots de passe forts sont appliqués, stores les mots de passe sont entièrement hachés et cryptés.
-
Anonymisation/pseudonymisation des données personnelles et/ou sensibles, le cas échéant, conformément aux besoins techniques ou commerciaux pour fournir le service et/ou se conformer à la loi.
-
La société ne fournira pas les IIP et/ou les données commerciales des utilisateurs à moins que l'identité du propriétaire du compte ne soit dûment vérifiée.
-
Les données relatives aux clients ne seront conservées sur le site stores qu'aussi longtemps que la Société et le client auront conclu un accord actif et aussi longtemps qu'elles serviront aux fins pour lesquelles elles ont été collectées.
-
Procédure sécurisée de suppression des données à caractère personnel à la fin de la période de conservation et/ou sur demande.
-
Les sous-traitants sont soumis à un examen de la sécurité de l'information et de la protection de la vie privée du fournisseur en fonction de la sensibilité des données et/ou des données à caractère personnel auxquelles ils ont accès et sont tenus de se conformer aux exigences de sécurité du fournisseur.
-
-
Sécurité, intégrité et disponibilité des systèmes de traitement
-
Les ordinateurs portables de l'entreprise sont équipés de logiciels anti-malware et anti-virus.
-
Les ordinateurs portables de l'entreprise sont équipés d'une solution de gestion qui applique la politique de sécurité des ordinateurs portables de l'entreprise.
-
Analyse régulière des vulnérabilités des paquets open source (SCA), du code (SAST), des applications web (DAST) et de l'infrastructure en nuage.
-
Processus de mise à jour des logiciels (c'est-à-dire gestion des correctifs) en place pour corriger les vulnérabilités identifiées en temps utile, conformément à l'évaluation des risques.
-
l'utilisation de systèmes de journalisation, de surveillance et d'alerte.
-
Systèmes avancés pour atténuer les attaques par déni de service (DoS/DDoS).
-
-
Rétablir la disponibilité des systèmes et des données en cas d'incident physique ou technique
-
L'utilisation de zones d'informatique en nuage à haute disponibilité dans plusieurs emplacements géographiques.
-
Les procédures de reprise après sinistre sont bien documentées et régulièrement révisées et mises à jour.
-
Les sauvegardes régulières sont sécurisées sur stores dans un environnement cloud séparé et peuvent être restaurées si nécessaire.
-
-
Évaluer l'efficacité des mesures techniques et organisationnelles
-
Tests de pénétration périodiques et à la demande.
-