Confidentialité et sécurité

C'est une obligation légale pour les organisations et entreprises de traiter les données dont elles disposent soigneusement. Untraitement bon et responsable des données personnelles est un élément essentiel d'une relation de confiance entre le client et l'organisation. Au moyen des systèmes d'information, une attention particulière a été accordée aux mesures qui effectivement forcent l'utilisation prudente etresponsable des données personnelles.

 
But du traitement des données personnelles

L'objectif de 24ID Check est enregistrer et contrôler une identité pour conclure un contrat ou une transaction pour la période pendant laquelle le contrat ou une transaction dure. Pas de copies dérangées des pièces d'identité mais un fichier numérique, dont l'individuelle peut consulter et gérer ses propres données personnelles. En outre, un consultation limité aux données personnelles pour les fonctionnaires des organisations et/ou des entreprises où les données personnelles sont fournis

 
Traitement de données personnelles

Par 24ID Check seulement les données personnelles sont processus quand la personne concernée a donnée, directement ou indirectement, la permission. La personne a été informée, directement ou indirectement, à l'avance au sujet de l'objectiv du traitement des données personnelles. 24ID Check doit seulement enregistrer, stocker en gérer les données personnelles afin de l'objectiv pourqoui les données sont collectionnées. Les données personnelles biométriques ne sont pas enregistrées. Une notification à la Commission de protection des données personnelles est faite par le responsable (organisation et / ou société avec qui le contrat ou la transaction a été conclu) conformément à l'art. 27 de la Loi sur la protection des données personnelles.

 
Données enrégistrées

Données personnelles seront uniquement traitées lorsque cela est compatible avec les objectivs pour lesquelles elles sont collectées. 24ID Check digére notamment des données suivantes:

  • Nom propre
  • Jour de la naissance
  • Adresse et lieu de résidence
  • Patrie
  • Nombre et type de carte d'identité
  • Sexe
  • Nationalité
  • Données du téléphone et e-mail

 
Accès et amélioration

Chaque personne peut regarder et gérer son propre données personnelles au moyen d'un login personnel. Si n personne croit qu'une donnée de lui est  enregistré pas correcte, non pertinentes, incomplet, pas conforme à ce règlement ou la loi sur la protection des données on peut présenter à 24ID Check une demande de modification ou de suppression.

 
La Procédure

Après la numérisation des cartes d'identité une authentification est réalisée. Le nombre NSS est contrôlé et isolé, pas enregistré. Les données obtenues peuvent être vérifiées et enrichies avec des bases données externes. Le traffic des données au moyen des services Web par une connexion VPN sécurisée. Toutes les images et données sont cryptées et stockées séparés. Stockage des données au moyen de la sécurité de l'information certifiée ISO 27001. Information limité de compte général visible dans les transactions.

 
Consultation

24ID Check donne seulement accès à un dossier complet en cas de:

  • Défaut de paiement
  • Dommage
  • Fraude
  • Vol
  • Détournement
  • Entrée illégale 
  • Vol d'identité
  • Usurpation d'identité
  • Demande des autorités d'enquête et de la compagnie d'assurance

 
Lois de confidentialité applicables

Les lois de confidentialité applicables, la Directive Européenne 95/46/CE du 24 octobre 1995, concernant la protection des personnes à l'égard du traitement des données personnelles et la circulation libre de ces données (''la Directive'') et la Loi sur la protection des données de 6 juilliet 2000, concernant les règles pour la protection des données personnelles ("Loi informatique et liberté").

 
Traitement des données

Chacque action ou l'ensemble des actions liés aux données personnelles sont comme écrit dans la Loi informatique et liberté.

 
Responsabilité

24ID Check traite les données personnelles afin des sociétés ou entreprises, conformément à ses instructions et sous sa responsabilité. 24ID Check doit controler et enrégistrer les dossiers avec les données personnelles à digérer conformément aux lignes directrices applicables 24ID Check n'use pas les dossiers àux fins commerciales. 24ID Check n'a pas d'authorité sur le but et les moyens du traitement des données personnelles. L'entreprise responsable ou société est responsable de l'utilisation des données, mettre à disposition aux tiers et la durée du stockage des données. 24ID Check peut promulguer les données personnelles qui doit etre annoncées en raison d'un obligation légale ou sur les ordres d'un juge ou un authorité administrative, pourvu que 24ID Check informe pas écrit l'organisation responsable immédiatement sur:

(a) l'existence de cette obligation
(b) de toutes les procédures qui sont initiées ou sont initiéés eventuellement et qui peut conduire à une autant instruction
(c) de la réception d'une autant instruction, mais en tout cas avant le renseingement effectif en vertu d'une autant instruction ou obligation légale, pour permettre l'organisation responsable de prendre toutes les mesures nécessaires pour empêcher our limiter en vertu d'une autant instruction ou obligation légale.

 


Les mesures de sécurité concernant l'appication

24ID Check a pris les mesures techniques suivantes pour assurer la sécurité et la confidentialité des données qui se trouve dans l'application de 24ID Check.


Connexions SSL sécuritées

Tout le trafic de données entre 24ID Check terminal/espace de travail et l'application de 24IDcheck sera cryptées au moyen de SSL, donc en cas de trafic de données à l écoute clandestine pas d'information sensible peut être révélé.

