1. VERSION 9.1 : APPROBATION ET ENTRÉE EN VIGUEUR

Texte approuvé le 4 février 2025 par la Direction générale.

La présente Politique de sécurité de l’information est en vigueur à partir de cette date jusqu’à ce qu’elle soit remplacée par une nouvelle Politique.

2. INTRODUCTION

Ce document présente la politique de sécurité de l’information des entités Ivnosys Soluciones S.L. (Unipersonal) et Signaturit Solutions S.L. (Unipersonal), qui appartiennent au « Groupe Signaturit » et qui adoptent cette politique de sécurité de l’information comme l’ensemble des principes de base et des lignes d’action auxquels les deux organisations s’engagent, dans le cadre de la norme

norme ISO/IEC 27001:2022 et du schéma national de sécurité (ENS). Dans la suite de ce document, nous désignerons les deux entités par le terme « l’organisation ».

L’organisation dépend de systèmes TIC (technologies de l’information et de la communication) pour atteindre ses objectifs. Ces systèmes doivent être gérés avec diligence, en prenant les mesures appropriées pour les protéger contre les dommages accidentels ou délibérés qui pourraient affecter la disponibilité, l’intégrité ou la confidentialité des informations traitées ou des services fournis.

L’information est un actif critique, essentiel et de grande valeur pour le développement de l’activité de l’organisation. Cet actif doit être protégé de manière adéquate, quels que soient les formats, les supports, les moyens de transmission, les systèmes ou les personnes impliquées dans sa connaissance, son traitement ou sa manipulation.

L’objectif de la sécurité de l’information est de garantir la qualité de l’information et la continuité des services en agissant de manière préventive, en surveillant l’activité quotidienne et en réagissant rapidement aux incidents, afin d’assurer la qualité de l’information et la continuité des activités, de minimiser les risques et de maximiser le retour sur investissement et les opportunités commerciales.

Les systèmes TIC doivent être protégés contre les menaces en constante évolution qui peuvent avoir un impact sur la confidentialité, l’intégrité, la disponibilité, l’utilisation prévue et la valeur des informations et des services. La défense contre ces menaces nécessite une stratégie qui s’adapte aux conditions environnementales changeantes afin d’assurer la continuité des services. Cela implique que

les services doivent mettre en œuvre les mesures minimales de sécurité requises par le Schéma national de sécurité et la norme ISO/IEC 27001:2022 relative aux systèmes de sécurité de l’information,

ainsi que de surveiller en permanence les niveaux de prestation de services, de suivre et d’analyser les vulnérabilités signalées et de préparer une réponse efficace aux incidents afin d’assurer la continuité des services fournis.

Les différents départements doivent veiller à ce que la sécurité des TIC fasse partie intégrante de chaque étape du cycle de vie du système, de sa conception à sa mise hors service, en passant par les décisions de développement et son déploiement. Les exigences en matière de sécurité et les besoins de financement doivent être identifiés et inclus dans la

la planification, la sollicitation d’offres de fournisseurs et les mémorandums techniques pour les projets TIC. Les ministères doivent être prêts à prévenir, détecter, réagir et se remettre des incidents, conformément à l’article 8 de la NSI et au système de continuité des activités de la norme ISO 22301.

Cet article prévoit ce qui suit :

Article 8. Prévention, réponse et rétablissement.

  1. La sécurité du système doit inclure des actions de prévention, de détection et de réponse afin de minimiser ses vulnérabilités et de garantir que les menaces qui pèsent sur lui ne se matérialisent pas ou, si elles le font, n’affectent pas gravement les informations qu’il traite ou les services qu’il fournit.
  2. Les mesures préventives, qui peuvent intégrer des éléments visant à dissuader ou à réduire la zone d’exposition, doivent éliminer ou réduire la probabilité que les menaces se matérialisent.
  3. Les mesures de détection viseront à détecter la présence d’un cyberincident.
  4. Les mesures de réponse, qui seront gérées en temps utile, viseront à restaurer les informations et les services qui auraient pu être affectés par un incident de sécurité.
  5. Sans préjudice des autres principes de base et exigences minimales énoncés, le système d’information doit garantir que les données et les informations sont conservées sous forme électronique.

De même, le système maintiendra les services disponibles tout au long du cycle de vie de l’information numérique, grâce à une conception et à des

procédures qui sont à la base de la préservation du patrimoine numérique.

La direction de l’organisation, consciente de la valeur de l’information, est profondément engagée dans la politique décrite dans ce

document.

