Politiques

Les politiques et conditions d'utilisation suivantes sont adoptées par Premier Continuum

  1. Chef Responsable de la protection de la vie privée
  2. Politique de sécurité des technologies de l'information
  3. ‍Politique de confidentialité
  4. Conditions d'utilisation de ParaSolution
  5. Stratégie environnementale

Premier Continuum se réserve le droit de les modifier de temps en temps afin de respecter toute nouvelle réglementation ou tout changement aux pratiques d'affaires.

Responsable de la protection de la vie privée

En vertu de la Loi 25, qui vise à protéger les données personnelles dans le secteur privé au Québec, la personne désignée responsable de la protection des renseignements personnels est Philippe Tassé-Gagné, M.Env, MBCI, CBCP, vice-président des services-conseils et du développement des talents chez Premier Continuum.

Contact :
info@premiercontinuum.com

Politique de sécurité des technologies de l'information

Préambule

Introduction

Premier Continuum reconnaît que l’information constitue un actif essentiel qui doit être protégé contre toute modification, destruction ou divulgation non autorisée, qu’elle soit accidentelle ou volontaire. La politique a pour objectif de réduire autant que possible les risques auxquels cet actif est exposé. Dans les faits, elle assurera la protection de Premier Continuum et de ses employés.

Direction de Premier Continuum : Il incombe à la direction de garantir que les politiques relatives aux TI sont pertinentes à la mission et à l’évolution de Premier Continuum et qu’elles s’y conforment. Elle est responsable de l’implantation et l’amélioration du SGSI. Il lui incombe de sensibiliser tous les utilisateurs et de les tenir informés sur tous les aspects liés à la sécurité des TI. La direction doit s’assurer que l’on se conforme aux dispositions de la politique en matière de sécurité des TI et qu’elles sont appliquées uniformément à l’échelle de l’entreprise. La politique et le SGSI sont en liens avec les clauses des contrats avec les clients de Premier Continuum Inc.

Champ d'application et principe général

La présente politique a pour portée et principe général d’offrir un aperçu exhaustif de la sécurité des technologies de l’information («TI») pour ce qui est de Premier Continuum. Les politiques, les directives, les procédures et les instructions indiqués dans les présentes ont été créés en se basant sur la norme ISO 27001. La politique porte non seulement sur le type particulier de procédures qui doivent être élaborées en matière de propriété et de protection de l’information, de sécurité matérielle, de sécurité des TI et de récupération des données, mais également sur les obligations de la direction et des employés de Premier Continuum lorsqu’ils mettent en oeuvre les procédures en question. La politique en matière de sécurité des TI entend offrir un ensemble évolué de lignes directrices en fonction desquelles on doit rédiger, conserver et mettre en oeuvre des directives précises régissant l’utilisation et la protection de l’information et de la technologie associée. L’objectif de ces politiques est d’établir la structure de base au sein de laquelle des directives, des procédures et des instructions plus spécifiques seront établies et interagiront.

Le système de gestion de la sécurité de l'information (SGSI) fonctionne selon un modèle cyclique en quatre étapes appelé « PDCA » , c'est-à-dire Plan, Do, Check, Act, également connu sous le nom de Roue de Deming.

  1. Plan de phase : il s'agit de planifier les actions que l'entreprise va entreprendre en matière de sécurité.
  2. Phase Do : L'entreprise réalise ce qu'elle a prévu dans ce domaine.
  3. Vérification de la phase : L'entreprise vérifie qu'il n'y a pas de divergence entre ce qu'elle a dit et ce qu'elle a fait.
  4. Phase Act : consiste à prendre des mesures correctives pour les anomalies qui ont été identifiées précédemment.

Afin de s’assurer de l’implantation et de l’amélioration continue du SGSI un registre des activités est maintenu à jour.

