Mesures techniques et organisationnelles

21 Déc 2023

Mesures techniques et organisationnelles

Ces Mesures techniques organisationnelles couvrent tous les bureaux de CitNOW Group, ainsi que ses installations de recherche et de développement.

À propos de CitNOW Group

Créé pour tirer parti de l’innovation et aider les détaillants et les fabricants à offrir une expérience client exceptionnelle, CitNOW Group est animé par la volonté de transformer la façon dont le monde de l’automobile communique.

CitNOW Group offre de multiples services pour les différentes étapes du parcours client. Découvrez chaque service sur notre page Marques et solutions.

CitNOW Group comprend CitNOW, CitNOW Imaging, CitNOW Triage et Appraise, Dealerdesk, Dealerweb, Quik, REALtime Communications (RTC) et Web1on1 (opérant sous le nom de CitNOW Conversations). Notre champ d’action est mondial, nous sommes présents dans 82 pays, sur plus de 19 500 installations et nous avons formé un certain nombre de partenariats avec des équipementiers automobiles complémentaires.

Objectif et champ d’application

CitNOW Group traite les données des clients et des consommateurs pour le compte de nos clients de l’Industrie automobile. En tant que tel, CitNOW Group respecte la confidentialité et la valeur de ces données, ainsi que la confiance que nos clients nous accordent.

Les mesures techniques et organisationnelles visant à garantir la protection et la sécurité des données sont les suivantes. L’objectif est de garantir la confidentialité, l’intégrité et la disponibilité des informations traitées. Pour obtenir des informations plus détaillées sur les installations des centres de données, cliquez sur les liens au bas du document.

Approche

Nous :

utiliserons toutes les mesures de sécurité raisonnables, appropriées, pratiques et efficaces pour protéger nos processus et biens importants afin d'atteindre nos objectifs en matière de sécurité.
respecterons toutes les exigences de la norme ISO 27001:2022 dans le cadre de notre Système de gestion de la sécurité de l'information.
utiliserons la norme ISO 27002 comme cadre pour guider notre approche de la gestion de la sécurité.
réexaminerons en permanence notre utilisation des mesures de sécurité afin d'améliorer la façon dont nous protégeons nos activités.
protègerons et gèrerons nos biens informationnels afin de nous permettre de respecter nos responsabilités contractuelles, législatives et en matière de protection de la vie privée.
utiliserons toutes les mesures raisonnables, appropriées, pratiques et efficaces pour transférer des informations à des Tiers qui ont besoin d'y avoir accès.
assurerons la conformité avec le Règlement général sur la protection des données (RGPD), le Règlement général sur la protection des données du Royaume-Uni (RGPD du Royaume-Uni) et le Règlement général sur la protection des données de l'UE (RGPD de l'UE) par l'intermédiaire de nos représentants RGPD au sein de l'entreprise, ainsi que de notre Délégué à la protection des données (DPD) indépendant et externalisé.
utiliserons le cadre et les lignes directrices de TISAX pour répondre aux exigences de sécurité de l'information des consommateurs et de la réglementation dans le cadre des politiques de CitNOW Group.

