POLITIQUE DE SÉCURITÉ DU PANDORA FMS
L’objectif de cette politique est d’assurer une protection adéquate des informations du SGF Pandora en préservant leurs qualités de sécurité

Ces principes de base doivent être préservés et garantis sous toutes les formes que prend l’information, qu’elle soit électronique, imprimée, visuelle ou orale, et qu’elle soit traitée dans les locaux de Pandora FMS ou à l’extérieur. De même, ces principes doivent être pris en compte dans les domaines de sécurité suivants :

• Physique : y compris la sécurité des dépendances, des installations, des systèmes matériels, des supports et de tout bien de nature physique qui traite ou peut traiter des informations.
• Logique : comprend les aspects de protection des applications, des réseaux et des prototypes de communication électronique et des systèmes informatiques.
• Politique-corporatif : formé par les aspects de sécurité liés à l’organisation elle-même, aux règles internes, aux règlements et aux normes juridiques.

Pandora FMS s’engage fermement à maintenir une approche d’amélioration continue de la gestion de la sécurité de l’information. Cet engagement comprend la révision et la mise à jour régulières des politiques, des procédures et des contrôles, ainsi que l’adoption de nouvelles technologies et de meilleures pratiques. L’amélioration continue sera un élément essentiel du système de gestion de la sécurité de l’information (SGSI) et se reflétera dans toutes les revues de direction, ainsi que dans les plans d’action élaborés pour atteindre les objectifs stratégiques de l’organisation.

Pandora FMS fonde son activité sur le traitement de différents types de données et d’informations. Cela lui permet d’exécuter des processus commerciaux de base. De telle sorte que l’endommagement ou la perte des actifs de l’organisation affecte la performance de ses opérations et peut mettre en péril la continuité de l’organisation. Pour éviter cela, une politique de sécurité de l’information a été élaborée avec les principaux objectifs suivants ::

• Protéger, au moyen de contrôles et de mesures de sécurité, les actifs de l’entreprise contre les menaces susceptibles d’entraîner des incidents de sécurité.
• Atténuer les effets des incidents de sécurité, qui peuvent affecter à la fois les membres de l’organisation et les parties prenantes externes.
• Mettre en place un système de classification des informations et des données afin de protéger les actifs informationnels critiques, tant en interne que ceux susceptibles d’intéresser les parties prenantes externes.
• Définir les responsabilités en matière de sécurité de l’information en créant une structure organisationnelle correspondante.
• Élaborer un ensemble de règles, de normes et de procédures applicables à la direction, aux employés, aux partenaires, aux prestataires de services externes, etc. Ces politiques de sécurité et la conformité aux normes ISO 27001 seront particulièrement importantes pour les clients, les fournisseurs et les organisations externes et devraient être communiquées en temps utile. Bien entendu, en interne, le fonctionnement du SMSI et l’ensemble des politiques et réglementations internes feront l’objet d’une communication plus poussée.
• Préciser les effets du non-respect de la politique de sécurité sur le lieu de travail, par le biais d’une formation continue et d’une communication interne.
• Évaluer en permanence les risques affectant les biens afin d’adopter les mesures/contrôles de sécurité appropriés.
• Vérifier le fonctionnement des mesures et des contrôles de sécurité au moyen d’audits de sécurité internes réalisés par des auditeurs indépendants.
• Former les utilisateurs à la gestion de la sécurité et aux technologies de l’information et de la communication.
• Contrôler le trafic d’informations et de données par le biais d’infrastructures de communication ou par l’envoi de supports de données optiques, magnétiques, papier, etc.
• Respecter la législation sur la protection des données, la propriété intellectuelle, le travail, les services de la société de l’information, le droit pénal, etc., qui affecte les actifs de Pandora FMS et ses relations avec les parties prenantes externes.
• Assurer un service efficace à nos clients et aux autres parties prenantes externes, avec un niveau élevé de qualité et d’intégrité, afin de préserver leur confiance.
• Protéger le capital intellectuel de l’organisation contre la divulgation et l’utilisation illicites.
• Obtenir des preuves à l’appui des incidents de sécurité et de l’identification de leurs auteurs, qu’ils soient externes (fournisseurs, clients, utilisateurs) ou internes à l’entreprise.
• Réduire les possibilités d’indisponibilité par une utilisation appropriée des actifs de l’organisation, tant internes qu’externes.
• Défendre les biens contre les attaques internes ou externes afin qu’ils ne deviennent pas des incidents de sécurité.
• Contrôler le fonctionnement des mesures de sécurité en déterminant le nombre d’incidents, leur nature et leurs effets.

Cadre réglementaire

L’un des objectifs doit être de se conformer aux exigences légales applicables ainsi qu’à toute autre exigence à laquelle nous souscrivons, en plus des engagements pris avec les clients, ainsi que leur mise à jour continue. À cette fin, le cadre légal et réglementaire dans lequel nous exerçons nos activités est :

• RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
• Loi organique 3/2018, du 5 décembre, sur la protection des données personnelles et la garantie des droits numériques.
• Décret législatif royal 1/1996, du 12 avril, Loi sur la propriété intellectuelle.
• Loi 2/2019, du 1er mars, modifiant le texte refondu de la Loi sur la propriété intellectuelle, approuvé par le Décret législatif royal 1/1996 du 12 avril, et transposant dans l’ordre juridique espagnol la Directive 2014/26/UE du Parlement européen et du Conseil du 26 février 2014, ainsi que la Directive (UE) 2017/1564 du Parlement européen et du Conseil du 13 septembre 2017.
• Décret royal 311/2022, du 3 mai, de développement du Schéma national de sécurité, modifié par le Décret royal 951/2015, du 23 octobre.
• Loi 34/2002, du 11 juillet, sur les services de la société de l’information et le commerce électronique (LSSI).
• Loi 40/2015, du 1er octobre, sur le régime juridique du secteur public.
• Loi 39/2015, du 1er octobre, sur la procédure administrative commune des administrations publiques.

