L'entreprise a mis en place une politique de sécurité de l'information pour garantir que la sécurité est une priorité absolue dans notre entreprise.

Les évaluations des risques de L'entreprise sont réalisées 4 fois par an. Dans le cadre de ce processus, les menaces et les changements (environnementaux, réglementaires et technologiques) liés aux engagements de service sont identifiés et les risques sont formellement évalués.

L’entreprise dispose d’un programme de gestion des risques documenté qui comprend des conseils sur l’identification des menaces potentielles, l’évaluation de l’importance des risques associés aux menaces identifiées et les stratégies d’atténuation de ces risques.

Les risques de sécurité de l'information liés aux projets sont traités efficacement dans la gestion de projet tout au long du cycle de vie du projet

Les systèmes de production de L'entreprise ne sont accessibles qu'aux employés autorisés possédant une méthode d'authentification multifacteur (MFA) valide.

La politique de contrôle d'accès de L'entreprise documente les exigences relatives aux fonctions de contrôle d'accès suivantes : ajout de nouveaux utilisateurs, modification des utilisateurs et/ou suppression de l'accès des utilisateurs existants.

L'entreprise déploie une technologie anti-malware dans des environnements généralement exposés aux attaques malveillantes et la configure pour qu'elle soit mise à jour régulièrement enregistrée et installée sur tous les systèmes concernés.

L'entreprise exige que les mots de passe pour les systèmes de production soient configurés conformément à la politique de L'entreprise.

L'entreprise dispose d'un système d'assistance externe (https://help.doccle.be) qui permet aux utilisateurs de signaler des informations système sur des pannes, des incidents et des problèmes et d'autres plaintes

L'entreprise effectue des révisions d'accès au moins deux fois par an pour les composants in-scope du système afin de garantir que l'accès est restreint de manière appropriée.

L'entreprise dispose de politiques et de procédures de réponse aux incidents de sécurité et de confidentialité qui sont documentées et communiquées aux utilisateurs autorisés.

Les incidents de sécurité et de confidentialité de L'entreprise sont enregistrés, suivis, résolus et communiqués aux parties concernées ou pertinantes par la direction conformément à la politique et aux procédures de réponse aux incidents de sécurité de L'entreprise.

La société a conclu des accords écrits avec des fournisseurs et des tiers liés. Ces accords comprennent des engagements de confidentialité et de respect de la vie privée applicables à cette entité.

L'entreprise a mis en place un programme de gestion des fournisseurs. Les éléments de ce programme comprennent : l'inventaire des fournisseurs tiers critiques ; les exigences de sécurité et de confidentialité des fournisseurs ; et la révision des fournisseurs tiers critiques au moins une fois par an.

L'entreprise exige que les employés signent un accord de confidentialité lors de leur intégration.

L'entreprise exige que les entrepreneurs signent un accord de confidentialité au moment de l'engagement.

Les dirigeants de L'entreprise sont tenus de procéder à des évaluations de performance de leurs subordonnés directs au moins une fois par an.

L'entreprise exige que les employés suivent une formation de sensibilisation à la sécurité dans les trente jours suivant leur embauche et au moins une fois par an par la suite.

L'entreprise effectue des vérifications des antécédents des nouveaux employés.

L’entreprise a mis en place des processus permettant d’accorder, de modifier et de mettre fin à l’accès physique au bureau de l’entreprise.

L’entreprise a imposé une politique d’écran vide et de bureau propre pour empêcher la fuite de données.

Des normes sont établies pour garantir la sécurité des informations lorsque le personnel travaille à distance

L'entreprise dispose de supports électroniques contenant des informations confidentielles purgées ou détruites conformément aux meilleures pratiques.

L'entreprise limite l'accès privilégié aux clés de cryptage aux utilisateurs autorisés ayant un besoin commercial

L'entreprise utilise un outil de gestion des journaux pour identifier les événements susceptibles d'avoir un impact potentiel sur la capacité de L'entreprise à atteindre ses objectifs de sécurité.

L'entreprise utilise un système de détection d'intrusion pour assurer une surveillance continue du réseau de L'entreprise et une détection précoce des failles de sécurité potentielles.

La société dispose d'une infrastructure pour prendre en charge le service qui a été patchée dans le cadre de la maintenance de routine et en réponse aux vulnérabilités identifiées. Cela garantit que les serveurs prenant en charge le service sont protégés contre les menaces de sécurité.

L'entreprise exige une authentification sur les systèmes et les applications pour utiliser un nom d'utilisateur et un mot de passe uniques

L'entreprise utilise des firewalls et les configure pour empêcher tout accès non autorisé.

L'entreprise limite l'accès privilégié au firewall aux utilisateurs autorisés ayant un besoin professionnel.

