iZiFamily

Politique de sécurité des données

IZI FAMILY a mis en place des mesures permettant d’assurer le niveau de sécurité adapté
aux données personnelles traitées et leur confidentialité, en conformité avec les prescriptions du RGPD.

PROTECTION DES TRANSMISSIONS

● Sécurisation et certification du site hébergeant notre plateforme.
● Chiffrement TLS des transferts de données. Ce chiffrement est mis en œuvre pour toutes les pages
d’authentification, de formulaire ou sur lesquelles sont affichées ou transmises des données à caractère personnel non publiques.
● Limitation des ports de communication à ceux strictement nécessaires au bon fonctionnement des applications installées.

PROTECTION ET DISPONIBILITE DES DONNEES

● Centre d’hébergement OVH certifié aux normes de sécurité des données les plus élevées ISO/IEC 27001 TYPE 2 et PCI-DSS Niveau 1 pour le stockage et le traitement de données de cartes bancaires et SOC 1 type II (SSAE 16 et ISAE 3402) et SOC 2 type II garantissant la mise en place et l’efficacité de contrôles internes liée à la sécurité du système d’information.
● Centre d’hébergement de niveau Tier IV en France.
● Hébergeur agréé de données de santé (HDS).
● Politique de sécurité des systèmes d’information (PSSI) OVH.
● Disponibilité du serveur de 99,95%, continuité de service de la plateforme IZI FAMILY (hors indisponibilité liée à la mise à jour de la plateforme) et système supervisé 24h/24 et 7j/7. Plan de reprise d’activité sous 24h en cas de panne.
● Protocole de sauvegarde des données : sauvegardes quotidiennes, conservation des sauvegardes sur une semaine, et réalisation d’une sauvegarde par semaine sur un mois. Chiffrement du transfert des données vers le serveur de sauvegarde.
● Sauvegarde et récupération de données suite à un sinistre grâce à la duplication des données sur un serveur miroir sur un autre site, en France également.
● Utilisation de disques durs avec réplication des données (RAID 0). Sauvegardes Snapshot.
● Chiffrement de la base de données et des documents déposés sur le serveur d’hébergement

CONTROLE DES ACCES AUX DONNEES

● Les données sont isolées sur un serveur privé dédié.
● Les bâtiments dans lesquels sont hébergées les données sont protégés des intrusions et des attaques.
● Aucun accès aux données pour les personnes non autorisées. Gestion stricte des habilitations.
● Journalisation des accès sur les serveurs et équipements de l’hébergeur OVH, journalisation des informations liées aux accès logiques et journalisation des connexions des utilisateurs, des créations, suppressions et modifications de contenus de la plateforme.
● Authentification par un login et mot de passe fort conforme aux préconisations de la CNIL.
● Cryptage du mot de passe de l’utilisateur en base de données et sur l’interface de l’utilisateur.

PROCEDURES MAINTENANCE

● Chiffrage des communications lors des opérations de maintenance.
● Connexion au serveur au moyen d’une clé privée SSH.
● L’infogérance de la plateforme et de la base de données associée est assurée par la société AKELIO en vertu d’un contrat conforme aux prescriptions du RGPD, seuls les collaborateurs habilités pouvant intervenir. Aucun accès aux données de la base n’est autorisé.
● Chaque collaborateur est soumis à un contrat de confidentialité.
● Sensibilisation au RGPD de la société AKELIO.

PROTECTION DE LA VIE PRIVEE DÈS LA CONCEPTION (PRIVACY BY DESIGN)

● Attestation de sécurité du site IZI FAMILY réalisée suite à un audit de sécurité par une société indépendante en date du 03/04/2017.
● Hébergement des données chez un hébergeur certifié HDS présentant les garanties de sécurité attendues pour les données en cause.
● Hébergement des données dans une infrastructure spécifique à l’hébergement des Systèmes d’Information de Santé à caractère personnel.
● Conclusion de contrats de sous-traitance répondant aux exigences du RGPD avec les sous-traitants des données.
● Conclusion d’accords de confidentialité avec les collaborateurs.
● Authentification par un login et mot de passe fort conforme aux préconisations de la CNIL.
● Gestion stricte des habilitations.
● Système de journalisation horodatant par utilisateur les connexions/déconnexions ainsi que les actions impactantes sur les données.
● Chiffrement des transferts de données.
● Chiffrement de la base de données sur le serveur.
● Information des utilisateurs sur la collecte et le traitement de données personnelles, leurs droits et la politique de confidentialité d’IZI FAMILY.
● Désignation d’un DPO : Maître Gaëlle Leroy – Cabinet LEXT AVOCATS AARPI – 2 rue des Gladiateurs – 72000 LE MANS – Tél : 01 83 75 80 00.