Politiques relatives à la sécurité de l'information
1. CitNOW Group a défini un ensemble de Politiques relatives à la sécurité de l'information qui ont été approuvées par le Conseil d'administration et qui définissent l'approche de l'organisation pour gérer ses objectifs en matière de sécurité de l'information.
2. Les politiques relatives à la sécurité de l'Information sont en place pour répondre aux exigences créées par la stratégie de l'entreprise, les règlements, la législation, les contrats et l'environnement actuel et prévu des menaces à la sécurité de l'information. Ces politiques sont également un critère de nos accréditations ISO 27001, Cyber Essentials Plus et TISAX (le cas échéant, par entité). Les politiques suivantes sont en place pour l'ensemble du personnel :
  - Politique de contrôle d’accès
  - Politique d'utilisation acceptable
  - Politique de gestion des changements
  - Politique de classification de l'information
  - Politique de gestion des incidents de sécurité de l'information
  - Politique de transfert de l'information
  - Politique en matière de dispositifs mobiles et de télétravail
  - Politique en matière de sécurité physique
  - Politique en matière de bureaux et d'écrans vides
  - Système en matière de gestion des mots de passe
  - Politique en matière de cryptographie
  - Politiques du personnel, y compris l'intégration, l'approbation et la cessation d'activité du personnel
  - Politique d'utilisation des navigateurs Internet
3. Il peut également y avoir d'autres politiques obligatoires en plus de celles mentionnées ci-dessus, en fonction de la fonction de l'employé.
4. Un examen de toutes les politiques de sécurité de l'information de CitNOW Group est effectué au moins une fois par an ou à chaque fois que des changements importants sont apportés qui auraient un impact sur une politique, quelle que soit la nature du changement (par exemple, changement d'activité, changement de législation, changement technologique).
Gestion des risques
1. CitNOW Group a une approche globale mais pragmatique de l'identification, de l'analyse et du traitement des risques, ainsi que du suivi et de l'examen continus. Cette méthode est décrite dans notre document sur l'Évaluation des risques et la méthodologie de traitement. Il aborde les risques découlant de questions internes et externes, qu'ils soient liés à des menaces ou à des opportunités, et décrit l'approche des risques découlant de la législation applicable.
2. Il existe également un Registre des risques en vigueur, qui est utilisé pour cartographier et traiter les risques identifiés à partir de l'identification et de l'analyse. Il est également utilisé pour prouver l'activité et démontrer les liens avec les contrôles et les politiques sélectionnés par l'organisation pour faire face aux menaces et aux opportunités liés aux risques.
Organisationnel
1. Rôles et responsabilités : CitNOW Group a identifié les rôles et responsabilités clés en matière de Sécurité de l'information et de Protection des données. Ces rôles spécifiques sont attribués et communiqués de manière à ce que la sécurité de l'information soit non seulement gérée efficacement, mais aussi que les performances du système de gestion de la sécurité soient communiquées à la haute direction.
  1. Chef des opérations de sécurité et des risques : Diriger et gérer le comité ISO afin d'assurer le maintien du Code ISM (Système international de gestion de la sécurité) et de l'accréditation ISO. Il est également responsable de la Sécurité de l'information au sein de l'organisation ainsi que de la gestion des risques.
  2. Responsable de la conformité et de la protection des données du groupe: Il dirige l'Équipe de conformité du groupe et est responsable des domaines du Code ISM relatifs aux aspects juridiques, contractuels et à la protection des données. Responsabilité des pratiques concernant le RGPD dans nos bureaux au Royaume-Uni et dans l'UE.
  3. Comité ISO : Gestion et maintien au quotidien du Code ISM. Mettre en œuvre les Politiques et les Procédures et veiller à ce que le personnel s'y conforme. Gestion des mesures correctives et des améliorations à apporter, ainsi que des risques et des traitements.
  4. Auditeurs internes : Ces personnes ont suivi le cours recommandé de l'Auditeur interne ISO 27001 et sont, à ce titre, responsables de la réalisation de tous les audits Internes, conformément au Programme d'audit.
  5. Conseil d'administration responsable du Code ISM et du RGPD : Point de contact pour le comité ISO et le Conseil d'administration de CitNOW Group. Il est responsable de la signature des nouvelles politiques et procédures dans le cadre de l'ISO et s'assure que nous travaillons à la réalisation de nos indicateurs clés de performance. Il est également responsable de la signature de l'Acceptation des risques conformément à notre Méthodologie des risques.
  6. Responsable de la protection des données : Responsable de veiller à ce que CitNOW Group respecte tous les aspects des Législations RGPD, à la fois au Royaume-Uni et dans l'UE.
  7. Représentant de l'UE : Notre représentant désigné auprès de l'UE en ce qui concerne le RGPD de l'UE. Responsable de la liaison avec les autorités de surveillance de l'UE en ce qui concerne le RGPD de l'UE et de la liaison avec les Personnes concernées basées dans l'UE.
  8. Ambassadeurs du RGPD : Personne à contacter au quotidien pour les questions liées au RGPD au sein de l'entreprise. S’assure à la mise à jour des Politiques en vigueur, telles que le document relatif à l'Article 30 sur les Relevés de traitement, le Registre des violations, etc. Il est également responsable de la mise à jour de l'Avis de confidentialité et veille à notre conformité quotidienne en ce qui concerne nos responsabilités à l'égard des Personnes concernées et des clients.
