1. COLLECTE DES DONNÉES PERSONNELLES
Le but de cette politique de sécurité est d'assurer un niveau de protection approprié pour les données personnelles des personnes concernées, en appliquant correctement la législation nationale concernant la protection des données et la confidentialité des communications.
2. PRINCIPES DE TRAITEMENT DES DONNÉES PERSONNELLES
Légalité :
Le traitement des données personnelles est effectué de bonne foi et conformément aux dispositions légales;
Limitation de la finalité :
Tout traitement de données personnelles est effectué pour des finalités bien définies, explicites et légitimes, adéquates, pertinentes et non excessives par rapport à l’objectif pour lequel elles ont été collectées et traitées ultérieurement;
Information :
Par cet avis, les personnes concernées sont informées que leurs données personnelles seront traitées;
Stockage :
Les données personnelles ne sont pas conservées pendant une période plus longue que nécessaire pour atteindre les objectifs pour lesquels elles ont été collectées;
Protection des personnes concernées :
Les données personnelles seront traitées par le personnel autorisé de la société "Online Broker de Asigurare" SRL ou par d'autres personnes autorisées conformément à la loi.
Sécurité :
Des mesures de sécurité techniques et organisationnelles pour les données personnelles sont établies pour protéger les données personnelles contre la destruction accidentelle ou illégale, la perte, l'altération, la divulgation ou l'accès non autorisé (l'accès aux bases de données des utilisateurs se fait sur la base d'un nom d'utilisateur et d'un mot de passe, réglementé par des rôles et des droits d'accès). La possibilité de modifier les données accessibles est protégée par un pare-feu surveillé par "Online Broker de Asigurare" S.R.L., ainsi que par des solutions antivirus mises à jour en permanence. Les transferts entre les serveurs, les clients, les administrateurs ou les opérateurs sont cryptés à l'aide d'un certificat numérique, de sorte que les données ne peuvent pas être interceptées.
3. POLITIQUE DE TRAITEMENT DES DONNÉES PERSONNELLES
Conformément aux dispositions de la LOI n° 133 du 08.07.2011 concernant la protection des données personnelles, "Sykors Media" est tenue de gérer, dans des conditions sécurisées et uniquement pour les objectifs présentés ci-dessous, les données personnelles qui lui sont fournies.
"Sykors Media" s'engage à maintenir la confidentialité des données personnelles fournies par le biais du site sykors.com, comme l'exige la LOI n° 133 du 08.07.2011, avec ses modifications ultérieures, concernant la protection des données personnelles.
4. EXIGENCES POUR ASSURER LA SÉCURITÉ DES DONNÉES PERSONNELLES
Les catégories suivantes d'opérations de traitement des données personnelles présentent des risques particuliers pour les droits et libertés des individus :
1) adaptation, modification, divulgation par transmission, diffusion ou de toute autre manière, de données personnelles concernant l'origine raciale ou ethnique, les croyances religieuses, l'appartenance à un parti politique ou à une organisation religieuse, l'état de santé, la vie privée, ainsi que les données personnelles concernant les condamnations pénales, les mesures coercitives, les sanctions disciplinaires ou contraventionnelles;
2) opérations de traitement des données génétiques, biométriques et des données permettant la localisation géographique des individus via des réseaux de communication électroniques;
3) opérations de traitement des données personnelles par moyens électroniques, visant à évaluer certains aspects de la personnalité, tels que la compétence professionnelle, la crédibilité, le comportement, etc.;
4) opérations de traitement des données personnelles par moyens électroniques dans des systèmes de suivi, visant à analyser la solvabilité, la situation économique-financière, les faits susceptibles d'attirer une responsabilité disciplinaire, contraventionnelle ou pénale des individus;
5) opérations de traitement des données personnelles des mineurs à des fins commerciales (activités de marketing direct);
6) opérations de traitement des données personnelles mentionnées dans les sous-points 1) et 2) de cette annexe, ainsi que des données personnelles des mineurs collectées via Internet ou messagerie électronique.