L'entreprise révise régulièrement ses règles de firewall. Les modifications requises sont suivies jusqu'à leur achèvement.

Un outil de surveillance de l'infrastructure est utilisé pour surveiller les systèmes l'infrastructure et les performances et génère des alertes lorsque des seuils prédéfinis spécifiques sont atteints.

Le réseau de L'entreprise est segmenté pour empêcher tout accès non autorisé aux données clients.

Tous les changements apportés aux systèmes de production passent par un processus strict maximisant la disponibilité de nos produits.

Les tests de pénétration de L'entreprise sont effectués en continu via Intigriti.com. Un plan de correction est élaboré et des changements sont mis en œuvre pour remédier aux vulnérabilités conformément aux accords de niveau de service.

L'entreprise utilise des protocoles de transmission de données sécurisés pour crypter les données confidentielles et sensibles lors de leur transmission sur les réseaux publics.

L'entreprise a mis en place un cycle de vie de développement logiciel sécurisé pour garantir que la sécurité est prise en compte tout au long du processus de développement logiciel.

Tout code logiciel ne peut être publié que lorsqu’aucune vulnérabilité n’est présente.

Doccle a créé et mis en œuvre une structure de gouvernance de la protection des données, comprenant un délégué à la protection des données (DPD) externe et indépendant ; un système de gestion de la protection des données (Responsum) documentant notre registre des activités de traitement, les DPIA, etc. pour démontrer notre responsabilité et notre conformité.

Doccle garantit qu'il ne traitera que les données personnelles conformément aux principes établis dans le RGPD. Le traitement des données personnelles sera toujours basé sur une base documentée et légale, ainsi que sur des finalités spécifiées, documentées et légitimes.Doccle s'engage à traiter les données personnelles strictement nécessaires et exactes à tout moment.

Notre contrôle de transparence garantit que toutes les personnes concernées sont pleinement informées de la manière dont leurs données personnelles sont traitées. Nous fournissons des informations claires et accessibles sur les types de données que nous collectons, le but du traitement et bien plus encore. Cette transparence permet aux utilisateurs de prendre des décisions éclairées concernant leurs données. Ce centre de confiance est également un excellent exemple de ce contrôle de transparence.

Doccle veille à la sélection et au suivi rigoureux de nos sous-traitants, à l'établissement d'accords de protection des données solides et à la facilitation de transferts de données internationaux sécurisés. Nous mettons en œuvre des procédures strictes pour garantir qu'ils répondent à nos normes de protection des données. De plus, nous utilisons des mécanismes de transfert de données appropriés et veillons à ce que tout accord de co-responsabilité soit clairement défini si nécessaire. Des audits sont effectués pour vérifier la conformité, préservant ainsi la confidentialité des données tout au long de la chaîne de traitement.

Nos contrôles de sécurité des données sont conçus pour respecter les normes les plus élevées d'intégrité et de confidentialité, avec des certifications garantissant le respect des meilleures pratiques mondiales en matière de sécurité et de protection des données. Nous sommes certifiés ISO 27000 pour la sécurité de l'information et ISO 9000 pour la gestion de la qualité. Nous respectons également la norme ISO 27701 concernant la protection des données. Toutes les bases de données, documents et données sont cryptés pour protéger contre tout accès non autorisé et garantir la confidentialité et l'intégrité des informations personnelles. Ces mesures fournissent un environnement complet et sécurisé pour les données à chaque étape du traitement.

Nous avons mis en place des procédures documentées pour gérer et traiter toutes nos demandes entrantes relatives aux droits des personnes concernées. Cela signifie que nos utilisateurs finaux ont un contrôle total sur leurs données personnelles.

Nous avons mis en place de nombreux contrôles pour atténuer la possibilité et l'impact des incidents dans notre organisation. Si un incident devait néanmoins se produire, Doccle est préparé. Des procédures structurées sont en place pour assurer une réponse rapide à tout type d'incident, ainsi qu'aux violations de données.

Notre contrôle de transparence garantit que toutes les personnes concernées sont pleinement informées de la manière dont leurs données personnelles sont traitées. Nous fournissons des informations claires et accessibles sur les types de données que nous collectons, les finalités du traitement et bien plus encore ! Cette transparence permet aux utilisateurs de prendre des décisions éclairées concernant leurs données ! Ce centre de confiance est également un excellent exemple de ce contrôle de transparence !

Nous mettons en œuvre des mesures de pointe pour assurer la protection des données, notamment une politique de protection des données, des procédures d'audit, des procédures de surveillance et de contrôle continues et des programmes de formation et de sensibilisation pour favoriser une culture de conformité et de sécurité. Grâce à notre certificat de sécurité de l'information (ISO 27001:2013), nous pouvons garantir la sécurité de vos données personnelles.