2. Séparation des tâches : La séparation des tâches permet de s'assurer que des responsabilités contradictoires ne sont pas attribuées à la même personne et d'empêcher qu'une seule personne puisse accéder, modifier ou utiliser des biens sans autorisation ou sans que cela soit détecté.
3. Renseignements sur les menaces : Pour comprendre les menaces et les vulnérabilités potentielles susceptibles d'affecter la sécurité de l'information, nous recueillons et analysons des renseignements sur les menaces provenant de sources bien connues. Cela nous permet d'être au courant des menaces qui peuvent nous affecter et de prendre les mesures appropriées le cas échéant. Tout renseignement sur les menaces susceptibles d'affecter l'organisation est consigné dans le Registre des risques et suit notre méthode de traitement des risques.
4. Sécurité de l'information dans la gestion de projet : Les Départements produits du groupe suivent un flux de travail pour le produit qui comprend la nécessité d'impliquer la Conformité dès les premières étapes du projet, ainsi que la réalisation d'évaluations des risques. Si un Projet a une incidence sur la Vie privée de nos clients, de notre personnel ou de nos consommateurs, nos procédures d'Évaluation de l'impact sur la protection des données doivent être suivies. Si un projet implique un tiers, la Procédure de sécurité des fournisseurs sera également suivie.
5. Inventaire des informations et autres biens : Nous disposons d'un Système de suivi de l'inventaire des biens informationnels et d'un Système de suivi des biens physiques, qui permettent de suivre nos biens tout au long de leur cycle de vie. Le propriétaire d'un bien est responsable de sa bonne gestion tout au long de son cycle de vie et de sa protection conformément à la Classification des informations. Tous les biens informationnels de CitNOW Group doivent être retournés à CitNOW Group à la fin de l'emploi ou de l'accord avec un tiers.
6. Utilisation acceptable de l'information et des autres biens associés : CitNOW Group dispose d'une politique d'utilisation acceptable qui définit les règles d'utilisation des systèmes d'information et des biens de l'entreprise. Il met l'accent sur une utilisation responsable à des fins professionnelles, interdit les activités non autorisées et garantit la sécurité des données. Les employés doivent suivre les lignes directrices concernant les mises à jour de logiciels, l'utilisation de l'internet, la communication par courrier électronique et le signalement d'incidents.
7. Traitement des biens : Dans la mesure du possible, CitNOW Group évite de créer lui-même des biens informationnels sur papier et s'efforce de ne produire que des informations numériques. Les informations numériques sont protégées contre tout accès non autorisé par des mesures telles que les Contrôles d'accès.
8. Classification et étiquetage des informations : CitNOW Group dispose de trois niveaux de confidentialité définis par la « Matrice de classification des informations » (Confidentiel, Public et Interne). Toute la documentation doit être clairement étiquetée avec le l’étiquette de confidentialité approprié et les informations classées « Confidentielles » doivent être accompagnées d'une Liste des personnes autorisées.
9. Transfert d'informations : CitNOW Group a une politique de transfert d'informations qui garantit que tous les transferts d'informations/données au sein de CitNOW Group, qu'ils soient internes, externes ou à des tiers, répondent à des exigences minimales de sécurité. Il décrit les rôles et les responsabilités, les méthodes de transfert sécurisé et les lignes directrices pour le traitement des différents formats d'information, y compris le courrier électronique, la messagerie instantanée et les dispositifs de mémoire externes. Cette politique s'applique à tous les employés et aux tiers et souligne l'importance du respect des règles et de la classification correcte des informations.
10. Contrôle d'accès : CitNOW Group dispose d'une politique de Contrôle d'accès qui définit les règles d'accès aux systèmes, à l'équipement, aux installations et à l'information en fonction des besoins de l'entreprise et de la sécurité. L'accès suit les principes du « refus par défaut » et du « besoin de savoir ». Le Contrôle d'accès basé sur les rôles (CABR) respecte le principe de la « limite des privilèges » et les droits d'accès sont revus chaque année. Le service informatique contrôle l'accès au réseau et ne l'accorde qu'en cas de nécessité.
11. Responsabilités des utilisateurs et gestion des Mots de passe : Tous les utilisateurs des systèmes de CitNOW Group doivent avoir un identifiant unique et doivent être authentifiés par un mot de passe. Les mots de passe doivent rester confidentiels et ne doivent pas être distribués par quelque moyen que ce soit (oral, écrit, électronique, etc.) ni sauvegardés dans le système d'information, sauf dans un gestionnaire de mots de passe approuvé. Les utilisateurs doivent appliquer de bonnes pratiques de sécurité lors de la sélection et de l'utilisation des mots de passe et respecter les obligations énoncées dans la politique relative aux mots de passe.
