Questionnaire sous-traitant Saas
Où sont stockées nos données et applications ?
Les données sont stockées à Grenoble en France, dans le data center de Eolas.
Elles sont répliquées :
- dans le datacenter de Montbonnot (dans les locaux de Seiitra )
-
dans le datacenter France Centre de Azure qui est sécurisé et respecte la confidentialité de vos données :
Est-ce que vous transférez nos données en dehors de l’Union européenne (exemple : data center) ? Si oui, quelles procédures avez-vous mises en place pour nous informer ?
Non, les données ne font pas l'objet d'un transfert en dehors de l'UE ni même en dehors de la France.
Avez-vous un délégué à la protection des données ? Interne ou externe ?
A l'entrée en vigueur du RGPD, Seiitra a nommé un délégué à la protection des données : Sandrine LAURENT. L'adresse dpo@seiitra.com vous permettra de nous contacter pour poser vos questions.
Qui peut accéder à nos données ? Quelles procédures de sécurité avez-vous mis en place ?
- Les collaborateurs des cabinets, utilisateurs des services ont accès aux données de leur cabinet uniquement. Ces accès sont distants et sécurisés par des VPN n'autorisant que les IPs validées au préalable. Les accès depuis les cabinets ou postes autonomes rattachés aux cabinets ( salariés à distance par exemple) sont crées à la demande du cabinet et en lien avec un bon de commande. C'est au cabinet de prévenir Seiitra en cas de départ d'un Collaborateur pour que Seiitra puisse désactiver le login correspondant.
- Le support Seiitra : Les équipes de support Seiitra peuvent accéder aux données du cabinet. Ces équipes interviennent exclusivement sur la base d'une demande d'assistance du cabinet. Les accès sont distants via IPs autorisées, login et mot de passe ou en connexion sur le poste de l'utilisateur. Dans le cas d'une connexion sur le poste utilisateur, c'est l'utilisateur qui ouvre un accès ponctuel et fournit à l'intervenant Seiitra les logins et mots de passe volatiles qu'il doit utiliser. Dans ce cas, l'utilisateur du cabinet partage son écran avec l'intervenant Seiitra et peut ainsi voir tout le détail de l'intervention.
- Les équipes service Seiitra : Dans le cas où le cabinet a émis un bon de commande pour une reprise ou un transfert de données (changement de fournisseur vers Seiitra ou rachat de cabinet par exemple ). Pendant la phase de reprise/ transfert (cf. contrat) , les collaborateurs de Seiitra en charge de fournir ce service accèdent aux données. Cet accès est contraint par login, mot de passe et IP autorisée.
-
Les administrateurs Seiitra ont accès aux données, ils interviennent dans un but de maintenance / mise à jour. Lorsque c'est possible, ils interviennent à distance.
Ils sont habilités à intervenir physiquement chez Eolas si nécessaire ( maintenance, infrastructure). Cet accès est tracé et soumis à une procédure de sécurité nécessitant une triple authentification de l'intervenant.
Ils sont habilités à intervenir physiquement dans les locaux à Montbonnot si nécessaire. Ces accès sont tracés (24 à 48h) et sécurisés (accès limités par badge avec niveau d'accréditations différent selon les collaborateurs, sécurisation par alarme et surveillance quotidienne par une société de sécurité).
- Le personnel habilité de Eolas dispose d'un accès physique réglementé et tracé aux machines hébergées dans leurs locaux. Cet accès est utilisé dans un but de maintenance infrastructure uniquement. Les logins et code d'accès des serveurs sont inconnus de Eolas dont les collaborateurs n'ont, par conséquent, accès qu'au support mais pas au détail des données.
- Le personnel habilité de AZURE d'un accès physique réglementé et tracé aux machines hébergées. Cet accès est utilisé avec information de Seiitra et dans un but de maintenance infrastructure uniquement. Les logins et code d'accès des serveurs sont inconnus de AZURE dont les collaborateurs n'ont, par conséquent, accès qu'au support mais pas au détail des données.