Les exigences visant à assurer la sécurité des données personnelles dans leur traitement au sein des systèmes d'information des données personnelles (ci-après - Exigences) visent à établir les règles minimales que les responsables du traitement des données personnelles doivent mettre en œuvre pour garantir la sécurité, la confidentialité et l'intégrité des données personnelles traitées dans les systèmes d'information des données personnelles et/ou les registres manuels, conformément aux dispositions de la Loi n° 17-XVI du 15 février 2007 sur la protection des données personnelles (Journal officiel de la République de Moldavie, 2007, n° 107-111, art. 468) et la Loi n° 71-XVI du 22 mars 2007 sur les registres (Journal officiel de la République de Moldavie, 2007, n° 70-73, art. 314).
Ces exigences créent le cadre nécessaire à l'application de la Convention pour la protection des individus à l'égard du traitement automatisé des données personnelles, conclue à Strasbourg le 28 janvier 1981, publiée dans les séries des traités européens, n° 108, ratifiée par la République de Moldavie par la décision parlementaire n° 483-XIV du 2 juillet 1999.
Conformément à la décision n° 1123 du 14.12.2010 concernant l'approbation des exigences pour assurer la sécurité des données personnelles lors de leur traitement dans les systèmes d'information des données personnelles, les mesures de protection des données personnelles représentent une partie intégrante des travaux pour la création, le développement et l'exploitation des systèmes d'information des données personnelles et seront mises en œuvre de manière continue par tous les responsables du traitement des données personnelles. La protection des données personnelles dans les systèmes d'information des données personnelles est assurée par un ensemble de mesures techniques et organisationnelles pour prévenir le traitement illégal des données personnelles. Les mesures de protection des données personnelles traitées dans les systèmes d'information des données personnelles sont mises en œuvre tout en garantissant la confidentialité de ces mesures. La mise en œuvre de toute mesure et travaux utilisant les ressources d'information du responsable du traitement des données personnelles est interdite si des mesures de protection appropriées des données personnelles ne sont pas adoptées et mises en œuvre.
"Sykors Media" certifie qu'il répond aux exigences minimales en matière de sécurité des données personnelles.
Conformément à la décision n° 1123 du 14.12.2010, la protection des données personnelles dans les systèmes d'information des données personnelles est assurée pour les objectifs suivants :
1) prévenir les fuites d'informations contenant des données personnelles par un accès non autorisé;
2) prévenir la destruction, la modification, la copie, le blocage non autorisé des données personnelles dans les réseaux de télécommunication et les ressources d'information;
3) se conformer au cadre juridique de l'utilisation des systèmes d'information et des logiciels pour le traitement des données personnelles;
4) assurer l'intégrité, la précision et la cohérence des données personnelles dans les réseaux de télécommunication et les ressources d'information;
5) maintenir la capacité de gérer le processus de traitement et de stockage des données personnelles.
La protection des données personnelles traitées dans les systèmes d'information est réalisée par les méthodes suivantes :
1) empêcher les connexions non autorisées aux réseaux de télécommunication et l'interception des données personnelles transmises par ces réseaux à l'aide de moyens techniques;
2) exclure l'accès non autorisé aux données personnelles en cours de traitement;
3) prévenir les actions techniques et logicielles spéciales qui pourraient causer la destruction, la modification des données personnelles ou des dysfonctionnements dans le fonctionnement des systèmes techniques et logiciels;
4) empêcher les actions intentionnelles et/ou non intentionnelles des utilisateurs internes et/ou externes, ainsi que d'autres employés du responsable du traitement des données personnelles, qui pourraient causer la destruction, la modification des données personnelles ou des dysfonctionnements dans les systèmes techniques et logiciels.
L'accès aux locaux/bureaux/salles ou espaces où se trouvent les systèmes d'information des données personnelles est restreint, et l'accès est uniquement permis aux personnes autorisées pendant les heures de travail, selon la liste et les signes d'identification appropriés (badges, cartes d'identification, cartes à puce). Les salles où les systèmes d'information des données personnelles sont installés sont équipées de systèmes de contrôle d'accès et de vidéosurveillance pour surveiller l'accès à ces espaces.
Lors de la surveillance, des systèmes de surveillance en temps réel et des systèmes d'alarme sont utilisés pour suivre tous les cas d'accès autorisé et/ou non autorisé. Des moyens automatisés sont utilisés pour détecter les cas d'accès non autorisé et initier des actions de blocage. Les ordinateurs, serveurs et autres terminaux d'accès sont placés dans des zones hautement sécurisées, avec un accès restreint aux personnes non autorisées.
