Tiers fournisseurs de services en sécurité des données



Documents pareils
L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

ENTENTE DE PRESTATION DU COURS

PARTIE 1 : RENSEIGNEMENTS GÉNÉRAUX Les questions suivantes visent toutes les couvertures demandées. SECTION A : RENSEIGNEMENTS GÉNÉRAUX

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

PROPOSITION POUR LE RENOUVELLEMENT D UNE ASSURANCE POUR PME - TECHNOLOGIE

POLITIQUE CONTRE LA SUBORNATION ET LA CORRUPTION

(correspond au module 10 Conseiller de service à la clientèle dans la branche automobile) Conseiller(ère) de vente automobile avec brevet fédéral

Une vision claire des IFRS

Contrats et immatériel

Intervenir à l étranger Une revue des règlements canadiens ayant trait aux activités à l étranger

Proposition d Assurance acheteur unique ou d Assurance frustration de contrat Remplir le présent formulaire et le présenter à EDC

CONDITIONS PARTICULIERES SOLUTIONS CLOUD. API : Interface de programmation pouvant être utilisé par le Client pour interagir avec ses Services.

Conditions générales de prestations de services

«Cloud Computing» La gestion des logiciels dans un contexte d impartition Raymond Picard, Vice-président, droit des technologies de l information

Accord d Hébergement Web Mutualisé

L entrepreneur autonome SES DROITS, OBLIGATIONS ET RESTRICTIONS. Pour dissiper la confusion générale à démêler

Veuillez lire les présentes modalités et conditions du service (les «CONDITIONS») avant d utiliser le présent site.

Plan de continuité des opérations. Maladies infectieuses

Agenda. Engagement de Microsoft envers la protection des renseignements personnels et la sécurité Questions

POLITIQUE N o : P AJ-005 POLITIQUE SUR LA PROTECTION DES INFORMATIONS CONFIDENTIELLES

[Contractant] [Agence spatiale européenne] Licence de propriété intellectuelle de l'esa pour les besoins propres de l'agence

Rogers octroie au Client une licence pour chacune des vitrines des Services Shopify de Rogers que le Client a commandées.

CONDITIONS PARTICULIÈRES DU SERVEUR VIRTUEL KIMSUFI (VKS) Version en date du 15/05/2012

Quand vous ne. Pourrez. plus gérer vos affaires, qui le fera?

1.2 Les conditions standards de l Acheteur sont expressément exclues par les présentes conditions.

Contrat de courtier. Entre : (ci-après nommée «Empire Vie») (ci-après nommé «courtier») Adresse civique : Ville ou municipalité :

Licence ODbL (Open Database Licence) - IdéesLibres.org

CONDITIONS PARTICULIÈRES SERVICE CDN WEBSITE Version en date du 10/10/2013

LICENCE SNCF OPEN DATA

PROPOSITION D ASSURANCE DE LA RESPONSABILITÉ CIVILE PROFESSIONNELLE/RESPONSABILITÉ CIVILE GÉNÉRALE DES ENTREPRISES MULTIMÉDIAS DES DIFFUSEURS AVIS :

L INSPECTION PRÉACHAT DANS LE DOMAINE IMMOBILIER ÀSSOIÀTION PES CONSOMMATEURS POUR LA QUALITÉ PANS LÀ CONSTRUCTION POUR UNE MEILLEURE PROTECTION

Sondage sur le climat. scolaire. Guide d utilisation à l attention des administratrices et des administrateurs

QUESTIONS FRÉQUEMMENT POSÉES CONCERNANT L'APPLICATION DES RÈGLES DE L'UE RELATIVES AUX ENTENTES DANS LE SECTEUR AUTOMOBILE

EXAMEN DU BAIL ET DU CONTRAT IMMOBILIER

Votre intervention se situe dans un cadre défini préalablement à votre venue avec le conseiller formation en charge de l action.

CONDITIONS GENERALES YOUSIGN v1.4 A - CONDITIONS APPLICABLES A TOUTES LES PRESTATIONS YOUSIGN

ASSURANCE DÉCENNALE: MODE D EMPLOI : GUIDE À USAGE DES CONSTRUCTEURS EUROPÉENS

Guide pour demander le crédit d impôt à l innovation de l Ontario (CIIO)

OUVERTURE DE COMPTE À REMPLIR ET FAIRE PARVENIR AU SIÈGE SOCIAL DE PRO ENERGY COURRIEL : INFO@PRO-ENERGY.CA FAX :

CONDITIONS GENERALES D ACHATS FRANCE - ELEVATEUR

Résumé du projet de loi n 43 visant à modifier la Loi sur les mines

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

6.1 L UNIVERSITÉ RECHERCHE

CONDITIONS GENERALES DE VENTE DES CHEQUES VOYAGES CLUB VOYAGEUR

CONDITIONS GENERALES DE VENTE DE LA LICENCE SERVEUR

Comprendre l importance de la connectivité pour votre centre de données. Un guide pratique pour prendre des décisions

