Sécurité & protection des données selon le RGPD

La protection des données et la sécurité de l'information sont des éléments centraux des produits et services de Helm & Nagel GmbH. La protection de vos données et votre confiance sont très importantes pour nous. C'est pourquoi nous avons mis en place des mesures techniques et organisationnelles pour garantir la sécurité du traitement, que nous développons en permanence. Konfuzio, en tant que produit de Helm & Nagel GmbH, répond à toutes les exigences du règlement général sur la protection des données de l'UE et est conforme, en tant qu'organisation et en tant que logiciel, à la protection des données conformément au RGPD de l'UE.

Si vous avez besoin d'informations complémentaires ou si vous avez des questions sur le contenu de cette page, n'hésitez pas à contacter notre équipe chargée de la protection des données et de la sécurité de l'information à l'adresse [email protected]. Si vous avez des questions concernant la sécurité, n'hésitez pas à nous contacter à l'adresse [email protected].

Généralités sur le Protection des données

Un aperçu des questions fréquemment posées.

Oui, Konfuzio répond à toutes les exigences du règlement général sur la protection des données de l'UE et est, en tant qu'organisation et en tant que logiciel, conforme à la protection des données conformément au RGPD de l'UE. Pour ce faire, nous avons, dans le cadre des préparatifs au RGPD de l'UE, vérifié notre produit par rapport aux principales exigences légales telles que la protection des données par la conception technique et par des paramètres par défaut favorables à la protection des données (article 25 du RGPD de l'UE) ou encore l'assistance du client dans le respect des droits des personnes concernées tels que le droit à l'effacement, le droit d'accès ou le droit à la portabilité des données (chapitre 3 du RGPD de l'UE) et procédé aux adaptations correspondantes. Ainsi, le client peut supprimer les données de documents aussi bien automatiquement que manuellement et soit bloquer les données des collaborateurs, soit les supprimer complètement et en toute sécurité.

Grâce à l'approche libre-service de Konfuzio, les utilisateurs peuvent également consulter directement leurs projets à tout moment. De plus, les collaborateurs peuvent exporter eux-mêmes les données téléchargées des projets dans un format lisible par machine et télécharger les documents qu'ils ont eux-mêmes apportés.

Oui, la protection des données fait partie intégrante de notre stratégie produit et nous veillons donc déjà, lors du développement de nos fonctionnalités, à respecter des principes tels que la minimisation des données ainsi que l'utilisation de mesures conformes à l'état de l'art pour garantir un niveau de protection adéquat. Dans le cadre de la préparation au RGPD de l'UE, nous avons en outre examiné l'ensemble de l'application en ce qui concerne les paramètres par défaut et l'avons adaptée de manière à ce qu'elle atteigne le plus haut niveau possible de convivialité en matière de protection des données tout en restant facile à utiliser. En outre, les paramètres ont été conçus de manière à ce que le client puisse les adapter à ses besoins. Afin de garantir cela en permanence, nous avons également défini un processus permettant d'intégrer en permanence les exigences légales dans le processus de développement du produit et de vérifier ensuite l'application à intervalles réguliers.

Helm & Nagel GmbH fournit des prestations conformes au RGPD et tient compte des directives spécifiques à la branche, entre autres les directives du code de protection des données de la fédération allemande des assurances (GDV). Helm & Nagel GmbH s'efforce ainsi d'améliorer continuellement les processus et les structures en matière de protection des données et de sécurité de l'information.

Dans le cadre de formations continues, les propres exigences en matière de protection des données et de sécurité de l'information sont affinées. Non seulement les processus internes et les mesures de protection sont améliorés en permanence, mais les failles de sécurité d'autres entreprises sont identifiées et signalées. Par exemple, BASF SE a nommé Florian Zyprian, le CTO, " sur la base d'un tel rapport ".Héros de BASF".

Confidentialité et intégrité

Oui, sur toutes les bases de données et mémoires de fichiers binaires utilisées par Helm & Nagel GmbH, comme par exemple un PDF, un cryptage "at Rest" est utilisé selon l'état de la technique, de sorte que les données ne peuvent être lues qu'après une authentification en bonne et due forme.

Oui, toutes les données personnelles ou relatives aux personnes transmises par l'application Konfuzio à un client ou à d'autres plates-formes doivent être cryptées au moyen de Transport Layer Security (TLS), ce qui signifie notamment que HTTPS est également crypté. Pour ce faire, une connexion sécurisée doit d'abord être établie entre les deux partenaires de connexion (client et serveur) avant qu'une transmission de données puisse avoir lieu.

Pour l'hébergement de ses logiciels, Helm & Nagel GmbH fait appel aux services Azure, un produit de Microsoft Corporation. Les centres de données utilisés sont certifiés ISO/IEC 27001 et répondent ainsi à nos exigences élevées en matière de sécurité physique des données de nos clients.