12. Gestion de l'accès de l’utilisateur : La mise en œuvre technique de l'attribution ou de la suppression des Droits d'accès de base des employés de CitNOW Group est effectuée par le Service informatique et le Service des RH. La mise en œuvre technique de l'attribution ou de la suppression des droits d'accès est effectuée par les Propriétaires du système. La séparation des tâches et la distinction entre les comptes privilégiés et les comptes non privilégiés sont mises en œuvre chaque fois que cela est possible et pratique. Les droits d'accès sont contrôlés et revus régulièrement, au moins une fois par an.
13. Sécurité de l'information dans le cadre des relations avec les fournisseurs : CitNOW Group dispose d'une Politique de sécurité des fournisseurs. L'objectif de cette politique est de s'assurer que l'échange d'informations avec des tiers se fait de manière à tirer le maximum de valeur de ces relations tout en protégeant les biens informationnels de CitNOW Group contre les abus. Tous les tiers ayant accès à des données ou à des informations ont conclu un Accord actualisé de non-divulgation et de confidentialité. Cette information est contenue dans le contrat ou l'accord de service, selon le type de fournisseur. Il existe également une procédure interne pour les tiers qui garantit que tous les employés suivent les étapes correctes lorsqu'ils envisagent de faire appel à un nouveau fournisseur et que l'Équipe chargée de la conformité est impliquée dans le processus, qui s'assurera que toutes les vérifications ont été effectuées.
14. Fournisseur abordant la question de la sécurité avec les fournisseurs : Dans la mesure du possible, nous travaillons avec des fournisseurs qui répondent déjà à la majorité de nos besoins en matière de Sécurité de l'information pour les services qu'ils nous fournissent et qui ont de bons antécédents en matière de traitement responsable des questions de sécurité de l'information. Nous sélectionnons des services de premier plan et de confiance, réputés pour leur robustesse, leur fiabilité et leur sécurité et, dans la mesure du possible, nous nous tournons vers des fournisseurs qui ont déjà obtenu la norme ISO 27001 ou son équivalent.
15. Suivi, examen et gestion des changements du fournisseur : Tous les fournisseurs de CitNOW Group font l'objet d'un examen de sécurité approfondi avant de faire appel à leurs services. Ce processus d'examen est continu, les fournisseurs critiques étant évalués chaque année et les fournisseurs non critiques étant examinés à la fin de leur contrat ou avant son renouvellement. Lors de la gestion des changements de services des fournisseurs, nous prenons en compte plusieurs facteurs afin d'obtenir les meilleurs résultats. La meilleure pratique consiste à rechercher et à évaluer trois fournisseurs potentiels avant de procéder à une sélection finale. Les principales considérations sont les suivantes :
  - La nature du changement ;
  - Le type de fournisseur concerné, la criticité des informations, des systèmes et des processus de l'entreprise et la réévaluation des risques ;
  - L'intimité de la relation ; et
  - Notre capacité à influencer ou à contrôler les changements chez le fournisseur
16. Gestion des incidents de sécurité de l'information Des procédures de réponse aux incidents sont établies à l'avance afin de garantir une approche structurée en cas d'incident. Elles définissent les rôles et les responsabilités du personnel en matière de signalement et de réponse aux incidents de sécurité, créant ainsi un cadre de gestion cohérent. La tâche initiale consiste à évaluer l'événement et à décider des mesures à prendre pour minimiser la compromission de la Disponibilité, de l'Intégrité ou de la Confidentialité (DICq) des informations, prévenir d'autres incidents, minimiser les perturbations et identifier les personnes à informer, notamment le personnel interne, les clients, les fournisseurs et les régulateurs, tout en tenant compte des exigences du RGPD et de la Loi sur la protection des données (Data Protection Act) de 2018. Une fois l'évaluation effectuée, une personne désignée communiquera avec les parties concernées pour résoudre l'événement. Le temps de réponse varie en fonction de la classification et de la gravité de l'incident. Si un incident affecte des clients, nous les informerons conformément aux obligations légales et contractuelles, dans les limites prévues par la loi, après une enquête approfondie.
17. Sécurité de l'information lors d’une perturbation : CitNOW Group a identifié divers scénarios susceptibles d'avoir un impact sur l'entreprise et a documenté les mesures à prendre pour atténuer ces événements dans le cadre du Plan de continuité des activités. Ce plan est conçu pour faciliter la reprise rapide des opérations en cas d'incident perturbateur. Le test et le maintien du plan de continuité des activités de CitNOW Group sont effectués pour s'assurer qu'il est cohérent avec nos objectifs de sécurité de l'information, sur la base des éléments suivants :
  - Les tests de certaines parties du plan et de leur impact sur la sécurité de l'information sont effectués à des fréquences liées à la probabilité et à l'impact du risque selon l'évaluation du risque.
  - Les audits du Plan de continuité des activités sont planifiés régulièrement conformément au programme d'audit.
  - Les équipes chargées de la conformité et des technologies de l'information examinent le plan lui-même pour s'assurer de sa pertinence, et toute modification bénéfique identifiée est présentée au Conseil d'administration.
  - Un exercice de simulation complet de Continuité des activités est réalisé au moins une fois par an pour s'assurer qu'il fait toujours partie d'une approche intégrée de l'entreprise et de sa capacité à atteindre ses objectifs.
18. Législation applicable : La législation, la réglementation et les exigences contractuelles applicables à CitNOW Group sont identifiées, documentées, contrôlées et révisées dans le cadre du déroulement normal des activités et dans le cadre des examens par la direction.
