Protection des données personnelles - Sous-traitants

1. Mesures techniques et organisationnelles

Politique de sécurité et organisation de la sécurité de l’information

Protection des données

Un DPO a été désigné, responsable de la coordination, du conseil, du contrôle et de la sensibilisation concernant les procédures et directives en matière de protection des données. Ce responsable suivra une formation régulière afin que ses connaissances et compétences restent toujours à jour.
Contact : privacy@ticketmatic.com

Responsabilités en matière de sécurité

Des politiques formelles de protection des données ont été approuvées et communiquées aux employés. Les responsabilités en matière de protection des données sont attribuées en interne.

Gestion des risques

Des analyses de risques périodiques sont effectuées, sur la base desquelles des mesures de protection des données sont définies.

Politique de ressources humaines sécurisée

Obligations de confidentialité

Les employés sont soumis à une obligation de confidentialité lors du traitement de données à caractère personnel. Cette obligation est incluse dans le règlement de travail ou dans un accord de confidentialité séparé.

Sensibilisation

Les employés sont conscients de l’importance de la protection des données et suivront les procédures nécessaires lors du traitement des données personnelles. Cette sensibilisation sera répétée périodiquement.

Entrée et sortie de service

Les droits d’accès des employés sont révoqués à la fin de la collaboration afin que les personnes non autorisées n’aient plus accès aux données personnelles.

Inventaire des actifs de l’entreprise

Un inventaire est tenu de tous les systèmes de traitement de l’information utilisés par les employés.

Locaux

Sécurité physique

L’accès physique aux bureaux où des données personnelles sont traitées est strictement limité aux personnes identifiées et autorisées. Des lecteurs de badges ont été installés et des serrures ajoutées si nécessaire afin d’éviter tout accès non autorisé. Le bâtiment est également équipé d’un système d’alarme et de détection d’incendie.

Contrôle d’accès

Politique d’accès

Les droits de chaque employé sont limités selon le principe du « besoin d’en connaître ». Tout accès supplémentaire au-delà de ce qui est initialement nécessaire n’est possible qu’après approbation formelle et pour une raison valable.

Autorisation d’accès

Un système d’autorisation approprié est en place pour l’accès aux informations sensibles. Chaque individu reçoit un identifiant unique pour se connecter.

Accès réseau

Un pare-feu est en place afin de garantir que l’accès au réseau est correctement protégé.

Centre de données

Toutes les données nécessaires aux opérations sont centralisées dans un centre de données sécurisé conforme aux normes de l’industrie. Ticketmatic utilise AWS (Amazon Web Services), un fournisseur fiable et reconnu disposant de plus de 500 fonctionnalités en matière de confidentialité (voir https://aws.amazon.com/compliance/gdpr-center/). AWS est également certifié ISO27001. L’accès aux serveurs n’est pas autorisé pour des parties externes.

Sécurité opérationnelle

Sauvegarde

Le Sous-traitant prend des mesures étendues pour protéger les données du Responsable du traitement. Toutes les données sont répliquées en temps réel vers un second centre de données servant de réplica de secours. Cette réplication est synchrone : toutes les modifications sont écrites simultanément sur les sites primaire et secondaire, garantissant un système de secours toujours à jour en cas de défaillance du système principal. En outre, une sauvegarde complète (y compris les journaux de transactions) est réalisée chaque nuit, permettant une restauration point-in-time pour les 7 jours précédents. Des instantanés supplémentaires sont stockés de manière redondante sur un site externe jusqu’à 100 jours.

Mots de passe et données sensibles

Les mots de passe sont hachés de manière cryptographique avant d’être stockés, de sorte que les données originales ne puissent être récupérées. Les données de carte bancaire et autres données de paiement ne sont pas conservées.

Mises à jour de sécurité

Les mises à jour et correctifs de sécurité sont systématiquement suivis et installés.

Sécurité des communications

Toutes les données personnelles transmises via des canaux ou réseaux publics ou internes sont adéquatement chiffrées. Les protocoles d’accès sont limités ; par exemple, l’accès FTP n’est pas possible.

Relations avec les fournisseurs

Choix des sous-traitants

Un processus de sélection adéquat est appliqué lors du choix des sous-traitants, évaluant la sécurité de leurs traitements de données personnelles. Seules les parties respectant les normes actuelles en matière de sécurité de l’information et de protection des données sont retenues.

Obligations contractuelles

Un accord de traitement des données est conclu avec tous les fournisseurs susceptibles de traiter des données personnelles.

Incidents

Ticketmatic tient un registre des violations de sécurité, comprenant la description de l’incident, le moment, les conséquences, le nom de l’auteur du signalement et du destinataire.En cas d’incident de sécurité potentiel ayant un impact sur la confidentialité, l’intégrité ou la disponibilité des données personnelles, les mesures nécessaires seront prises pour informer le Responsable du traitement en temps utile et de manière adéquate. Lors de la notification d’une violation, le Sous-traitant fournira :

  1. Coordonnées de l’auteur du signalement (nom, fonction, e-mail, numéro de téléphone)
  2. Détails de la violation :
    • Résumé de l’incident
    • Données personnelles concernées
    • Date de survenance
    • Nature de la violation
    • Évaluation des conséquences
    • Mesures prises par le Sous-traitant pour limiter et prévenir la violation


2. Sous-traitants

Les sous-traitants suivants exécutent, pour le compte de Ticketmatic, des services relatifs aux données personnelles :

Amazon Web Services Europe
https://aws.amazon.com

Services d’hébergement et d’infrastructure (PaaS)

Lieu de traitement : UE/EEE (centres de données en Irlande et Francfort)

Postmark
https://postmarkapp.com/

Fournisseur de services d’e-mail. Les e-mails déclenchés depuis l’application sont envoyés via Postmark.

Lieu de traitement : États-Unis (EU - U.S. Privacy Shield Framework et/ou Clauses Contractuelles Types (SCC) actives)

https://postmarkapp.com/eu-privacy#gdpr

Intercom
https://www.intercom.com/

Logiciel de help desk pour communiquer avec les clients. Parfois, ces communications contiennent des données personnelles de clients finaux.

Lieu de traitement : États-Unis (EU - U.S. Privacy Shield Framework et/ou Clauses Contractuelles Types (SCC) actives)

https://www.intercom.com/help/en/articles/1385437-how-intercom-complies-with-gdpr

Loggly
https://www.loggly.com/

Gestion des logs pour visualiser, analyser et surveiller les événements d’application.

Lieu de traitement : États-Unis (EU - U.S. Privacy Shield Framework et/ou Clauses Contractuelles Types (SCC) actives)

Sentry
https://sentry.io/

Journalisation des erreurs d’application.

Lieu de traitement : mondial (centres de données Google) (EU - U.S. Privacy Shield Framework et/ou Clauses Contractuelles Types (SCC) actives)

https://sentry.io/security/

Google Analytics
https://www.google.com/

Analyse du trafic

Lieu de traitement : mondial

Dernière mise à jour : 10/06/2020

Une billetterie sur mesure pour votre organisation

En 20 minutes, découvrons ensemble comment ticketmatic peut accompagner votre organisation et votre public. Une rencontre sans engagement – nous serons ravis d’échanger avec vous.