KUNAK TECHNOLOGIES S.L.
Introduction
Chez KUNAK TECHNOLOGIES S.L., nous concevons et exploitons des solutions de surveillance environnementale et d’IoT qui traitent des données critiques pour nos clients. La confiance dans nos services repose sur le fait que l’information soit toujours disponible, exacte et dûment protégée contre les accès non autorisés.
Par cette Politique de Sécurité de l’Information, la Direction manifeste son engagement à protéger l’information et à respecter l’ensemble des exigences légales et contractuelles applicables, en intégrant la sécurité dans tous les processus et services de l’organisation.
1. Objet et champ d’application
Cette Politique a pour objet d’établir les principes et lignes directrices généraux pour gérer la sécurité de l’information chez KUNAK TECHNOLOGIES S.L.
Son champ d’application comprend :
- Tous les systèmes d’information, infrastructures et services gérés par KUNAK TECHNOLOGIES S.L., tant internes que dans le cloud.
- L’ensemble du personnel propre et des tiers ayant accès à ces systèmes ou aux informations gérées par l’organisation.
Le respect de cette Politique est obligatoire pour toutes les personnes et entités incluses dans son champ d’application.
2. Cadre de référence
La gestion de la sécurité de l’information chez KUNAK TECHNOLOGIES S.L. s’aligne sur le Schéma National de Sécurité (ENS) espagnol et sur la norme ISO/IEC 27001 relative aux systèmes de management de la sécurité de l’information, actuellement en cours de certification.
De même, elle respecte la réglementation applicable en matière de protection des données, y compris le Règlement (UE) 2016/679 (RGPD) et la Loi Organique 3/2018 (LOPDGDD), sur la base desquels sont élaborés les procédures et contrôles internes de l’organisation.
3. Principes de sécurité
KUNAK TECHNOLOGIES S.L. s’engage à protéger l’information selon les principes suivants :
- Confidentialité : l’information ne sera accessible qu’aux personnes, systèmes ou entités autorisés.
- Intégrité : l’information sera exacte et complète, en évitant les modifications non autorisées ou les erreurs non contrôlées.
- Disponibilité : les systèmes et services seront opérationnels lorsqu’ils seront nécessaires, avec les niveaux de continuité et de résilience définis.
- Authenticité : l’identité des parties intervenantes et l’origine des données échangées seront garanties.
- Traçabilité : les actions pertinentes seront enregistrées de manière à pouvoir être analysées et auditées.
4. Organisation et responsabilités
La Direction de KUNAK TECHNOLOGIES S.L. assume la responsabilité ultime de la sécurité de l’information et approuve cette Politique.
L’organisation dispose d’un Comité de Sécurité de l’Information, composé des responsables du service, de l’information, de la sécurité et du système, qui a notamment pour fonctions :
Responsable du service
- Établir les exigences du service en matière de sécurité, y compris les exigences d’interopérabilité, d’accessibilité et de disponibilité.
- Déterminer les niveaux de sécurité des services.
- Approuver formellement le niveau de sécurité du service.
Responsable de l’information
- Veiller au bon usage de l’information et, par conséquent, à sa protection.
- Être responsable en dernier ressort de toute erreur ou négligence conduisant à un incident de confidentialité ou d’intégrité.
- Établir les exigences de l’information en matière de sécurité.
- Déterminer les niveaux de sécurité de l’information.
- Approuver formellement le niveau de sécurité de l’information.
Responsable de la sécurité
- Maintenir le niveau de sécurité adéquat de l’information traitée et des services fournis par les systèmes.
- Réaliser ou promouvoir les audits périodiques exigés par l’ENS afin de vérifier le respect de ses exigences.
- Gérer la formation et la sensibilisation en matière de sécurité des TIC.
- Vérifier que les mesures de sécurité existantes sont adaptées aux besoins de l’entité.
- Réviser, compléter et approuver toute la documentation relative à la sécurité du système.
- Surveiller l’état de sécurité du système fourni par les outils de gestion des événements de sécurité et les mécanismes d’audit mis en œuvre dans le système.