19. Droits de propriété intellectuelle : CitNOW Group décrit son approche de la protection de ses propres Droits de propriété intellectuelle (DPI) à travers les mesures suivantes, qui découlent de politiques et d'accords établis, comme notamment :
  - Conditions générales d’emploi
  - Suppression d'informations
  - Accord de non-divulgation et de confidentialité
20. Protection des documents : Les dossiers de CitNOW Group sont protégés contre la perte, la destruction, la falsification, l'accès non autorisé et la divulgation non autorisée, conformément aux exigences législatives, réglementaires, contractuelles et commerciales. Des dossiers spécifiques sont conservés conformément à la procédure de conservation des données. Annexe et gérés par le propriétaire de l'information ou de l'bien concerné
21. Révision de la sécurité de l'information : Les politiques et procédures de sécurité de l'information de CitNOW Group font l'objet d'un examen indépendant à intervalles réguliers et lorsque des changements sont apportés, dans le cadre de notre engagement en faveur de l'amélioration continue des services. Les Audits internes sont également planifiés dans le cadre du Programme d'audit, sur une base annuelle, et le personnel approprié est affecté à la réalisation de l'audit.
22. Examen technique : Des tests de vulnérabilité et d’intrusion sont effectués chaque année sur chaque produit par une société spécialisée dans les tests d'intrusion, les résultats sont examinés et les éventuelles vulnérabilités sont corrigées.
23. Procédures opérationnelles : CitNOW Group a mis en place des procédures opérationnelles et permet aux Directeurs et aux Chefs de service de décider où stocker les procédures opérationnelles qui leur conviennent le mieux, à eux et à leur personnel, ainsi que la création de cette documentation.
Personnel
1. Sélection : La Politique globale de recrutement et de sélection de CitNOW Group comprend les activités de sélection qui doivent être entreprises pour tous les nouveaux employés. Il s'agit notamment, mais pas exclusivement, de la preuve de leur éligibilité au travail et de deux références professionnelles satisfaisantes.
2. Conditions générales de l’employé : Tous les nouveaux employés de CitNOW Group reçoivent un Contrat spécifique à l'entité avec laquelle ils dialoguent au moment de l'Offre d'emploi. Ces contrats imposent des obligations strictes de non-divulgation et de confidentialité à l'employé et décrivent les obligations de conformité avec les politiques de sécurité de l'information.
3. Sensibilisation, éducation et formation à la sécurité de l'information : Dès leur arrivée dans l'entreprise, les membres du personnel doivent participer à nos sessions de formation « DNA » qui les intègrent complètement dans l'entreprise, y compris des sessions données par des membres de l'Équipe de sécurité de l'organisation. Une formation continue et une sensibilisation sont assurées par l'ensemble du personnel actuel sous la forme d'un apprentissage en ligne et de campagnes de lutte contre le Hameçonnage. Le personnel est également encouragé à rechercher et à demander une formation qu'il juge bénéfique en fonction de ses compétences.
4. Politique disciplinaire : La sécurité de l'information est importante et la non-conformité répétée aux politiques de CitNOW Group ou la cause délibérée d'une violation majeure des données pourrait entraîner des mesures disciplinaires, si nécessaire et applicable, le Service des RH de CitNOW Group agira conformément à la politique disciplinaire pour les employés du marché britannique. La politique disciplinaire s'applique à tous les employés du marché britannique. En raison des différences de législation dans les autres marchés, l'équipe des RH gérera les mesures disciplinaires dans les autres marchés conformément à la législation locale.
5. Résiliation ou changement d'emploi : En cas de résiliation de l'emploi, les questions telles que la non-divulgation et le comportement à l'égard des informations confidentielles après le départ de l'organisation sont traitées conformément aux Conditions générales d'emploi et sont rappelées aux membres du personnel lors de l'entretien de fin d'emploi avec l'Équipe des RH. La récupération des biens des sortants s'effectue conformément à la politique de restitution des biens et le retrait de tous les systèmes s'effectue conformément à la Politique de contrôle d'accès.
6. Accords de non-divulgation et de confidentialité : Accords de confidentialité et de non-divulgation répondant aux exigences de protection des informations confidentielles en utilisant des termes juridiquement exécutoires. Des accords de confidentialité ou de non-divulgation sont applicables et requis pour toutes les parties externes ou les employés de CitNOW Group, avec soit un Accord de non-divulgation signé en place, soit une Disposition complète d'accord de non-divulgation faisant partie d'un accord.
7. Signaler les événements et les faiblesses en matière de sécurité de l'information : Chaque employé, fournisseur ou autre tiers qui est en contact avec les informations et/ou les systèmes de CitNOW Group, ou ceux de ses clients, doit signaler toute faiblesse du système, tout incident ou tout événement qui pourrait conduire à un éventuel incident de sécurité. Les informations sur la manière de signaler de tels événements ou faiblesses font partie de notre formation continue à la sécurité de l'information pour tous les employés de CitNOW Group et dans le cadre du processus d'intégration des fournisseurs et autres tiers.