2.1 Prévention

Les services doivent éviter, ou du moins empêcher autant que possible, que des informations ou des services soient compromis par des incidents de sécurité. À cette fin, les services doivent mettre en œuvre les mesures de sécurité minimales déterminées par l’ENS, ainsi que tout contrôle supplémentaire identifié par une évaluation des menaces et des risques. En outre, et dans le but évident de

renforcer cette prévention, les services doivent également mettre en œuvre toutes les exigences nécessaires pour se conformer à la norme ISO/IEC 27001:2022. Ces contrôles, ainsi que les rôles et responsabilités de l’ensemble du personnel en matière de sécurité, doivent être clairement définis et documentés.

Pour garantir le respect de la politique, les services doivent :

  • autoriser les systèmes avant leur mise en service ;
  • évaluer régulièrement la sécurité, y compris les évaluations des modifications de configuration effectuées régulièrement ;
  • Demander un examen périodique par des tiers afin d’obtenir une évaluation indépendante.

2.2 Détection

Étant donné que les services peuvent se dégrader rapidement en raison d’incidents, allant d’un simple ralentissement à un arrêt complet, les services doivent surveiller le fonctionnement en continu afin de détecter les anomalies dans les niveaux de prestation de services et agir en conséquence conformément aux dispositions de l’article 10. réévaluation continue et périodique. qui stipule ce qui suit :

  1. Le suivi continu permettra de détecter les activités ou comportements anormaux et d’y réagir en temps utile.
  2. L’évaluation continue de l’état de sécurité des actifs permettra de mesurer leur évolution, de détecter les vulnérabilités et d’identifier les lacunes de configuration.
  3. Les mesures de sécurité seront réévaluées et mises à jour périodiquement et leur efficacité sera adaptée à l’évolution des risques et des systèmes de protection, et pourra conduire à une revue de sécurité si nécessaire.

La surveillance est particulièrement pertinente lors de la mise en place de lignes de défense conformément à l’article 9 de la norme ENS. Des mécanismes de détection, d’analyse et de signalement doivent être mis en place pour informer régulièrement les responsables et en cas d’écart significatif par rapport aux paramètres préétablis comme normaux.

L’article 9 stipule :

  1. Le système d’information doit disposer d’une stratégie de protection composée de plusieurs couches de sécurité, agencées de telle sorte que, lorsqu’une des couches est compromise, cela permette :
    • a) de développer une réaction adéquate aux incidents qui n’ont pas pu être évités, en réduisant la probabilité que le système dans son ensemble soit compromis.
    • b) de minimiser l’impact final sur celui-ci.
  2. Les lignes de défense doivent être composées de mesures de nature organisationnelle, physique et logique.

2.3 Réponse

Les services doivent :

  • Mettre en place des mécanismes permettant de répondre efficacement aux incidents de sécurité.
  • Désigner un point de contact pour les communications concernant les incidents détectés dans d’autres services ou d’autres organismes.
  • Établir des protocoles pour l’échange d’informations relatives à l’incident.

Pour tout type de communication, interne et/ou externe, le plan de communication, publié dans le système de gestion du groupe Signaturit (Espagne), élaboré par l’organisation, doit être suivi.

2.4 Récupération

Pour garantir la disponibilité des services critiques, l’organisation dispose d’un plan général de continuité des activités (PCA), publié dans le système de gestion, qui évalue les scénarios de sinistre possibles et la stratégie de reprise, et établit des plans d’urgence qui sont révisés périodiquement.

3. PORTÉE

La présente politique de sécurité s’applique aux systèmes d’information qui soutiennent les processus d’installation et d’exploitation des services cloud de confiance suivants :

  1. Réception automatique des notifications électroniques.
  2. Communications électroniques entre organisations avec preuve électronique des différentes transactions.
  3. Gestion centralisée des clés cryptographiques (certificats numériques) et des services web pour les communications et les preuves électroniques, l’émission et la gestion des horodatages.
  4. Gestion du cycle de vie des certificats.
  5. Authentification et vérification d’identité à l’aide de données biométriques et d’identification vidéo.
  6. « CPD EXTERNES à Paterna (Valence), à Murcie et services AWS ».

La politique de sécurité de l’information est approuvée par la direction de l’organisation et son contenu ainsi que celui des règles et

procédures qui la développent sont obligatoires :

  • Tous les utilisateurs ayant accès aux informations traitées, gérées ou détenues par l’organisation ont l’obligation et le devoir de les sauvegarder et de les protéger.
  • La politique et les règles de sécurité de l’information doivent être adaptées à l’évolution des systèmes et des technologies ainsi qu’aux changements organisationnels, et doivent être conformes à la norme ISO/IEC 27001:2022 et au programme national de sécurité.
  • Les mesures et contrôles de sécurité mis en place doivent être proportionnels à la criticité des informations à protéger et à leur classification.
  • Des mesures disciplinaires seront prises à l’encontre des personnes qui enfreignent gravement le contenu de la politique de sécurité de l’information ou des règles et procédures complémentaires.