Avez-vous mis en place une procédure de notification de violation de données ?
Toute violation de données personnelles signalée par Eolas, Amazon ou identifiée par le service infrastructure Seiitra est notifiée immédiatement au DPO de Seiitra.
Dans ce cas, le cabinet sera immédiatement averti et pourra avertir la CNIL pour valider la conduite à tenir. Un intervenant technique Seiitra habilité et expert devra alors accompagner les démarches et échanges avec la CNIL. Selon les procédures de la CNIL, il pourrait être décidé, en accord avec la CNIL, de ne pas avertir immédiatement les individus concernés si une brèche de sécurité était identifiée et ce, tant qu'un danger serait persistant pour les données (faille à combler).
En parallèle de l'information du cabinet, dès la détection de la violation, Seiitra mènera toutes les actions nécessaires à l'interruption de cette violation (si elle est encore en cours) et à la sécurisation des données personnelles. Ces actions pourraient aller jusqu'à l'interruption, partielle ou entière, momentanée des services le temps de rétablir la sécurité des données concernées.
Recommandations aux cabinets
Seiitra n'intervient sur les données que concernant l'hébergement et la sauvegarde. Si une violation de données personnelles a lieu au cours d'autres traitements que ceux là, Seiitra n'aura pas la possibilité d'identifier comme telle cette violation.
(Par exemple une extraction de données personnelles via ThétraWin, par un utilisateur autorisé, ne déclenchera pas d'alerte automatique à Seiitra).
Pensez à sécuriser et activer la traçabilité notamment :
- Avertir Seiitra en cas de nécessité de blocage d'un login (départ d'un salarié, soupçon d'utilisation illicite, ...)
- Sensibiliser les collaborateurs du cabinet
- Prévoir et mettre en œuvre un délai maximum de conservation des données (destruction physique, anonymisation dans ThétraWin, autres ...)
- Identifier les actions à mener au regard du RGPD en tant que responsable de traitement (tenue d'un registre des traitements , identifier les habilitations en place ...)
- Prévoir des règles de sécurité et les faire appliquer par les collaborateurs du cabinet, par exemple :
- Ne pas copier les données personnelles en dehors d'un traitement clairement identifié et validé,
- Interdire le partage d'un même login entre plusieurs personnes
- Établir des règles de gestion et d'utilisation des équipements nomades
- Limiter les données conservées par le cabinet aux seules données nécessaires pour le service ( syndic / gérance / paie)
Seiitra vous accompagne dans vos démarches de mise en conformité, en cas de problème de doute ou de question, n'hésitez pas à venir vers nous rapidement pour que nous puissions vous aider ou vous conseiller.
Avez-vous mis en place des mesures pour être en conformité avec le RGPD ?
En plus des mesures de sécurisation des accès selon profils décrites plus haut dans ce document, Seiitra est en train de mettre en œuvre une nouvelle infrastructure dans le but d'améliorer le service d'hébergement et sécurisation en garantissant un PRA à 48h dans le cloud. C'est dans ce contexte que les données sont progressivement mise en hébergement chez Amazon en plus de Eolas et Montbonnot ( avec toujours le souci du respect du RGPD)
Comment assurez-vous, en interne, que les mises à jour de votre(vos) plateforme(s) sont bien en conformité avec le cadre juridique en matière de protection des données ?
Les plateformes sont programmées pour télécharger et installer les mises à jour antivirus dès que disponibles.
Les patchs de sécurité windows, eux aussi, sont installés en automatique dès leur mise à disposition.
Côté linux, et routeurs, des journées de maintenance sont planifiées (environ une par trimestre) pour mettre à jour les patchs de sécurité. Nous organisons une veille et avons la possibilité de déclencher une mise à jour de sécurité en urgence s'il s'avère que les données que nous hébergeons sont mises en danger par l'absence du patch.
.png){kind=icon}