Physique
1. Entrée physique : Les mesures de sécurité physique dans tous les bureaux de CitNOW Group sont les suivantes :
  - Tous les employés ont besoin d'un passe pour entrer dans les bureaux, sauf si ceux-ci disposent d'une réception surveillée.
  - Tous les visiteurs sont tenus de s'inscrire à la réception et de toujours porter un badge de visiteur.
  - Les employés ont un devoir de vigilance et sont tenus d'interpeller les personnes inconnues dans l'enceinte du bureau.
  - Les portes du bureau principal doivent toujours être fermées.
  - Toutes les fenêtres et les portes d'accès principales sont verrouillées à la fin de chaque journée.
  - Un système de vidéosurveillance est en place pour couvrir les points d'accès à tous les bureaux, et est fourni par les propriétaires.
2. Zones sécurisées : Tous les bureaux de CitNOW Group sont sécurisés par les contrôles suivants :
  - Les télécommunications, les serveurs et les équipements de réseautage sont stockés en toute sécurité dans des salles de communication fermées à clé, et seuls quelques employés ont accès à ces espaces.
  - Le courrier est distribué dans une seule boîte aux lettres fermée à clé, uniquement accessible à notre personnel dans la mesure du possible.
  - Des classeurs sécurisés, des casiers ou des tiroirs de bureau verrouillables sont à la disposition de l'ensemble du personnel.
  - Si une salle de réunion commune est utilisée pendant plusieurs jours, il est possible, le cas échéant, de laisser des documents pendant la nuit, à condition que la salle soit fermée à clé et que tout document confidentiel soit dissimulé à la vue des passants.
  - Toutes les réunions de nature « Confidentielle » se tiennent dans des salles de réunion spéciales afin d'éviter tout risque de fuite d'informations dans le bureau principal agencé en espace ouvert où elles ne doivent pas être partagées.
  - Il est rappelé aux employés et aux autres personnes utilisant les bureaux et les salles de réunion qu'ils doivent éviter de laisser des documents « Confidentiels » à la vue d'autres personnes, ce qui inclut les tableaux blancs d'information, etc.
3. Politique en matière de bureaux et d'écrans vides : Les informations confidentielles ou sensibles, qu'elles soient conservées sous forme électronique ou sur papier, doivent être sécurisées de manière appropriée et conformément à la Politique de classification des informations lorsque les employés sont absents de leur lieu de travail pendant une période prolongée et à la fin de chaque journée de travail. Pour faciliter cette tâche, des principes directeurs ont été élaborés. Ils couvrent à la fois les formes d'information non électroniques (par exemple, les fichiers manuels/papier) et électroniques. Lorsqu'ils s'absentent de leur poste de travail, les employés doivent verrouiller l'écran à l'aide d'un mot de passe.
4. Équipement : CitNOW Group a mis en place les contrôles suivants pour assurer la sécurité de l'équipement.
  - CitNOW Group utilise principalement des services basés sur le cloud auprès de grands fournisseurs bien établis, qui sont responsables de la fourniture de services garantis dans leurs centres de données respectifs.
  - Les câbles d'alimentation et de télécommunications transportant des données ou soutenant des services d'information dans tous les bureaux de CitNOW Group sont protégés contre l'interception, l'interférence ou les dommages.
  - Les câblages vers les serveurs et les équipements de réseautage sont stockés en toute sécurité dans des salles de communication fermées à clé, et seuls quelques employés ont accès à ces espaces et l’ensemble du câblage est bien entretenu.
  - Les équipements spécialisés tels que les équipements de Protection contre les incendies sont entretenus conformément aux intervalles de service et aux spécifications.
5. Dispositifs de stockage : Les employés de CitNOW Group ne sont autorisés à utiliser sur leurs ordinateurs de travail que les dispositifs amovibles fournis par l'entreprise et délivrés par le service informatique. Ces dispositifs ne doivent pas être connectés ou utilisés sur des ordinateurs n'appartenant pas ou n'étant pas loués par CitNOW Group, sauf autorisation explicite du service informatique. Toutes les données professionnelles ou personnelles stockées sur les biens doivent être effacées en toute sécurité à l'aide de technologies approuvées, en fonction de la sensibilité des données. CitNOW Group veille à ce que tous les biens soient éliminés par l'intermédiaire de sociétés de traitement agréées pour les DEEE (Déchets d'équipements électriques et électroniques). Les employés sont autorisés à emporter des équipements de l'entreprise, tels que des ordinateurs portables, hors du site sans autorisation préalable ou sans qu'il soit nécessaire d'enregistrer l'événement, à condition que toutes les politiques de sécurité relatives à la protection des biens soient respectées à tout moment.
Technologique
1. Malware : L'utilisation d'un logiciel antivirus sur les appareils des employés permet de détecter et d'éliminer la grande majorité des malwares courants. Nous utilisons des produits connus et largement reconnus pour minimiser le risque qu'un utilisateur rencontre des logiciels malveillants. Dans tous les cas où un logiciel anti-malware est installé :
  - Le logiciel doit être régulièrement mis à jour à l'aide de la fonction de mise à jour automatique du logiciel ;
  - Une détection des malwares doit avoir lieu lors de l'accès aux fichiers.