4. OBJECTIF

Comme déjà mentionné, l’objectif de cette politique de sécurité de l’information est de protéger les actifs informationnels du groupe Signaturit (Espagne), en garantissant leur disponibilité, leur intégrité et leur confidentialité,

l’authenticité et la traçabilité des informations et des installations, systèmes et ressources qui les traitent, les gèrent, les transmettent et les stockent, toujours en conformité avec les exigences commerciales et la législation en vigueur.

5. MISSION ET OBJECTIFS

Les informations doivent être protégées tout au long de leur cycle de vie, de leur création à leur suppression ou destruction éventuelle. À cette fin, les principes minimaux suivants sont établis :

  • Les systèmes d’information ne seront accessibles qu’aux utilisateurs, organismes et entités ou processus expressément autorisés à le faire
  • .
  • Un engagement d’amélioration continue du SGSI sera établi.
  • Un niveau de disponibilité des systèmes d’information sera garanti et les plans et mesures nécessaires seront mis en place pour assurer la continuité des services et la reprise après des imprévus graves.
  • Un processus continu d’analyse et de traitement des risques sera articulé comme le mécanisme sur lequel la gestion de la sécurité des systèmes d’information devrait se baser.
  • Des axes de travail seront développés visant la prévention des incidents liés à la sécurité des TIC.
  • Les services seront surveillés en permanence afin de détecter les anomalies dans les niveaux de prestation de services et d’agir en conséquence.
  • Le degré de conformité avec les améliorations de sécurité prévues sur une base annuelle et le degré d’efficacité des contrôles de sécurité des TIC en place seront analysés, en vue de proposer de manière proactive de nouvelles actions d’amélioration.
  • Tous les membres du personnel de l’organisation seront informés de leurs devoirs et obligations en matière de traitement sécurisé des informations et toutes les personnes qui gèrent et administrent les systèmes d’information et de télécommunications seront formées à des questions spécifiques de sécurité des TIC.

6. CADRE RÉGLEMENTAIRE

  • Loi 39/2015, du 1er octobre, relative à la procédure administrative commune des administrations publiques. Loi 40/2015, du 1er octobre, sur le régime juridique du secteur public.
  • RD 1671/2009 du 6 novembre 2009 [mettant partiellement en œuvre la loi 11/2007].
  • Décret royal 311/2022 du 3 mai, qui réglemente le système national de sécurité.
  • Loi organique 3/2018, du 5 décembre, sur la protection des données à caractère personnel et la garantie des droits numériques.
  • Les différentes séries CCN-STIC-400/800, qui établissent les politiques, les procédures et les recommandations appropriées pour la mise en œuvre des mesures prévues dans le Schéma national de sécurité (RD 3/2010).
  • ISO/IEC 27001:2022.
  • Décret royal législatif 1/1996, du 12 avril 1996, approuvant le texte révisé de la loi sur la propriété intellectuelle, régularisant, clarifiant et harmonisant les dispositions légales en vigueur en la matière.
  • Loi 2/2019 du 1er mars 2019, qui modifie le texte révisé de la loi sur la propriété intellectuelle, approuvée par le décret législatif royal 1/1996 du 12 avril 1996, et qui intègre dans le système juridique espagnol la directive 2014/26/UE du Parlement européen et du Conseil du 26 février 2014 et la directive (UE) 2017/1564 du Parlement européen et du Conseil du 13 septembre 2017.
  • Décret-loi royal 14/2019 du 31 octobre, portant adoption de mesures urgentes pour des raisons de sécurité publique dans les domaines de l’administration numérique, des marchés publics et des télécommunications.
  • Loi 6/2020 du 11 novembre, réglementant certains aspects des services de confiance électroniques.
  • Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.
  • Arrêté ETD/465/2021, du 6 mai, réglementant les méthodes d’identification vidéo à distance pour la délivrance de certificats électroniques qualifiés.
  • Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148 (directive SRI 2).

7. ORGANISATION DE LA SÉCURITÉ

7.1 Comités

Le groupe Signaturit (Espagne) dispose d’une procédure de gestion et d’organisation des responsabilités internes et externes en matière de sécurité de l’information, qui détermine le Comité du système de gestion, dont la mission principale est l’approbation, la supervision de la conformité, la gestion et la diffusion des règles et politiques de l’organisation, ainsi que le suivi et la gestion des incidents et des risques présents, dans le domaine de la sécurité de l’information.

sécurité de l’information.