Les équipements électriques utilisés pour maintenir la fonctionnalité des systèmes d'information des données personnelles, ainsi que les câbles électriques, sont protégés contre les dommages et les connexions non autorisées. En cas d'urgence, de défaillance ou de force majeure, la possibilité de couper l'alimentation électrique des systèmes d'information des données personnelles est assurée, y compris la possibilité de couper tout composant informatique. Des mesures de sécurité incendie sont également mises en œuvre pour les locaux/bureaux/salles où se trouvent les systèmes d'information des données personnelles et l'équipement de traitement des données personnelles. Des systèmes automatiques de détection/notification et d'extinction d'incendie sont installés dans ces endroits.
Les ordinateurs, terminaux d'accès et imprimantes sont déconnectés à la fin des sessions de travail. Les dispositifs de traitement des données personnelles, les informations contenant des données personnelles ou les logiciels destinés au traitement des données personnelles sont retirés de la zone de sécurité uniquement avec l'autorisation écrite de la direction du responsable du traitement des données personnelles. Le retrait et l'insertion des dispositifs de traitement des données personnelles dans/de la zone de sécurité sont enregistrés.
L'identification et l'authentification des utilisateurs des systèmes d'information des données personnelles et des processus effectués en leur nom sont réalisées. Tous les utilisateurs (y compris le personnel de soutien technique, les administrateurs de réseau, les programmeurs et les administrateurs de bases de données) disposeront d'un identifiant personnel (ID utilisateur) qui ne doit pas refléter le niveau d'accessibilité de l'utilisateur. Les identifiants des utilisateurs sont confirmés à l'aide de mots de passe, de moyens d'accès physiques spéciaux avec mémoire (tokens), de cartes microprocesseur, de moyens d'authentification biométrique basés sur des caractéristiques uniques et individuelles de la personne.
La gestion des identifiants des utilisateurs comprend :
1) identification unique de chaque utilisateur ;
2) vérification de l'authenticité de chaque utilisateur ;
3) obtention d'une autorisation de la personne responsable de l'émission de l'identifiant de l'utilisateur ;
4) assurer que l'identifiant de l'utilisateur est attribué à une personne spécifique ;
5) désactivation du compte utilisateur après une période d'inactivité, établie dans le temps (inactivité pendant un maximum de 2 mois) ;
6) exécution des sauvegardes des identifiants des utilisateurs.
Les informations sortant du système, contenant des données personnelles, sont marquées, indiquant les prescriptions pour un traitement et une diffusion ultérieurs, y compris la spécification du numéro d'identification unique du détenteur des données personnelles. Toutes les méthodes d'accès à distance aux systèmes d'informations des données personnelles sont sécurisées (en utilisant VPN, cryptage, etc.), documentées, surveillées et contrôlées. Chaque méthode d'accès à distance aux systèmes d'informations des données personnelles est autorisée par les personnes responsables des détenteurs des données personnelles et permise uniquement aux utilisateurs qui en ont besoin pour remplir les objectifs établis.
L'accès sans fil aux systèmes d'informations des données personnelles est documenté, surveillé et contrôlé. L'accès sans fil aux systèmes d'informations des données personnelles est autorisé uniquement si des moyens cryptographiques de protection de l'information sont utilisés. L'utilisation des technologies sans fil est autorisée par les personnes responsables du détenteur des données personnelles.
L'accès des utilisateurs externes au réseau interne où les données personnelles sont traitées est assuré comme impossible.
L'intégrité des données personnelles transmises est assurée par l'utilisation de moyens de protection cryptographiques.
La confidentialité des données personnelles transmises est assurée par l'utilisation de moyens de protection cryptographiques.
La protection contre l'infiltration de logiciels nuisibles dans les logiciels destinés au traitement des données personnelles est assurée, une mesure qui garantit le renouvellement automatique et rapide de la protection contre les programmes nuisibles et les signatures de virus. L'administration centralisée des mécanismes de protection contre les logiciels nuisibles dans les logiciels destinés au traitement des données personnelles est assurée.