2. Gestion de la vulnérabilité : CitNOW Group effectue périodiquement des détections de vulnérabilité et réalise des tests d’intrusion annuels afin de détecter toute vulnérabilité qui n'aurait pas été identifiée auparavant. Lorsqu'une vulnérabilité est découverte, quelle qu'en soit la source, l'Équipe de conformité, le Responsable informatique, le Responsable technique et toutes les autres parties prenantes l’examineront. Lorsqu'une action est nécessaire pour remédier à une vulnérabilité, mais selon la nature de cette dernière, elle est prise immédiatement ou programmée pour être prise à une date cible spécifiée.
3. Suppression d'informations : L'utilisation d'entrepôts de données de premier plan permet à CitNOW Group de garantir un concept de haute disponibilité et de sécurité. Nos bases de données détiennent les Informations personnelles identifiables (IPI) des Clients et des Consommateurs (définies à l'article 6 conformément à la Loi sur la protection des données [Data protecion Act] de 2018). Pour la suppression des IPI de nos bases de données, nous utilisons des concepts d'anonymisation, puis de suppression complète après une période définie. Suppression des IPI de nos bases de données :
  Conserver des journaux indiquant que les éléments suivants seront conservés pour chaque suppression :
  - Qui
  - Supprimé quoi
  - Quand
  - Autorisé par qui
4. Prévention des fuites de données : CitNOW Group a mis en œuvre des techniques suivantes de Prévention de la perte de données qui nous permettent de nous assurer que nos informations sensibles sont consultées et utilisées correctement et qu'elles ne sont pas accessibles à des utilisateurs inconnus ou anonymes :
  - Identifier les données qui doivent être protégées, par exemple en les classant ;
  - Spécifier qui a accès à quelles informations et quand elles peuvent être consultées ;
  - S'assurer que le fournisseur de services dispose d'un mécanisme de contrôle et de suivi de la manière, du moment et de la nature des données auxquelles il accède, afin de protéger les informations contre toute utilisation, copie ou distribution non autorisée ;
  - Le contrôle des informations partagées avec des personnes extérieures ou des tiers ;
  - Souligner auprès du personnel la nécessité de vérifier les destinataires, de classer les informations, par la sensibilisation, l'éducation et la formation à la sécurité de l'information ;
  - Prendre des mesures pour mettre en œuvre le masquage des Données le cas échéant.
5. Sauvegarde: Les sauvegardes de tous les systèmes critiques au sein de CitNOW Group sont effectuées régulièrement, à la fois dans le cloud et localement. Des politiques de sauvegarde ont été établies pour définir les exigences et les périodes de conservation pour la sauvegarde des informations, des logiciels et des systèmes au sein de chaque entité.
6. Disponibilité de moyens de traitement de l'information : CitNOW Group utilise principalement des services basés sur l'informatique dématérialisée pour la fourniture de son travail. Ces systèmes sont dotés d'une redondance inhérente à leurs architectures résilientes et à haute disponibilité.
7. Journalisation et suivi : CitNOW Group procède à l'enregistrement des événements pour tous les produits des entités par le biais de divers logiciels de suivi. Les journaux sont consultés en fonction des besoins et contiennent des informations telles que les tentatives d'enregistrement des utilisateurs et les erreurs dans les applications. Toutes les informations de journalisation ne sont accessibles qu'aux utilisateurs disposant des privilèges appropriés ; les utilisateurs doivent disposer d'un compte dans le système spécifié avec les autorisations adéquates.
8. Contrôles des logiciels : Plusieurs mesures sont en place au sein de CitNOW Group pour contrôler les changements de logiciels sur les systèmes opérationnels. Toutes les modifications apportées aux logiciels opérationnels sont gérées conformément à la gestion des Modifications et tiennent compte des exigences commerciales de la modification et de l'aspect sécuritaire de la modification.
9. Sécurité des réseaux : Les réseaux internes sont gérés par le service informatique. Le service informatique est responsable de la maintenance et de la mise à jour de toutes les activités du réseau. Comme nous utilisons principalement des services du cloud, la Sécurité des services de réseau relève principalement de la responsabilité des fournisseurs de services du cloud. Tous les services Internet et basés sur le cloud ont un Accord de niveau de services strict entre CitNOW Group et le fournisseur. Tout accès aux serveurs ou systèmes de CitNOW Group est géré par authentification. Des réseaux d'invités sans accès aux systèmes centraux sont disponibles pour les invités.
10. Utilisation de la cryptographie : CitNOW Group a mis en place une politique cryptographique qui décrit notre approche de l'utilisation des contrôles cryptographiques. Cela permet à l'organisation de maintenir les normes de cryptage les plus élevées possibles. Toutes les personnes au sein de CitNOW Group sont chargées de veiller à ce que les données Internes/Confidentielles soient cryptées avant de quitter les locaux de l'organisation. Considérations de gestion des clés, décrit les exigences relatives à la gestion des clés cryptographiques tout au long de leur cycle de vie, y compris la génération, le stockage, l'archivage, la récupération, la distribution, le retrait et la destruction des clés. Les algorithmes cryptographiques, la longueur des clés et les pratiques d'utilisation doivent être sélectionnés conformément aux meilleures pratiques.
11. Une politique de développement sûre : Cette politique reflète notre approche du développement sécurisé de nos services, produits et sites web et s'applique à toutes les équipes de développement. Les normes de codage sécurisé sont prises en compte et respectées.