En principe, ni les collaborateurs des centres de calcul ni ceux de Microsoft n'ont accès à vos données. Du côté de Helm & Nagel GmbH, seules notre équipe d'infrastructure (côté serveur) et nos experts en intelligence artificielle (côté système client) y ont accès de manière ponctuelle. Ceci est nécessaire pour aider à la configuration initiale du compte ainsi qu'au traitement des demandes de service. L'attribution des droits d'accès est protocolée et se fait selon le principe "need-to-know". En outre, l'accès aux systèmes des clients est consigné.

Helm & Nagel GmbH utilise, côté serveur, un système de détection des attaques basé sur l'hôte pour surveiller des paramètres tels que les entrées de log inhabituelles, les signatures de rootkits et de chevaux de Troie connus, les anomalies dans le système de fichiers des périphériques ou les attaques classiques par force brute. Ces paramètres sont régulièrement analysés pour détecter les anomalies. En cas d'anomalie, les collaborateurs responsables de l'exploitation et du développement sont immédiatement informés afin de prendre des contre-mesures. En outre, toutes les activités importantes (en particulier les opérations de modification, de suppression et de mise à jour) sont consignées dans un journal côté application, afin de pouvoir prouver sur demande les accès non autorisés et les modifications des données.

Les accès se font exclusivement par le biais de comptes d'utilisateurs personnalisés, clairement attribués à une personne. La connexion s'effectue à l'aide d'un nom d'utilisateur et d'un mot de passe qui doit être modifié lors de la connexion initiale conformément à la politique de mot de passe sécurisé mise en œuvre dans l'application.

Les droits d'accès sont en principe conçus de manière à respecter les exigences de l'article 24 du RGPD de l'UE concernant les paramètres par défaut favorables à la protection des données. Cela signifie que les collaborateurs nouvellement créés n'ont "par défaut" aucun droit au-delà du traitement de leur propre profil. En tant que client, vous êtes toutefois en mesure d'attribuer les droits individuellement sur la base de votre propre concept d'autorisation.

Affectation des fonds

Le client est et reste le "maître des données" et le responsable au sens de l'article 24 du RGPD. Cela signifie en particulier que le client est responsable du respect des droits des personnes concernées (chapitre 3 du RGPD UE). Helm & Nagel GmbH est un sous-traitant et traite donc vos données exclusivement sur vos instructions et aux fins réglées dans le cadre du contrat de traitement des commandes.

Cela signifie que Helm & Nagel GmbH ne vend ou ne transmet en aucun cas des données à des tiers. La seule exception est la transmission à des sous-traitants éventuellement mandatés, qui est réglée dans le cadre du contrat de traitement des commandes avec nos clients.

En outre, Helm & Nagel GmbH se réserve le droit d'utiliser exclusivement des données entièrement anonymisées, par exemple à des fins de test ou de développement du produit. Une telle anonymisation s'effectue exclusivement dans le cadre des réglementations légales et tient compte de l'état de la technique ainsi que des recommandations du groupe de travail "Article 29" ou du comité européen de protection des données. L'anonymisation des données signifie qu'aucune conclusion ne peut être tirée sur les individus ou les entreprises. Il n'y a donc aucun risque pour nos clients.

Lorsque la relation commerciale prend fin, les personnes autorisées à donner des instructions au client peuvent demander la restitution des données dans un format lisible par machine. Ensuite, les données seront irrémédiablement supprimées à l'expiration du délai défini dans le contrat. En principe, dans le cas improbable où Helm & Nagel GmbH cesserait ses activités, il n'y aurait pas de dérogation à cette règle, étant donné que le client est le "maître des données" et que Helm & Nagel GmbH n'est qu'un sous-traitant et ne peut et ne pourra donc pas disposer des données personnelles d'une autre manière.

Disponibilité

Helm & Nagel GmbH mise ici en particulier sur une conception redondante de l'infrastructure des serveurs en ce qui concerne les données productives et les sauvegardes, ainsi que sur la sécurité physique des centres de calcul (par ex. alimentation électrique sans interruption, système d'alarme, système de détection d'incendie, etc.) et exploite en outre une gestion continue des capacités pour surveiller les ressources utilisées et la répartition des ressources nécessaires.

Afin de garantir une disponibilité adéquate, Helm & Nagel GmbH met en œuvre un concept de sauvegarde pour la base de données avec les données du client qui y sont stockées, conformément à l'état actuel de la technique. Les sauvegardes des systèmes de base de données sont exclusivement stockées sous forme cryptée. Ainsi, il n'est pas nécessaire que le client effectue ses propres sauvegardes. Des tests de restauration sont effectués régulièrement afin de s'assurer que les sauvegardes ont été correctement enregistrées et qu'elles peuvent être restaurées en cas de perte de données.

Dans le cas peu probable d'une panne totale du système, la conception redondante des centres de données (données productives et de sauvegarde) garantit que vos données ne seront pas perdues. Dans ce cas, nous assurerons la restauration la plus rapide possible conformément à notre plan d'urgence/concept de reprise après sinistre.

Arrow-up