Les détenteurs des données personnelles vérifient régulièrement, au moins une fois par an, la mise en œuvre des mesures techniques et/ou organisationnelles prises pour détecter les dysfonctionnements concernant l'utilisation des systèmes de télécommunications dans le processus de traitement des données personnelles et/ou pour apporter des améliorations si nécessaire. Les contrôles de sécurité sont mis à jour chaque fois que le détenteur des données personnelles est réorganisé ou modifie son infrastructure. Afin de vérifier le niveau de protection des systèmes d'informations des données personnelles et de prévenir les éventuels cas d'accès illicites ou accidentels à ces systèmes d'informations, en identifiant les points faibles de leurs mécanismes de protection, le Centre effectue des vérifications de sécurité périodiques, y compris en mettant en œuvre des mesures techniques spéciales pour simuler un modèle d'accès aux systèmes d'informations des données personnelles. Les résultats des contrôles effectués par le Centre sont immédiatement fournis au détenteur des données personnelles, dont les systèmes d'informations des données personnelles ont été vérifiés, avec des instructions, si nécessaire, sur les actions à prendre pour assurer la sécurité du traitement des données personnelles.
5. OBJECTIF DE LA COLLECTE DES DONNÉES PERSONNELLES
„Sykors Media” traite les données personnelles de ses clients et d'autres personnes qui sont en contact avec elle ou qui fournissent des données personnelles par le biais de la navigation sur le site sykors.com, dans le but d'émettre et de livrer les polices d'assurance achetées.
Les données personnelles (données d'identité, adresse, numéro d'identification personnelle, numéro de téléphone, âge, ou toute autre donnée similaire fournie) peuvent être traitées et utilisées par „Sykors Media” tant dans le but d'émettre et de livrer les polices d'assurance commandées sur le site de l'entreprise, que pour créer des bases de données et les utiliser dans les efforts et activités futures de l'opérateur, conformément aux dispositions de la Loi n° 133 du 08.07.2011 pour la protection des individus concernant le traitement des données personnelles.
„Sykors Media” ne divulguerá aucune de vos données (informations personnelles ou facultatives) à un tiers sans votre consentement, à moins qu'il ne soit convaincu de bonne foi que la loi l'exige ou si cela est nécessaire pour protéger les droits ou la propriété de notre société.
6. AUDIT DE SÉCURITÉ DANS LES SYSTÈMES D'INFORMATION DES DONNÉES PERSONNELLES
„Sykors Media” organise la génération de journaux d'audit de sécurité dans les systèmes d'information des données personnelles pour les événements suivants :
o L'enregistrement des tentatives de connexion/déconnexion de l'utilisateur dans le système (enregistrement de la date et de l'heure de la tentative de connexion/déconnexion ; identifiant de l'utilisateur ; le résultat de la tentative de connexion/déconnexion – positif ou négatif) ;
o L'enregistrement des tentatives d'accès aux applications et processus destinés au traitement des données personnelles ;
o L'enregistrement des tentatives de démarrage/arrêt des sessions de travail des applications et processus destinés au traitement des données personnelles, enregistrant les changements dans les droits d'accès des utilisateurs et l'état des objets d'accès ;
o L'enregistrement des changements dans les droits d'accès des utilisateurs (compétences) et l'état des objets d'accès ;
o L'enregistrement des informations sortant du système contenant des données personnelles (documents électroniques, données, etc.), enregistrant les changements dans les droits d'accès des sujets et l'état des objets d'accès.
En cas de dysfonctionnement de l'audit de sécurité dans les systèmes d'information des données personnelles ou d'épuisement de la mémoire allouée pour le stockage des résultats d'audit, la personne responsable de la politique de sécurité des données personnelles est informée, et des mesures sont prises pour rétablir la capacité opérationnelle du système d'audit. Une surveillance continue et une analyse des journaux d'audit dans les systèmes d'information des données personnelles sont effectuées afin de détecter des activités inhabituelles ou suspectes liées à l'utilisation de ces systèmes d'information, avec la préparation d'un rapport sur la détection de ces activités, stocké dans des moyens de calcul électroniques, et la prise de mesures préétablies dans la politique de sécurité pour de tels cas.