- Soutenir et superviser l’investigation des incidents de sécurité depuis leur notification jusqu’à leur résolution, en émettant des rapports périodiques sur les plus pertinents au Comité.
Responsable du système
- Gérer le Système d’Information tout au long de son cycle de vie, depuis la spécification et l’installation jusqu’au suivi de son fonctionnement.
- Définir les critères d’utilisation et les services disponibles dans le Système.
- Définir les politiques d’accès des utilisateurs au Système.
- Approuver les changements affectant la sécurité du mode de fonctionnement du Système.
- Déterminer la configuration autorisée du matériel et des logiciels à utiliser dans le Système et approuver les modifications importantes de cette configuration.
- Réaliser l’analyse et la gestion des risques du Système.
- Élaborer et approuver la documentation de sécurité du Système.
- Déterminer la catégorie du système selon la procédure décrite à l’Annexe I de l’ENS et déterminer les mesures de sécurité à appliquer telles que décrites à l’Annexe II de l’ENS.
- Mettre en œuvre et contrôler les mesures de sécurité spécifiques du Système.
- Établir des plans de contingence et d’urgence, en réalisant des exercices fréquents afin que le personnel se familiarise avec eux.
- Suspension du traitement de certaines informations ou de la fourniture d’un certain service en cas de détection de déficiences graves de sécurité pouvant affecter le respect des exigences établies.
Tout le personnel, ainsi que les entreprises collaboratrices travaillant avec KUNAK TECHNOLOGIES S.L., doit connaître et respecter cette Politique et la réglementation interne qui la développe.
5. Gestion des risques et conformité
KUNAK TECHNOLOGIES S.L. réalise des analyses et une gestion des risques de ses systèmes d’information, en les révisant périodiquement et chaque fois que surviennent des changements significatifs, de nouvelles menaces ou des incidents pertinents.
L’organisation s’engage à :
- Mettre en œuvre des mesures techniques et organisationnelles adaptées au niveau de risque.
- Maintenir des preuves de conformité vis-à-vis de l’ENS, de l’ISO/IEC 27001, du RGPD, de la LOPDGDD et des autres réglementations applicables.
- Soumettre ses systèmes à des révisions et audits périodiques, internes et par des tiers.
6. Protection des données personnelles
Les données à caractère personnel ne sont traitées que lorsqu’elles sont adéquates, pertinentes et non excessives au regard des finalités légitimes de l’organisation et de ses clients.
KUNAK TECHNOLOGIES S.L. applique des mesures techniques et organisationnelles appropriées pour :
- Garantir un niveau de sécurité adapté au risque.
- Faciliter l’exercice des droits des personnes concernées.
- Assurer la confidentialité, l’intégrité et la disponibilité des données personnelles tout au long de leur cycle de vie.
7. Formation, sensibilisation et tiers
La sécurité de l’information est de la responsabilité de toutes les personnes qui participent aux activités de KUNAK TECHNOLOGIES S.L.
L’organisation :
- Fournit une formation et une sensibilisation périodiques en matière de sécurité et de protection des données.
- Exige contractuellement des fournisseurs et des tiers qui fournissent des services ou traitent des informations pour KUNAK TECHNOLOGIES S.L. le respect d’exigences de sécurité équivalentes aux siennes.
- Établit des mécanismes de supervision et de coordination en matière de sécurité avec ces tiers.
8. Gestion des incidents et continuité
KUNAK TECHNOLOGIES S.L. dispose de procédures pour la détection, la notification, l’analyse et la réponse aux incidents de sécurité de l’information, ainsi que pour la récupération des services affectés.
L’organisation maintient des plans de sauvegarde, de contingence et de continuité d’activité permettant de restaurer les services essentiels en cas de panne grave ou de sinistre, conformément aux exigences convenues avec les clients et à l’ENS.
9. Révision et amélioration continue
Cette Politique de Sécurité de l’Information sera révisée au moins une fois par an, ou lorsque surviennent des changements significatifs dans les systèmes, les services, la réglementation applicable ou les risques identifiés.
La Direction et le Comité de Sécurité de l’Information favorisent l’amélioration continue du système de management de la sécurité, en intégrant les enseignements tirés des audits, révisions, analyses de risques et gestion des incidents.