Les fonctions du Comité SG sont définies dans le Système de Management de l’organisation.

Le Comité SG se réunit au moins tous les six mois et ses membres obligatoires sont la Direction Générale, le CTO, le CISO, le

Responsable Informatique et le Responsable du Système de Management.

Bien qu’il n’y ait aucune obligation d’avoir un délégué à la protection des données (DPD) dans le personnel, conformément aux réglementations dictées par le RGPD, de notre propre gré et en raison des services fournis par l’organisation, nous avons un DPD/responsable de la protection de la vie privée dans le personnel.

En outre, tout autre responsable/rôle dont l’intervention est nécessaire parce qu’il est concerné par le régime national de sécurité, par le RGPD ou par toute autre réglementation relative à la sécurité de l’information, comme, entre autres, le responsable du service et l’administrateur de la sécurité.

7.2 Rôles : fonctions et responsabilités

La sécurité devant impliquer tous les membres de l’organisation, comme le reflètent l’article 11 de l’ENS et l’annexe II de l’ENS, section 3.1, la politique de sécurité doit identifier clairement les responsabilités pour assurer la conformité et être portée à la connaissance de tous les membres de l’organisation.

Dans le système de gestion du groupe Signaturit (Espagne), une section permet d’identifier les personnes qui occupent les rôles qui composent le comité SG et leurs fonctions spécifiques. Les rôles définis et leurs responsabilités sont détaillés ci-dessous :

7.2.1 Direction générale

Approuver les mesures et les budgets.

Veiller au respect du système.

Faire preuve de leadership et d’engagement envers le système de gestion de la sécurité de l’information.

Veiller à ce que la politique et les objectifs en matière de sécurité de l’information soient établis et compatibles avec l’orientation stratégique de l’organisation.

Se réunir au moins deux fois par an, et chaque fois qu’un événement ou une demande extraordinaire l’exige, avec les responsables de la sécurité et du système

, afin d’être informé du SGSI et de mettre à jour la stratégie de sécurité de l’information.

Encourager une culture d’entreprise de sécurité de l’information, en favorisant la sensibilisation. Soutenir l’amélioration continue des processus et projets de sécurité de l’information.

S’assurer que les ressources sont disponibles pour le respect de la politique de sécurité de l’information, des règles d’utilisation des systèmes et du fonctionnement du SGSI.

Déterminer les mesures, disciplinaires ou autres, qui peuvent être prises à l’encontre des responsables des atteintes à la sécurité.

7.2.2 CTO

Approuver les mesures et les budgets.

Veiller au respect du système.

Faire preuve de leadership et d’engagement envers le système de gestion de la sécurité de l’information.

Se réunir deux fois par an, et chaque fois qu’un événement ou une demande extraordinaire l’exige, avec au moins les responsables de la sécurité et des systèmes,

pour être informé du SGSI et mettre à jour la stratégie de sécurité de l’information.

Favoriser une culture d’entreprise de la sécurité de l’information, en promouvant la sensibilisation. Soutenir l’amélioration continue des processus et des projets de sécurité de l’information.

S’assurer que les ressources sont disponibles pour la conformité à la politique de sécurité de l’information, aux règles d’utilisation des systèmes et au fonctionnement du SGSI.

Définir l’approche de l’analyse et de la gestion des risques de sécurité de l’information et les critères de prise de risques et assurer l’évaluation des risques au moins une fois par an.

S’assurer que des audits internes de sécurité de l’information sont menés et que leurs résultats sont examinés afin d’identifier les possibilités d’amélioration.

Déterminer les mesures, disciplinaires ou autres, qui peuvent être prises à l’encontre des personnes responsables des atteintes à la sécurité.

Contacter les autorités compétentes en cas d’incidents ou d’atteintes à la sécurité.

7.2.3 Responsable SG

Mettre en œuvre, développer et maintenir le système de gestion.

Coordonner la gestion de la qualité, la sécurité de l’information, les services et la continuité des activités dans toute l’entreprise.

Définir et développer un ensemble de procédures de gestion de la qualité, de la sécurité, des services et de la continuité des activités, ainsi que les normes qui les sous-tendent.

Fournir des conseils sur tous les aspects procéduraux de la gestion de la qualité, de la sécurité de l’information, des services et de la continuité des activités.

Identifier tout problème affectant la qualité des produits et des services. Enquêter sur tous les incidents de sécurité qui se produisent avec le responsable des systèmes.

Lancer des actions pour prévenir et/ou corriger les non-conformités et veiller à ce que ces actions soient menées à bien.