Document d information

Édition : La Direction des communications du ministère de la Santé et des Services sociaux

La procuration. La procuration. isns

Convention de cotraitance pour groupement solidaire

CyberRisks Pro. Questionnaire. Nom de la société proposante. Description des activités de la société proposante. Informations financières

Pour bien démarrer votre entreprise en plomberie et chauffage

TOUT CE QU IL FAUT SAVOIR POUR ENREGISTRER UN NOM COMMERCIAL

Politique de sécurité de l information

PROJET DE TRAIN LÉGER SUR RAIL D OTTAWA ACCORD DE CONTRIBUTION AVEC LE MINISTÈRE DES TRANSPORTS DE L ONTARIO APERÇU DE LA STRUCTURE ET DU CONTENU

LA CYBER COMPAGNIE 3 7 r u e g u i b a l M A R S E I L L E Tel : Site :

Guide explicatif. Demande d adhésion à la police d assurance cautionnement collective de la CMMTQ

$ de rénos pour une maison intelligente! LE PRÉSENT CONCOURS S ADRESSE UNIQUEMENT AUX RÉSIDENTS DU CANADA ET IL EST RÉGI PAR LA LOI CANADIENNE

MEYER & Partenaires Conseils en Propriété Industrielle

Cycle de conférences sur Cloud Computinget Virtualisation. Aspects juridiques du Cloud Computing Blandine Poidevin Avocat

CAHIER DES CHARGES. Le présent cahier des charges comporte 8 pages numérotées de 1 à 8 CHAMBRE RÉGIONALE DE MÉTIERS ET DE L ARTISANAT DE CORSE

Une nouvelle norme mondiale sur la comptabilisation des produits

Carrier Enterprise Canada, L.P.

Avis IMPORTANT : Lire le document «Instructions» avant de remplir le formulaire. Remplir le formulaire en lettres moulées.

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE :

IFRS 10 États financiers consolidés

4. Espace serveur et transfert de données

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND

Conditions d utilisation du site fim@ktabati d Algérie Télécom

Ligne directrice sur les simulations de crise à l intention des régimes de retraite assortis de dispositions à prestations déterminées

Assurance construction obligatoire. Arrêté du 19 novembre 2009 portant actualisation des clauses-types

Service public d éducation et d information juridiques du Nouveau-Brunswick

Travailleur autonome. 6. Avez-vous eu des changements dans vos activités/opérations depuis le dernier renouvellement? :

Applications mobiles : Enjeux et Conseils pratiques

Concours $ de prix en argent offerts par le Programme d assurance automobile et habitation CIBC (le «Concours»)

DAS Canada Legal Protection Insurance Company Limited. («DAS Canada») CONVENTION DE COURTAGE

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

FAQs Sur le Trade Finance

Le Québec et l Ontario adoptent l entente de l ACOR sur les régimes de retraite relevant de plus d une autorité gouvernementale

«OUTIL DE GESTION DE LA RELATION CLIENT - CRM» CONVENTION DE PRESTATIONS

Accord de Certification des Candidats Axis

GÉRER SON ENTREPRISE EN RESPECTANT LA LOI SUR LA CONCURRENCE

Annexe VI au Protocole au Traité sur l Antarctique relatif à la protection de l environnement

2.2 Objet du contrôle Il y a lieu de vérifier les points suivants de manière individuelle ou combinée.

La rupture du contrat de distribution international

TERMES D'UTILISATION :

Johnson Controls GWS Belgium SA NV Termes et Conditions générales d Achat de Fournitures

Situation:

Contrat d abonnement aux services de mise à jour et de support des logiciels de la gamme OpenPortal (Référence : CSM_OPSW_2_7) N SAV

Journée d information: PME & DPI Paris, 6 juin 2007

Guide de bonnes pratiques de sécurisation du système d information des cliniques

MANUEL DES POLITIQUES, PROCÉDURES ET RÈGLEMENTS ADMINISTRATIFS

Conditions d usage du service. «MS Dynamics CRM On Demand» V1.4

Guide de la pratique sur les réserves aux traités 2011

a) conformément à l article 21 de la Loi, Aequitas est reconnue à titre de bourse;

Règlement sur l utilisation et la gestion des actifs informationnels

Conditions générales concernant la fourniture de prestations informatiques par HMS Hauri Micro Solutions - Backup et restauration - "Conditions MSP"

Tous les intéressés qui effectuent des opérations d assurance RC professionnelle (secteur des services financiers) au Québec

Transcription:

Plusieurs entreprises impartissent les services de gestion et de contrôle de certains ou de tous leurs systèmes d information, de leurs réseaux ou des mécanismes de stockage des données à des fournisseurs de services et des services dans les nuages («cloud»). Les tiers fournisseurs de services incluent les fournisseurs d accès Internet, les vendeurs de matériel informatique, de logiciels et de progiciels, ainsi que les autres tiers fournisseurs de services qui effectuent des services au nom de votre entreprise et qui peuvent avoir accès à des données sensibles. D un point de vue commercial, les propriétaires d entreprises devraient toujours prendre pour acquis que les tiers fournisseurs de services sont vulnérables. Par conséquent, ils devraient élaborer un processus écrit formel pour choisir et gérer les tiers entrepreneurs et fournisseurs de services. Les considérations en matière de contrôle des risques incluent notamment : Considérations générales pour choisir un entrepreneur ou un fournisseur de services Évaluer sa stabilité financière. > L entreprise existe-t-elle depuis longtemps ou est-elle en démarrage? > Est-elle solvable financièrement pour fournir un soutien à long terme? Confirmer qu il a le personnel nécessaire pour fournir un niveau acceptable de soutien technique au client. > Au besoin, peut-il fournir un soutien 24 heures sur 24, 7 jours sur 7, 365 jours par année? Déterminer les titres de compétence du personnel qui sera attitré à votre contrat. > Préciser quels contrôles de sécurité vous effectuerez avant de retenir les services de tiers. > Ont-ils l expertise technique pour compléter le projet ou effectuer les services? Décrire les contrôles de sécurité des antécédents et les qualifications du personnel qui aura accès à vos renseignements. Déterminer si les tiers s occuperont de toutes les portions de votre contrat ou s ils auront besoin de sous-traiter à d autres entreprises. > Décrire tous les services qu ils sous-traiteront. > S ils sous-traitent à d autres personnes, vérifier qu ils assument la responsabilité de s assurer que leurs soustraitants respectent toutes vos exigences de sécurité. Effectuer des recherches et obtenir suffisamment de renseignements, notamment au moyen de recherche sur PAGE 1

Internet, de sondages indépendants et de rapports pour mieux comprendre leurs services/activités publicisés. Obtenir des références provenant d autres clients ou organisations comme le Bureau d éthique commerciale. Leur demander de décrire leur historique d incidents en cybersécurité et les améliorations qu ils ont apportées. Confirmer qu ils connaissent toutes les exigences légales et réglementaires et qu ils les respectent. Leur demander de décrire leurs capacités au niveau de la continuité des affaires. > Ont-ils un plan écrit? Si oui, est-il mis en application au moins une fois par année? > Ont-ils des systèmes redondants et/ou des sites de stockage des données? > Quel est le délai pour retourner aux activités normales en cas de défaillance à un emplacement? Leur demander de décrire leur plan d intervention en cas d incident en matière de cyberrisques. > En cas d atteinte, quel est le processus normal pour faire enquête, intervenir et aviser votre entreprise? Modalités et conditions contractuelles/transfert des risques Lorsque vous contractez avec des tiers, assurez-vous d être clair au niveau des responsabilités de chacun afin qu il n y ait pas de confusion relativement à qui doit protéger les renseignements sensibles. Tous les contrats devraient être signés avant de débuter le travail ou les services. Établir des politiques internes qui régissent votre programme de transfert des risques contractuels afin de préciser quelles personnes au sein de votre entreprise ont le pouvoir de faire ou d approuver des modifications aux dispositions contractuelles et aux exigences en matière d assurance. Travailler avec un avocat qui a des connaissances au niveau du droit des contrats pour développer un libellé efficace. Les modalités et conditions du contrat devraient tenir compte des ententes de transfert des risques, et notamment : > Le contrat devrait inclure des clauses de non-responsabilité, d indemnisation et de défense pour protéger les intérêts de votre entreprise. Si on exige que vous indemnisiez d autres parties, vous devriez exiger la pareille de vos entrepreneurs. > Des précisions concernant les assurances devraient figurer dans le contrat, comme les garanties offertes, les montants de garantie, le statut d assuré supplémentaire, les avis écrits de résiliation, etc. Consultez votre agent d assurance pour plus de détails. PAGE 2