Comité de sécurité

Le Comité de sécurité est l’organe ayant la plus haute responsabilité au sein du SGSI, de sorte que toutes les décisions les plus importantes liées à la sécurité sont prises par ce comité.

Les membres du Comité de sécurité sont :

• Responsable de l’information
• Responsable des services
• Responsable de la sécurité
• Responsable des systèmes

En cas de conflit entre les rôles définis dans cette Politique de sécurité concernant le respect et l’exécution des fonctions et tâches assignées, la résolution sera déterminée par le supérieur hiérarchique commun, en privilégiant la décision qui garantit un niveau plus élevé de protection des données personnelles. En l’absence de supérieur hiérarchique commun, le Comité de sécurité assumera la résolution du conflit.

Gestion des risques

Tous les systèmes soumis à cette Politique doivent réaliser une analyse de risques, en évaluant les menaces et les risques auxquels ils sont exposés. Cette analyse est révisée régulièrement :

• Au moins une fois par an ;
• Lorsque les informations traitées changent ;
• Lorsque les services fournis changent ;
• Lorsqu’un incident de sécurité grave survient ;
• Lorsque des vulnérabilités graves sont signalées.

Pour harmoniser les analyses de risques, le Comité de sécurité établira une évaluation de référence pour les différents types d’informations traitées et les différents services fournis. Le Comité de sécurité favorisera la disponibilité des ressources afin de répondre aux besoins de sécurité des différents systèmes, en promouvant des investissements de sécurité transversaux.

Pour la réalisation de l’analyse des risques, la méthodologie d’analyse des risques développée dans la procédure d’Analyse des risques sera prise en compte.

Sécurité par défaut

La sécurité de l’information est un processus global et transversal qui doit être intégré à toutes les étapes du cycle de vie des systèmes et services d’information, depuis leur création jusqu’à leur retrait.

PANDORA FMS gérera les changements des éléments physiques ou logiques du système au moyen d’un processus d’autorisation préalable, avec évaluation de l’impact sur la sécurité. Des révisions régulières de sécurité seront effectuées pour évaluer l’état des systèmes et gérer les risques.

PANDORA FMS met en œuvre des mesures de sécurité pour protéger les informations, tant stockées qu’en transit, dans des environnements considérés comme non sécurisés. Ces environnements incluent les ordinateurs portables, assistants personnels (PDA), périphériques, supports d’information et communications utilisant des réseaux ouverts ou un chiffrement faible.

PANDORA FMS établit des mesures de protection de sécurité pour les informations, en particulier lors de la connexion à des réseaux publics. Les risques d’interconnexion du système seront analysés et leurs points de connexion contrôlés, y compris les connexions électroniques accessibles au public.

PANDORA FMS tiendra un registre des activités des utilisateurs et conservera les informations nécessaires pour superviser, analyser, enquêter et documenter les activités inappropriées ou non autorisées, permettant d’identifier à tout moment la personne réalisant l’action.

Grâce à sa gestion des incidents, PANDORA FMS met en place un système de détection, réaction et récupération face aux incidents, garantissant la continuité des activités, réduisant l’impact et améliorant la sécurité grâce à des procédures de gestion, d’analyse, de communication et d’enregistrement.

Pour assurer la continuité des opérations en cas de perte des moyens habituels de travail, PANDORA FMS a mis en place des mesures permettant aux systèmes de disposer de copies de sauvegarde et de mécanismes de récupération.

Protection des données personnelles

Pandora FMS traite les données personnelles à des fins préalablement communiquées aux intéressés (les personnes concernées) et, le cas échéant, préalablement consenties par eux au moment de la collecte des données ou ultérieurement.

En termes de protection des données, les personnes concernées ont des droits d’accès, de rectification, de limitation du traitement, de portabilité, d’opposition, d’effacement et autres (appelés droits ARCO/ARLtPOS). Cela signifie que toute personne physique peut demander à Pandora FMS des informations sur les données détenues à son sujet, sur l’origine de ces données, sur ce qui en est fait, sur l’usage qui en est fait et demander des changements dans leur utilisation. Lorsqu’il exerce les droits ARCO/ARLtPOS d’une personne concernée, le personnel de Pandora FMS est tenu d’en informer immédiatement le délégué à la protection des données en envoyant un courrier électronique à l’adresse [email protected]. Il est d’une importance vitale de le faire immédiatement car il existe des délais légaux stricts pour une réponse.

Toute personne ayant accès aux ressources d’information ou aux actifs d’information de Pandora FMS (personnel propre ou sous-traitant) doit lire, comprendre, connaître et accepter la politique de sécurité de l’information et la politique d’utilisation des systèmes d’information au début de la relation de travail ou de la relation commerciale avec Pandora FMS et, par la suite, ses modifications sur une base annuelle.

Adresse et coordonnées

Pandora FMS S.L.U
Rue José Echegaray 8, Alvia, Bâtiment I, Étage 2, Bureau 12. 28232 Las Rozas de Madrid, Madrid, España.

Téléphone du bureau : +34-915597222
Courrier électronique : [email protected]
Délégué à la protection des données (DPD) : [email protected]