Signaturit respecte toutes les obligations sous sa responsabilité, dans le strict respect du RGPD. Tout d'abord, devant ses clients, Signaturit agit en tant que sous-traitant du traitement, en assumant les obligations correspondantes, sur la base des dispositions de l'article 28 du RGPD. Concernant le traitement des données, Signaturit effectue le traitement au nom du Responsable du Traitement, qui indiquera le traitement que Signaturit peut effectuer en ce qui concerne les données personnelles.
Dans l'exercice de son rôle de sous-traitant du traitement, Signaturit a mis en place diverses mesures de sécurité visant à assurer le traitement approprié des données. Certaines des mesures prises par Signaturit sont les suivantes :
- Il dispose d’un système pour la désignation d’utilisateurs et de mots de passe de ses employés, pour ses propres systèmes comme pour ceux de tiers, limitant les accès aux profils d’utilisateur, par une affectation d’utilisateurs personnalisés et de mots de passe qui expirent au minimum une fois par an.
- Il devra informer son personnel des droits et devoirs qui leur incombent en matière de traitement de données de tiers.
- Il dispose d’une liste actualisée de profils et d’autorisations de ses utilisateurs, à ses propres systèmes comme à ceux de tiers.
- Il dispose d’un système de registre d’incidents, ainsi que du protocole à suivre en cas d’incident interne ou vis-à-vis du RESPONSABLE, des utilisateurs ou de l’organisme de supervision.
- Il adoptera des mesures appropriées pour le transfert de supports, propres et de tiers, le cas échéant.
- Il dispose de systèmes d’identification des supports avec lesquels il travaille.
- Il dispose d’un circuit de copies de sécurité de ses systèmes informatiques quotidiennement.
- Il dispose d’un circuit de récupération de données, dans le cadre du Plan de continuité d’activité et de reprise en cas de désastres.
- Un délégué à la protection des données a été désigné, joignable à l’adresse suivante: dpo@signaturit.com
- Il a réalisé ou réalise des audits tous les deux ans en matière de protection des données.
- Il dispose d’un système de registre d’entrées et de sorties de supports qui peuvent contenir des données personnelles sensibles et qui satisfont les paramètres de la loi.
- Il limite les accès non autorisés à ses systèmes informatiques, en créant des zones sûres auxquelles l’accès aussi bien physique que logique est limité.
- Dans son circuit et registre d’incidents, il est permis en outre d’enregistrer le processus de récupération de données, conformément aux paramètres de la réglementation.
- Il dispose d’un système de gestion de sécurité des informations certifié par la norme ISO 27001 par AENOR INTERNACIONAL, S.A.U.
- Il effectue une évaluation d'impact tous les deux ans.
Si vous avez d'autres questions sur la manière dont nous respectons nos obligations en matière de protection des données personnelles, veuillez consulter notre Politique de Confidentialité.