Veiller à ce que la sensibilisation aux exigences des clients soit encouragée à tous les niveaux de l’organisation.

Maintenir et réviser les processus de qualité, de sécurité de l’information, de service et de continuité des activités, les procédures documentées et les

instructions de travail.

Rédiger, en collaboration avec le responsable de la sécurité, la documentation relative à la sécurité.

Rendre compte à la direction générale des performances du système de gestion, du degré de réalisation des objectifs et de tout besoin d’amélioration.

Élaborer des programmes de sensibilisation et de formation en matière de gestion de la qualité et de la sécurité pour les employés de l’entreprise.

Suivre l’efficacité des contrôles en place pour assurer la sécurité de l’information Proposer des plans d’amélioration et obtenir l’approbation des investissements qu’ils peuvent impliquer.

Suivi du cycle de vie des systèmes : spécification, architecture, développement, exploitation, modifications.

Coordonner et suivre la mise en œuvre des projets de conformité aux normes ISO/IEC 27001:2022 et ENS, en collaboration avec le responsable de la sécurité.

Réaliser des exercices et des tests sur les procédures opérationnelles de sécurité et les plans de continuité existants. Fournir un soutien pour :

  • L’analyse des risques.
  • Les projets liés à la sécurité.
  • La mise en œuvre et la maintenance des processus nécessaires au système de gestion de la qualité et de la sécurité de l’information.
  • Les audits.
  • L’intégration des exigences de sécurité de l’information dans les contrats et les accords.
  • L’élaboration de plans de continuité des activités dans l’organisation.
  • La mesure de la satisfaction des clients.

7.2.4 RSSI

Définir, développer et superviser l’ensemble des procédures et des instructions techniques liées à la sécurité de l’information pour soutenir le système de gestion.

Maintenir et réviser la documentation technique liée à la sécurité de l’information, les procédures documentées et les instructions de travail.

Contrôler la conformité à cette politique et la configuration de sécurité des systèmes.

Coordonner les processus de gestion liés à la sécurité de l’information, en collaboration avec le responsable de la SG. Fournir des conseils sur tous les aspects techniques de la gestion de la sécurité de l’information.

Identifier tout problème affectant la sécurité des produits et des services.

Enquêter sur tous les incidents de sécurité qui se produisent et les signaler à la personne responsable du système de gestion.

Mettre en œuvre les actions techniques correctives et préventives nécessaires résultant des non-conformités.

Tenir à jour et réviser la documentation technique relative à la sécurité de l’information, les procédures documentées et les instructions de travail.

Contrôler l’efficacité des contrôles mis en place pour assurer la sécurité de l’information.

Signer la déclaration d’applicabilité, qui contient la liste des mesures de sécurité sélectionnées pour un système.

Établir des mesures de sécurité adéquates et efficaces pour répondre aux exigences de sécurité établies par la direction, en suivant à tout moment les exigences de l’annexe II de la norme ENS, en déclarant l’applicabilité de ces mesures et de la norme ISO/IEC 27001:2022.

Promouvoir la sensibilisation à la sécurité et les activités de formation dans leur domaine de responsabilité. Proposer des améliorations au responsable du système de gestion.

Afin de mener à bien l’une de ses fonctions, le responsable de la sécurité peut demander la collaboration du

gestionnaire du système.

Il doit agir en tant que point de contact avec les administrations publiques auxquelles le groupe Signaturit (Espagne) fournit des services externalisés.

7.2.5 Responsable du service et responsable de l’information

Définir les exigences de sécurité du service, y compris les exigences d’interopérabilité, d’accessibilité et de disponibilité.

Déterminer les niveaux de sécurité du service, en accord avec le Responsable de la Sécurité et l’Administrateur Système.

Maintenir la sécurité des informations traitées et des services fournis par les systèmes d’information de son domaine de responsabilité.

Approuver toute modification substantielle de la configuration de tout élément du système.

Suspendre le traitement de certaines informations ou la fourniture d’un service électronique s’il est informé de graves défaillances de sécurité, sous réserve d’un accord préalable avec le Responsable de la Sécurité et la direction.

En outre, il/elle assumera le rôle de Contrôleur de l’information : responsable en dernier ressort de toute erreur ou négligence entraînant un incident de confidentialité ou d’intégrité (en termes de protection des données) et de disponibilité (en termes de sécurité de l’information).

Veiller à la bonne utilisation de l’information et donc à sa protection. Établir les exigences en matière de sécurité de l’information.

Déterminer les niveaux de sécurité des informations traitées, en évaluant les conséquences d’un impact négatif.

7.2.6 Administrateur de la sécurité du système

La mise en œuvre, la gestion et la maintenance des mesures de sécurité applicables au système d’information.