Les résultats de l'audit de sécurité dans les systèmes d'information des données personnelles, qui représentent des opérations de traitement des données personnelles et des moyens d'audit, sont protégés contre l'accès non autorisé par la mise en place de mesures de sécurité appropriées, y compris en garantissant leur confidentialité et leur intégrité.
Pour assurer l'intégrité des informations contenant des données personnelles et des technologies de l'information, l'identification, l'enregistrement et la suppression des défauts dans les logiciels destinés au traitement des données personnelles sont assurés, y compris l'installation de corrections et de packages de mise à jour pour ces systèmes logiciels. La protection contre l'infiltration de programmes nuisibles dans les logiciels destinés au traitement des données personnelles est assurée, une mesure qui garantit le renouvellement automatique et rapide de la protection contre les programmes nuisibles et les signatures de virus. Les technologies et outils de détection d'intrusion sont utilisés pour surveiller les événements dans les systèmes d'information des données personnelles et détecter les attaques, y compris l'identification des tentatives d'utilisation non autorisée des systèmes d'information.
Pour restaurer les informations contenant des données personnelles (pour créer des copies de sauvegarde), „Sykors Media” établit l'intervalle de temps dans lequel les copies de sauvegarde des données personnelles et des logiciels utilisés pour le traitement automatisé des données personnelles sont effectuées, mais dans tous les cas, cette période est inférieure à un an, et elle est stockée dans des endroits protégés à l'extérieur de la zone où ces informations et logiciels sont placés. Les procédures de restauration des sauvegardes sont régulièrement mises à jour et testées pour garantir leur efficacité.
„Sykors Media” vérifie régulièrement, au moins une fois par an, la mise en œuvre des mesures techniques et/ou organisationnelles prises pour détecter les dysfonctionnements concernant l'utilisation des systèmes de télécommunications dans le processus de traitement des données personnelles et/ou apporter des améliorations si nécessaire. Les contrôles de sécurité sont mis à jour chaque fois que le détenteur est réorganisé ou modifie son infrastructure. Pour vérifier le niveau de protection des systèmes d'informations des données personnelles et prévenir les cas d'accès illicites ou accidentels à ces systèmes d'informations, en détectant les points faibles de leurs mécanismes de protection, le Centre effectue des contrôles de sécurité périodiques, y compris en mettant en œuvre des mesures techniques spéciales pour simuler un modèle d'accès aux systèmes d'informations des données personnelles.
7. GESTION DES INCIDENTS DE SÉCURITÉ DE L'INFORMATION ET PROTECTION TECHNIQUE DE L'INFORMATION CONTENANT DES DONNÉES PERSONNELLES
Le personnel responsable de l'exploitation des systèmes d'information des données personnelles suit une formation, au moins une fois par an, sur leurs responsabilités et obligations en matière de gestion et de réponse aux incidents de sécurité. Un mécanisme est en place pour informer la direction du détenteur des données personnelles sans délai des incidents qui enfreignent la sécurité des systèmes d'information des données personnelles. Le traitement des incidents inclut la détection, l'analyse, la prévention de leur développement, leur suppression et la restauration de la sécurité. Des outils automatisés sont utilisés pour soutenir le processus de gestion des incidents de sécurité dans les systèmes d'information des données personnelles. Les incidents de sécurité dans les systèmes d'information des données personnelles sont surveillés et documentés en permanence.
La présence incontrôlée de personnes ou de véhicules et l'installation accidentelle d'antennes sont exclues dans une zone d'au moins 15 mètres autour de l'emplacement des principaux moyens techniques du système d'information des données personnelles, pour garantir la sécurité du traitement des données personnelles. Les salles des serveurs sont protégées contre les fuites d'informations contenant des données personnelles en raison des émissions électromagnétiques, grâce à un blindage des salles ou à l'installation de systèmes de brouillage électromagnétiques, qui sont conçus, fabriqués et testés par des entreprises spécialisées. L'installation non autorisée d'autres dispositifs électriques, radio ou similaires dans les salles où sont situés les moyens techniques de traitement des données personnelles est exclue ou limitée, pour garantir la sécurité du traitement des données personnelles. Les équipements dont les lignes sortent du périmètre contrôlé sont installés à au moins 3 mètres des moyens techniques dans lesquels les données personnelles sont traitées.
