Protection des données

Les procédures particulières de continuité de services et de reprise d’activité (dites « de résilience ») qui sont activées lorsqu’un risque survient et provoque des dégâts. Cette politique est contrôlée et mesurée en permanence.  

Elle est attestée chaque année par quatre certifications : 

• La certification ISO 9001-2015 IAF33 « Datacenter, Hosting et Hébergement » qui examine :
• Notre programme qualité 
• Nos procédures de fourniture de services  
• La certification PCI DSS Level 1 (Payment Card Industry Data Security Standards), chapitres 9 et 12, qui examine : 
• Nos procédures de protection physique des équipements, de protection des données, et de résilience
• Notre politique générale de sécurité de l'information et son partage par tout le personnel 
• La certification ISO/IEC 27001:2017 « Conception, fourniture et gestion de services d'hébergement et d'hébergement de centres de données, et de traitement des données à caractère personnel et données de santé» qui examine : 
• Notre SMSI (Système de Management de la Sécurité de l'Information)
• Nos procédures d'amélioration permanente de la Sécurité de l'Information 

• La certification HDS:2018 Hébergement de Données de Santé », à la fois en tant qu'hébergeur et infogérant. Le champ d'application de la certification porte sur :
• Le batiment physique qui héberge les données 
• L'infrastructure matérielle qui héberge les données
• La plateforme qui permet d'exploiter les données 
• Le Système de Management de la Sécurité de l'Information et plus précisément les procédures qui nous permettent d'infogérer les données

Certificat ISO 9001

Certificat PCI-DSS

Certificat ISO 27001

Certificat Hébergeur Données de Santé

En tant qu'hébergeur de données, la réglementation Européenne nous attribue un rôle de fournisseur "processeur" des données, sous-traitant du client qui reste propiétraire et "responsable du traitement" qu'il applique à ses données.

Concrètement, cela signifie que nos clients doivent établir une cartographie des données personnelles qu'ils collectent, stockent, traitent et restituent. Un registre doit être tenu à jour pour attester de la traçabilité des opérations. L'ensemble des processus de traitement des données personnelles doivent être conçus dès le départ selon un principe de "privacy by design" qui permet de respecter cette réglementation.

De notre côté, nous devons pouvoir attester à tout moment que notre politique de sécurité de l'information est également conforme à cette réglementation. Par exemple nous devons savoir exactement où sont stockées les données que nous hébergeons et nous devons savoir présenter à tout moment nos procédures de protection de l'information, de résilience et de réversibilité.

Le niveau de protection "Tier 4" de notre principal Datacenter de Sophia Antipolis et les procédures de sécurité mises en place chez TAS, notamment pour nos certifications, sont alignées sur les exigences de cette règlementation dans le rôle qui est le nôtre.

Cependant, le partage de responsabilités avec nos clients "responsables du traitement" des données reste un point de vigilance constant, notamment lorsque l'infogérance des serveurs nous est confiée. La protection de l'information est un travail permanent, qui ne peut être décrété une fois pour toutes, notamment compte tenu des erreurs humaines qui peuvent intervenir même dans des processus très automatisés.

Nous sommes en conformité avec la règlementation. Nos contrats d'hébergement ont été revisités pour préciser les modalités de prise en compte d'un certain nombre de points sur lesquels la RGPD a un impact. 

Nous utilisons les meilleures solutions du marché, telles qu'Asigra Cloud Backup par exemple dont nous sommes partenaire certifié, pour sauvegarder et reconstruire vos données en toutes circonstances, quels que soient la plateforme et le système d'exploitation avec lesquels vous exploitez vos données : serveur physique, virtuel, container, poste de travail, tablette, smartphone. 

La solution Asigra contient notamment des fonctionnalités anti ransomware pour éviter qu'un code malveillant ne vienne aggraver une situation critique au moment de la restauration des données.    

Nos solutions permettent également d'inclure dans le périmètre de sauvegarde les données qui ne sont pas stockées chez TAS, par exemple sur des serveurs distants ou des équipements mobiles. 

Dans tous les cas, nous incitons nos clients à décider d'une politique de sauvegardes (criticité des données, fréquence des sauvegardes, localisation des sauvegardes, rétention des données, délais acceptables de restauration, etc...) et à s'interroger sur leur niveau d'exigence en matière de continuité d'activité en cas de sinistre.

Nos clients les plus sensibles et les plus exigeants nous demandent des services à très haut débit et très haute disponibilité en toutes circonstances, 24/24 h, 7/7j, 365 jours par an.

Dans ce cas nous construisons des architectures multi serveurs et multi sites avec un niveau de redondance permettant aux utilisateurs de poursuivre une activité normale sans coupure sensible de service alors qu'un incident majeur aura pu survenir sur leur réseau.

Data Protection: Asigra Case Study

TAS France Risk Assessment