La gestion des autorisations accordées aux utilisateurs du système, en particulier les privilèges accordés, y compris le contrôle de la conformité de l’activité exercée sur le système avec ce qui est autorisé.

La mise en œuvre des procédures opérationnelles de sécurité.

Veiller au strict respect des contrôles de sécurité établis, ainsi qu’à l’application des procédures approuvées pour la gestion du système d’information.

7.2.7 Responsable informatique

La gestion, la configuration et la mise à jour, le cas échéant, du matériel et des logiciels sur lesquels reposent les mécanismes et les services de sécurité des systèmes d’information.

Mettre en œuvre les modifications de configuration des systèmes d’information.

Veiller au strict respect des contrôles de sécurité établis et à l’application des procédures approuvées de gestion du système d’information.

Surveiller les installations, les modifications et les mises à niveau du matériel et des logiciels afin de s’assurer que la sécurité n’est pas compromise et qu’elle est à tout moment conforme aux autorisations pertinentes.

7.2.8 DPO/Responsable de la protection de la vie privée

Informer et former en interne sur la protection des données. Fournir des conseils sur la protection des données.

Contrôler le respect de la réglementation (RGPD).

Participer à toutes les décisions organisationnelles en matière de protection des données.

Fournir des conseils, sur demande, sur l’analyse d’impact relative à la protection des données et contrôler sa mise en œuvre conformément à l’article 35 du RGPD – « Analyse d’impact relative à la protection des données ».

Coopérer avec l’autorité de contrôle, en l’occurrence l’Agence espagnole de protection des données, après coordination avec la

direction.

Servir de point de contact avec l’autorité de contrôle pour les questions relatives au traitement, y compris la consultation préalable visée à l’article 36 du RGPD, et consulter, le cas échéant, sur toute autre question.

7.3 Examen et approbation de la politique de sécurité

Le Comité SG a pour mission de réviser chaque année la présente Politique de sécurité de l’information et de proposer sa révision ou sa mise à jour.

La politique sera approuvée par la direction de l’organisation et, puisqu’il s’agit d’un document public conformément à la Politique de classification de l’information du groupe Signaturit (Espagne) (disponible dans le Système de gestion), elle sera diffusée par le service de communication afin que toutes les parties concernées en aient connaissance, et sera également mise à la disposition du public.

mise à la disposition de tiers via le site web de l’organisation : www.signaturit.com

En outre, elle pourra faire l’objet d’une révision supplémentaire en cas de changements importants affectant la sécurité, les services fournis par l’organisation, les changements réglementaires ou tout autre sujet pertinent.

8. POLITIQUE DE CONFIDENTIALITÉ DU GROUPE SIGNATURIT (ESPAGNE)

Conformément aux dispositions de la réglementation applicable en matière de protection des données (RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DE L’UNION EUROPÉENNE (UE)) PARLEMENT EUROPÉEN ET DU CONSEIL relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

ou RGPD et la loi organique 3/2018, du 5 décembre, sur la protection des données à caractère personnel et la garantie des droits numériques) Ivnosys Soluciones SLU et Signaturit Solutions SL, en leur qualité de responsables du traitement ou de responsables conjoints du traitement, selon le cas, et de sous-traitants des données de leurs clients, s’engagent à :

  • que les données personnelles des clients et des autres employés et collaborateurs seront traitées conformément aux principes de légalité, d’équité et de transparence. Les données collectées et utilisées le seront de la manière suivante à des fins explicites et légitimes. Les données collectées seront pertinentes, adéquates et limitées par rapport aux finalités établies pour ce traitement. Le principe d’exactitude sera respecté et toutes les mesures nécessaires seront prises pour leur rectification si nécessaire. Les données ne seront pas conservées plus longtemps que nécessaire au regard des finalités du traitement, sauf pour se conformer à des fins légales.
  • que toutes les mesures de sécurité mentionnées dans la présente Politique de sécurité de l’information tiendront compte de la protection de la confidentialité des informations.
  • que les données à caractère personnel dont le traitement est effectué en sa qualité de sous-traitant, les employés s’engagent à respecter et à faire respecter toutes les mesures énoncées dans la présente politique qui peuvent affecter les données à caractère personnel auxquelles ils peuvent avoir accès en raison de leur activité professionnelle, conformément à leurs responsabilités. De même, en ce qui concerne les
  • données à caractère personnel traitées par Signaturit en sa qualité de sous-traitant, les employés s’engagent à respecter toutes les mesures énoncées dans la présente Politique qui peuvent affecter les données à caractère personnel auxquelles ils peuvent avoir accès en raison de leur activité professionnelle. Responsable du traitement des données.
  • que Signaturit et ses employés et collaborateurs externes, lorsque, pour fournir les services contractés par ses clients, elle a besoin d’accéder à des données personnelles, dont le stockage et le traitement dans des fichiers relèvent de la responsabilité du client (conditions d’accès aux données pour le traitement) ; les conditions énoncées dans les documents « Activités de traitement à effectuer » de chaque service contracté, qui seront envoyés au client, en tant qu’ANNEXES aux « Conditions applicables à l’accès aux données à caractère personnel », seront appliquées.
  • que Signaturit, son personnel et ses collaborateurs externes participeront de manière proactive et communiqueront, selon les canaux de communication internes et externes établis dans le Plan de communication, tout incident ou violation de la sécurité dont ils auront connaissance, en particulier ceux qui pourraient affecter les données à caractère personnel, et collaboreront à leur gestion et à leur résolution en fonction du degré de responsabilité qui leur est attribué.