Exigences en matière de sécurité des données Votre contrat devrait inclure des ententes visant les utilisations acceptables afin de limiter la façon dont les tiers peuvent avoir accès aux données sensibles et aux systèmes, ou les utiliser, et de prévoir des conséquences disciplinaires en cas de non-respect. Voici quelques dispositions à prévoir dans votre contrat : Les qualifications et attestations minimales pour le personnel qui travaille sur le projet ou qui effectue les services, y compris les normes de passage au niveau des contrôles de sécurité de toute personne ayant accès à des données sensibles ou des systèmes critiques. Une liste des personnes qui sont autorisées à accéder à votre système ou vos données et une déclaration à l effet que l entrepreneur est responsable de la protection et du contrôle approprié des privilèges administratifs. Cette liste devrait être mise à jour régulièrement. Des directives pour exiger des mécanismes de contrôle des mots de passe robustes La responsabilité de l entrepreneur de s assurer que ses sous-traitants respectent toutes les exigences de sécurité. La responsabilité de l entrepreneur de respecter toutes les exigences légales et réglementaires. Des précisions à l effet que le produit du travail effectué par les entrepreneurs appartient à votre entreprise. > Si nécessaire, ce produit du travail devrait contenir un droit d auteur qui démontre ce droit de propriété. Des restrictions au niveau des types de renseignements auxquels l entrepreneur et ses sous-traitants ont accès. Des dispositions à l effet qu ils protègeront la confidentialité et l intégrité des données sous leurs soins et garde. Dépendamment de la sensibilité des renseignements, des clauses de confidentialité et des ententes de nondivulgation pourraient être exigées. Des restrictions au niveau de la copie, du stockage ou de la transmission des données. Des exigences pour le retour ou la destruction de renseignements et de biens à la fin du contrat ou travail. Des directives qui exigent le maintien de mécanismes de contrôle de sécurité physiques et d accès pour restreindre l accès aux utilisateurs autorisés uniquement. Exigences pour la continuité des affaires Votre contrat devrait inclure des exigences pour la continuité des affaires, et notamment : PAGE 3

Des directives sur ce que constitue un niveau acceptable de soutien technique aux clients, comme le délai de réponse, les périodes de disponibilité à chaque jour et les jours ouverts à chaque semaine. Des directives sur ce que constitue le délai maximal pour intervenir pour remplacer ou restaurer votre équipement critique, vos applications, vos logiciels ou vos services en cas de dommages physiques ou d atteinte à la cybersécurité. Exigences pour intervenir en cas d incident Votre contrat devrait inclure des exigences pour intervenir en cas d incident, et notamment : Des directives au niveau des procédures de notification de votre entreprise pour tous incidents liés à la sécurité, ainsi que les exigences pour gérer l incident. Des exigences à l effet qu ils collaboreront au besoin dans le cadre de votre plan d intervention en cas d incident. Vérifications Afin d assurer que vos entrepreneurs agissent avec diligence dans le cadre de la prestation de leurs services afin de protéger vos données, votre contrat devrait préciser votre droit d effectuer des vérifications. Inscrire la fréquence des vérifications et les niveaux de sécurité de celles-ci (p. ex., auto-vérifications ou par des tiers certifiés) et les détails qu ils doivent fournir dans les rapports. Pour les tiers qui stockent vos données sensibles, inclure une exigence à l effet qu ils enregistrent tout accès autorisé aux données et toutes les tentatives non autorisées d accéder aux données. Les renseignements comme la date, l horodatage, l adresse de la source, etc., devraient être inscrits et vous être fournis dans les rapports. Voir le bulletin du contrôle des risques Map and secure your network (en anglais seulement) pour obtenir de plus amples renseignements. > Exiger qu ils respectent toutes les exigences légales, réglementaires et contractuelles. Impartition signature des contrats de tiers Plusieurs entreprises impartissent les services de gestion et de contrôle de certains ou de tous leurs systèmes d information, de leurs réseaux ou des mécanismes de stockage des données à des fournisseurs de services et des services dans les nuages («cloud»). Habituellement pour ces services, vous devez signer leurs ententes qui sont typiquement à l avantage unilatéral de la société à qui est imparti le travail. Le contrat devrait être passé en revue par votre conseiller juridique afin que les modifications appropriées y soient apportées pour protéger vos intérêts. PAGE 4

Logiciels libres attention Les logiciels libres peuvent éventuellement poser des risques importants sous différentes formes, y compris à l égard des systèmes d exploitation, des éléments sur la plate-forme, des outils de développement et des intergiciels. Plusieurs programmes de logiciels exclusifs ont des composantes libres. Contrairement aux conceptions erronées, la plupart des logiciels libres sont encore assujettis à des ententes de licences, qui imposent des obligations particulières à quiconque utilise, modifie ou distribue le code. Si les développeurs de logiciels libres se dégagent de toute responsabilité à l égard des logiciels, l utilisateur peut être responsable de toutes réclamations pour toute violation par les logiciels des droits d auteur, brevets ou autres droits de propriété intellectuelle du tiers. Pour obtenir plus de renseignements sur Travelers Canada, consultez notre site Web à, communiquez avec votre conseiller en contrôle des risques ou envoyez un courriel à Ask-Risk-Control- Canada@travelers.com. PAGE 5

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back