 
Authentification / Connexion

Les utilisateurs s'authentifient eux-mêmes par leur adresse de courriel et un mot de passe auto-sélectionnés.
L'utilisateur doit s'authentifier en tous les cas avant les données sont procurées.
Les mots de passe des utilisateurs de 24ID Check sont stockés cryptés au moyen d'un hachage de 1 voie en combinaison avec des SALTS (Script Application Language for Telix ), donc les données de connexion peut être verifiées uniquement et ramènent jamais à leur valeur d'origine.

Autorisation

Accès aux données dans le back-end de 24ID Check seulement par des interfaces web.
Seuls les utilisateurs qui ont suffisamment de droits sur la base de leur rôle donné, auront accès aux données demandées.

Stockage d'informations de vie privée sensibles

Les informations de vie privée sensibles, comme les numéros NSS, sont masquées avant le stockage.
Images de cartes d'indentification sont équipées avec un filigrane de 24ID Check.
Le module qui contient les images de cartes d'identification est uniquement visible pour les utilisateurs qui sont autorisés d'accéder les données demandées sur la base de leur rôle donnée Tous les accès et les actions concernant les comptes de 24ID Check sont stocké dans un journal de vérification.

Sécurité de l'application web 

L'application est protégée dans les zones des vulnérabilités cross-site comme XSS et CSRF.
Toutes les entrées des utilisateurs sont filtrée explicitement comme protection contre les vulnérabilités comme SQL injection.
Les cookies de session sont cryptées et marquées pour protéger contre détournement de session.

Sécurité de client terminal

Toutes les données du document rassemblées par le logiciel de 24ID Check sur le terminal/lieu de travail sont supprimées après la transmission au back-end de 24ID Check.
Toutes les communications avec le back-end de 24ID Check coulent seulement par un VPN connexion développé spécialement pour le logiciel de 24IDCheck.


Mesures de sécurité concernant l'infrastructure et hosting

24ID Check a pris  les mesures techniques et organisationnelles suivantes afin d'assurer la sécurité et la confidentialité des données qui se trouve dans l'application de 24ID Check.

Organisationnel

Seulement les employés du client et 24ID Check ont accès aux données registrées sur les systèmes de 24ID Check. Au moyen d'une système d'utilisateurs et droits (sous la forme d'un employé désigné et compétent), le client peut prier, lancer des droits d'accès et les retirer aux zones spécifiques.
Employés de 24ID Check n'ont pas d'accès aux données du client, sauf s'ils ont besoin de ses données sur la base de leur fonction, pour répondre aux questions du client ou pour gérer les systèmes concernants.

Technique

Accès au système est uniquement possible avec une combinaison de nom d'utilisateur et mot de passe.
Seulement trois personnes peut obtenir les droits de gérance complet.
Accès aux données n'est pas possible sans login, ainsi que l'inspection des données qui n'appartient pas aux comptes du client.
Les serveurs de 24ID Check sont subsumés dans des centres de données qui ont introduit un contrôle d'accès extensif, dont seulement les personnes autorisées ont accès physique aux zones des serveurs.
Ces serveur-espaces sont gardées 24 x 7 et seulement des personnes autorisées ont (après identification par empreintes digitales) accès à ces espaces.
Dans les espaces des serveurs les serveurs de 24ID Check sont subsumées dans racks de 19 pouces fermés.
Dans ces racks seulement l'équipement de 24ID Check est positionné.
Aucun activitées d'autre sites ont fait qui ont besoin d'accès aux racks par autre personnes.
Un nombre d'employés limité de 24ID Check a accès aux racks de serveurs, quand ils ont besoin d'accès physique aux systèmes sur la base de leur fonction.
Le conseil exécutif de 24ID Check peut à tout moment décider de refuser l'accès a quelqu'un directement et de confirmer cela par une action simple.
Tous les mots de passe du système sont stockées cryptés au moyen de cryptage de 128-bit AES (Rijndael). Employés n'ont pas d'accès à cette clé.
Le système de gestion de mot de passe a une liste de contrôle d'accès étendu. Seulement les employés qui, par leur fonction, ont besoin d'accés administratif à l'equipments réseau et serveurs physiques peuvent voir les mots de passe.
Tous les mots de passe des comptes de gestion des systèmes sont au moins 20 caractères aléatoires et sont stockés cryptés.
L'accès a accouplé à un kerberos authentification et la liste de contrôle d'accès discutée précédemment.
L'accès est seulement possible dans le bureau (employés du bureau) ou par le VPN (employés sur le terrain).
L'accès est limité  autant que possible dans les heures de bureau, si possible.
Tous les systèmes sont séparés de l'Internet au moyen d'un firewall matériel.
La gestion du firewall est limitée aux cadres supérieurs.
Copies de sauvegarde sont stockées sur serveurs de sauvegarde qui ne sont pas liées directement à l'internet.
Tous copies de sauvegarde ont dissipé geographique à travers plusieurs centres de données par une connexion cryptée dispersés .
Le cryptage se reproduit avec le cryptage AES-128 bit (Rijndael).