De même, pour tout ce qui n’est pas expressément prévu dans la présente Politique, Signaturit et l’ensemble de son personnel s’engagent à respecter scrupuleusement toutes les dispositions et tous les principes énoncés dans la

réglementation en vigueur en matière de protection des données, mentionnée au début de la présente section, ainsi que dans les réglementations qui la modifient ou la remplacent.

Signaturit dispose d’un système de gestion de la sécurité de l’information (SGSI) qui met en œuvre les meilleures pratiques en matière de gestion de la sécurité de l’information conformément à la norme ISO/IEC 27001:2022 et applique à tous les traitements de données qu’elle effectue, dans le cadre des contrats signés avec les clients, les contrôles et mesures visant à garantir la sécurité des données à caractère personnel, sous la responsabilité des clients, pour lesquelles elle est responsable. accès aux fins du contrat.

L’organisation s’assure qu’elle effectuera les contrôles périodiques et les audits de sécurité nécessaires pour vérifier que les contrôles et mesures de sécurité mis en œuvre sont efficaces pour faire face aux risques pour lesquels ils ont été mis en place dans chaque cas.

9. GESTION DES RISQUES

Tous les systèmes soumis à la présente politique doivent procéder à une analyse des risques, en évaluant les menaces et les risques auxquels ils sont exposés. Cette analyse sera effectuée régulièrement, au moins une fois par an. En outre, elle pourra être répétée dans les cas suivants :

  • Lorsque les informations traitées changent.
  • Lorsque les services fournis changent.
  • Lorsqu’un incident de sécurité grave se produit. Lorsque des vulnérabilités graves sont signalées.
  • Pour l’harmonisation des analyses de risques, le Comité SG établira une évaluation de référence pour les différents types d’informations traitées et les différents services fournis.
  • La méthodologie utilisée pour l’évaluation des risques est MAGERIT et permet de gérer efficacement les incidents qui pourraient survenir dans les différents actifs informationnels et affecter l’un des principes de confidentialité, d’intégrité, de disponibilité, d’authenticité et de traçabilité.
  • Le Comité SG rationalisera la disponibilité des ressources pour répondre aux besoins de sécurité des différents systèmes en favorisant les investissements horizontaux.

10. DÉVELOPPEMENT DE LA POLITIQUE DE SÉCURITÉ

La présente politique de sécurité de l’information complète les politiques de sécurité du groupe Signaturit (Espagne) dans différents domaines :

  • Politique du système de gestion.
  • Politique des services eIDAS et déclarations de pratiques. Politique d’utilisation acceptable des actifs.
  • Analyse des risques de sécurité. Gestion des incidents.
  • Gestion des actifs.
  • Sécurité physique et environnementale.
  • Contrôle d’accès.
  • Sécurité des communications et des opérations.
  • Organisation de la sécurité.
  • Continuité.
  • Gestion du changement.
  • Classification des informations.
  • Développement sécurisé.
  • Amélioration continue.

Cette politique sera développée au moyen de règlements de sécurité qui abordent des aspects spécifiques. La politique de sécurité sera mise à la disposition de tous les membres de l’organisation qui ont besoin de la connaître, et en particulier de ceux qui utilisent, exploitent ou administrent les systèmes d’information et de communication.

Lesdits règlements (processus, procédures, instructions de travail et toute autre documentation nécessaire) seront publiés dans le système de gestion en confluence, ainsi que dans le wiki d’entreprise du groupe Signaturit (Espagne).

11. OBLIGATIONS DU PERSONNEL

Tous les membres du groupe Signaturit (Espagne) sont tenus de connaître et de respecter la présente politique de sécurité de l’information et les règles de sécurité, et il incombe au comité SG de mettre à disposition les moyens nécessaires pour s’assurer que l’information parvient aux personnes concernées.

