©
CIGREF - IFACI - AFAI - Mars 2013
24
•
Sécurité des accès physiques
Le prestataire assure que :
•
il dispose de systèmes d’accès physique sécurisés, de détection d’intrusion et
de vidéo surveillance,
•
les accès aux
datacenters
sont autorisés aux seules personnes habilitées en
suivant un circuit d’approbation approprié, ils sont tracés et revus régulièrement,
•
tout sous-traitant demaintenanceamenéàutiliser ou réparer des équipements
contenant des données sensibles est soumis à des clauses contractuelles de
confidentialité,
•
tout media de stockage de données contenant des données sensibles et
destiné à être mis au rebus ou recyclé fait l’objet d’un effacement physique
préalable de ces données.
•
Sécurité des accès logiques
Le prestataire assure que :
•
il applique les règles d’autorisation d’accès aux données en fonction des
éléments communiqués par le client (création, modification et suppression) ;
il fournit la liste des accès au client,
•
les accès des utilisateurs et administrateurs aux systèmes contenant des
données sensibles s’appuient sur des mécanismes assurant la confidentialité
et la traçabilité (pistes d’audit sur les accès aux données et traitement de la
problématique des comptes génériques),
•
il applique une politique d’authentification et de mot de passe conforme à
celle du client.
•
Sécurité des systèmes
Le prestataire assure que :
•
les données sauvegardées quel que soit le support sont chiffrées,
•
il gère les vulnérabilités des systèmes et organise au moins annuellement
des tests d’intrusion ; les vulnérabilités critiques identifiées sont corrigées
immédiatement,
•
les serveurs hébergeant des données sensibles sont configurés avec un niveau
de sécurité renforcé ; les patchs de sécurité sont gérés de façon centralisée
et appliqués dans des délais inférieurs à un mois,
•
les anti-virus sont installés sur les serveurs, mis à jour et supervisés,
•
l’usage des clés USB ou autres media de stockage mobile est contrôlé et
interdit sur tous les systèmes contenant des données sensibles.