12. Tests d'acceptation : Des tests sont effectués sur toutes les modifications afin de garantir la sécurité, la robustesse, la correction et la performance de l'application. Les tests d'acceptation sont une pratique courante pour nos développeurs dans le cadre de notre cycle de déploiement. Toutes les nouvelles fonctionnalités sont testées individuellement avant d'être déployées. Nous avons mis en place une séparation des tâches, avec des testeurs nommés dans chaque entité pour faire partie de chaque équipe de développement.
13. Développement externalisé : Tous les développeurs externalisés sont évalués pour s'assurer qu'ils sont qualifiés et compétents. Les Sous-traitants individuels sont traités de la même manière que les développeurs de CitNOW Group, les mêmes politiques de développement et les mêmes contrôles s'appliquant à tous pour le développement externalisé comme pour le développement interne.
14. Séparation de l'environnement : Pour réduire le risque d'activités malveillantes, de modifications non autorisées ou accidentelles à partir d'utilisations internes, tous les produits de CitNOW Group ont des environnements de test/développement et de production distincts, conformément aux meilleures pratiques de l'industrie, nous utilisons principalement les environnements suivants dans chaque entité :
  - Développement - pour le développement
  - Mise en scène/Test - pour les tests internes
  - Environnement de production - environnement opérationnel en temps réel
15. Gestion des changements : Les changements importants apportés à l'organisation, aux processus opérationnels, aux installations de traitement de l'information et aux systèmes au sein de CitNOW Group sont soumis à un examen formel et à l'accord du Conseil d'administration.
16. Contrôle des modifications : Nos procédures de contrôle des modifications en cours de développement s'inscrivent dans le cadre de notre Politique de contrôle des modifications. Toutes les modifications apportées au système font l'objet d'un examen du code par les pairs et d'un processus de test conforme à nos procédures documentées.
17. Protection des données de test : Aucune donnée personnelle n'est utilisée à des fins de développement ou de test dans des circonstances normales pour les produits de CitNOW Group.
Politiques de soutien supplémentaires
1. CitNOW Group dispose également d'une série d'autres politiques au sein de l'entreprise qui contribuent à soutenir nos pratiques en matière de sécurité de l'information ; cela comprend notamment ;
  - Politique du groupe pour lutter contre la corruption au niveau mondial
  - Politique disciplinaire
  - Politique du groupe sur les lanceurs d’alerte au niveau mondial
  - Politique de santé et de sécurité au niveau mondial
  - Politique relative à l'esclavage moderne
  - Procédure de notification des violations
Certifications
1. ISO 27001 : CitNOW Group Limited est certifié ISO 27001 par le BSI (numéro de certificat - IS 785456).
2. Cyber Essentials Plus : CitNOW Group Limited est certifié Cyber Essentials Plus par CyberSmart (numéro de certificat - b5aea281-ec18-4306-9374-beba1ef3fe98)
3. TISAX : L'association ENX soutient avec TISAX (Trusted Information Security Assessment Exchange) au nom de VDA l'acceptation commune des Évaluations de la sécurité de l'information dans l'industrie automobile. Les évaluations TISAX sont menées par des prestataires d'audit qui justifient leur qualification à intervalles réguliers. TISAX et les résultats des évaluations TISAX ne sont pas destinés au grand public.
4. Pour Zype TV Ltd (opérant sous le nom de CitNOW) et CitNOW Video GMBH, la confidentialité, la disponibilité et l'intégrité des informations ont une grande valeur. Nous avons pris des mesures importantes pour protéger les informations sensibles et confidentielles. C'est pourquoi nous suivons le catalogue de questions sur la sécurité de l'information de l'Association allemande de l'industrie automobile (VDA ISA). L'Évaluation a été réalisée par un prestataire d'audit, en l'occurrence le prestataire d'audit TISAX TUV SUD GmbH. Le résultat est exclusivement consultable sur le portail ENX.
Sous-traitants :
Tous les sous-traitants utilisés par chaque entité de CitNOW Group sont répertoriés sur la page des sous-traitants du site web de CitNOW Group.

Ces sous-traitants sont susceptibles d'être modifiés au fur et à mesure de l'apparition de nouvelles fonctionnalités et de la mise à jour du système. Des mesures sont prises lors de la sélection de nouveaux sous-traitants afin de garantir l'application d'une diligence raisonnable en matière de sécurité et de protection de la vie privée.

Conformément à notre Procédure relative aux fournisseurs tiers, CitNOW Group garantit la sécurité des fournisseurs tiers en évaluant méticuleusement leurs mesures de sécurité et leurs normes de conformité. Pour renforcer cet engagement, nous établissons des Accords de traitement des données solides avec tous les sous-traitants. En outre, nous mettons en œuvre des mécanismes de transfert supplémentaires lorsque cela est nécessaire pour respecter les réglementations en matière de protection des données, y compris l'établissement de Clauses contractuelles types (CCT), d'Accords internationaux de transfert de données (AITD) et/ou d'Évaluations des risques de transfert (ERT).
Siège Social de CitNOW Group
Tous les sites du Siège social de CitNOW Group peuvent être consultés sur le site web de CitNOW Group.

Dernière mise à jour : 27 Août 2025

« Retour à la page légale