Tous les membres du groupe Signaturit (Espagne), dans le cadre du plan de formation annuel, doivent assister à une session de sensibilisation à la sécurité des TIC au moins une fois par an. Un programme de sensibilisation continue sera mis en place, basé sur la diffusion régulière d’e-mails sur la sécurité de l’information, pour tous les membres du groupe Signaturit (Espagne), en particulier les nouvelles recrues.

Pour ces personnes, en outre, nous organiserons une formation spécifique et une évaluation des connaissances acquises, dans le cadre du processus d’intégration dans l’organisation.

Les personnes responsables de l’utilisation, du fonctionnement ou de l’administration des systèmes TIC seront formées à l’utilisation, au fonctionnement ou à l’administration des systèmes TIC. Elles seront formées à l’utilisation, au fonctionnement ou à l’administration des systèmes TIC en toute sécurité, dans la mesure où elles en ont besoin pour effectuer leur travail. La formation sera obligatoire avant d’assumer une responsabilité, qu’il s’agisse de leur première affectation ou d’un changement de poste ou de responsabilités professionnelles.

12. TIERS

Lorsque le groupe Signaturit (Espagne) fournit des services à d’autres organisations ou traite des informations provenant d’autres organisations, celles-ci seront informées de la présente politique de sécurité de l’information, et des canaux seront mis en place pour signaler et coordonner la sécurité de l’information des autres organisations.

Les personnes et procédures responsables respectives seront établies, conformément à la procédure de gestion des incidents de l’organisation, pour réagir aux éventuels incidents de sécurité qui pourraient survenir.

Lorsque le groupe Signaturit (Espagne) utilise les services de tiers ou transfère des informations à des tiers, ceux-ci seront informés de la présente politique de sécurité et des règles de sécurité relatives à ces services ou informations. Ces tiers seront soumis aux obligations énoncées dans la présente politique et pourront élaborer leurs propres procédures opérationnelles pour satisfaire à ces obligations.

Des procédures spécifiques de signalement et de résolution des incidents doivent être établies. Voir s’assurer que le personnel des tiers est suffisamment sensibilisé à la sécurité, au moins au même niveau que celui défini dans la présente politique. Lorsqu’un aspect de la politique ne peut être respecté par un tiers, celui-ci doit s’assurer que le tiers

Comme indiqué dans les paragraphes précédents, le responsable de la sécurité, en collaboration avec le responsable du service, se réunira pour définir et préciser les risques encourus et la manière de les gérer. Le groupe Signaturit (Espagne) s’engage à garantir le respect des obligations légales établies contractuellement avec ses fournisseurs en élaborant une politique de chaîne d’approvisionnement et en contrôlant et supervisant le respect de celle-ci.

Les tiers ayant ou non une relation contractuelle avec le groupe Signaturit (Espagne) s’abstiendront de tester les intrusions, les vulnérabilités et/ou tout type d’accès ou de tentative d’accès à l’un des systèmes d’information du groupe Signaturit (Espagne), sauf consentement exprès préalable, conformément aux dispositions du droit pénal national et international

.

ANNEXE – GLOSSAIRE

Analyse des risques

Utilisation systématique des informations disponibles pour identifier les dangers et estimer les risques.

Données à caractère personnel

Toute information concernant des personnes physiques identifiées ou identifiables.

Gestion des incidents

Plan d’action pour traiter tout incident survenant. En plus de les résoudre, il doit intégrer des mesures de performance

qui permettent de comprendre la qualité du système de protection et de détecter les tendances avant qu’elles ne deviennent des problèmes majeurs.

Gestion des risques

Activités coordonnées pour diriger et contrôler une organisation en ce qui concerne les risques.

Incident de sécurité

Événement inattendu ou indésirable ayant des conséquences préjudiciables à la sécurité du système d’information.

Information

Cas spécifique d’un certain type d’information.

Politique de sécurité

Ensemble de directives écrites qui régissent la manière dont une organisation gère les informations et les services qu’elle considère comme

critiques.

Responsable de l’information

Personne ayant le pouvoir d’établir les exigences de sécurité pour l’information.

Responsable de la sécurité

Le responsable de la sécurité doit déterminer les décisions à prendre pour satisfaire aux exigences de sécurité de l’information et des services.

Responsable du système

Personne en charge du fonctionnement du système d’information.

Système d’information

Ensemble organisé de ressources permettant de collecter, stocker, traiter ou manipuler, maintenir, utiliser,

partager, distribuer, mettre à disposition, présenter ou transmettre des informations.