Premier Continuum s'assure de respecter toutes les lois et règlements en matière de sécurité de l'information ainsi que toutes les clauses contractuelles avec ses clients. De plus, par l'entremise de divers groupes et fournisseurs d'hébergement (Iweb, Cirrus Tech, Hostwinds, OVH, LeBleu, Tenable, Indusface, Synox, Webflow/AWS, etc.), Premier Continuum se tient informé de tout changement ou menace nécessitant l'ajustement ou l'ajout de contrôles. Des mécanismes avec les fournisseurs sont également en place pour informer rapidement les autorités compétentes de tout événement nécessitant leur intervention.

La présente politique s’applique à tous les dirigeants, administrateurs et employés de Premier Continuum et à toutes les ressources contractuelles.

Bien que Premier Continuum applique le Système de Gestion de la Sécurité de l’Information (SGSI) dans le cadre de toutes ses activités d’affaires, la portée de la certification ISO 27001 émise depuis 2013 par le registraire Perry Johnson Inc. et recertifiée en 2017 par PECB Inc. couvre l’environnement de développement, de production et de soutien de ParaSolution.

Règles et avertissements

Premier Continuum se réserve le droit de modifier au besoin ses politiques, directives, procédures ou instructions, que ce soit de façon temporaire, en raison d’un imprévu, ou de façon permanente, à la suite d’une évolution des conditions commerciales conjoncturelles. Premier Continuum s’assure de respecter les lois et règlements.

Toute dérogation, renonciation ou exception aux politiques approuvées ou aux documents apparentés doit être autorisée par le Comité de sécurité des TI de Premier Continuum.

Veuillez diriger vos questions ou demandes de précision au Comité de sécurité des TI de Premier Continuum.

Rôles et responsabilités

Employés, consultants et fournisseurs de Premier Continuum : Les employés, consultants et fournisseurs de Premier Continuum doivent se conformer aux dispositions de la politique de sécurité informatique de Premier Continuum. Ils doivent également signaler à leur superviseur ou au comité de sécurité informatique toute violation de la politique commise par toute personne, que ce soit accidentellement ou volontairement. Ils participent activement aux activités liées au SGSI.

La direction de Premier Continuum est chargée de veiller à ce que les politiques informatiques soient pertinentes et cohérentes avec la mission et l'évolution de Premier Continuum. Elle est responsable de la mise en œuvre et de l'amélioration du SGSI. Elle a la responsabilité d'éduquer tous les utilisateurs et de les tenir informés de tous les aspects de la sécurité informatique. La direction doit s'assurer que les dispositions de la politique de sécurité informatique sont appliquées de manière cohérente dans toute l'entreprise. La politique et le SGSI sont liés aux conditions des contrats avec les clients de Premier Continuum Inc.

Liens avec d'autres politiques de l'entreprise

La politique de Premier Continuum en matière de sécurité des TI est harmonisée avec les autres politiques de la société, notamment la politique de Premier Continuum relative à la conservation des documents. Les autres politiques de la société, lorsqu’elles sont pertinentes à la matière traitée, sont mentionnées par renvois.

Politique

1. Vue d'ensemble

1.1 L 'information : un atout important. L'information est un bien extrêmement important. Des informations exactes, opportunes, pertinentes et bien protégées restent absolument indispensables à la société. Afin d'assurer la bonne gestion de l'information, l'accès à celle-ci, son utilisation et son traitement doivent être conformes à ses politiques et normes en matière d'infrastructure et de systèmes informatiques.

1.2 Participation du Comité de sécurité des TI. Le Comité de sécurité des TI doit prendre part à l’examen périodique des éléments suivants : i) l’état actuel des activités de sécurité et de gestion de l’information, ii) les incidents en matière de sécurité au sein de la société ainsi qu’en rapport avec les projets liés à la sécurité de l’information et iii) l’approbation des nouvelles politiques en matière de sécurité de l’information et de leurs modifications éventuelles.

1.3 Personnes devant se conformer aux politiques de sécurité de l'information. Les employés de la société ainsi que les experts-conseils, les fournisseurs ou les représentants de ces derniers (qu’ils soient employés à temps plein, à temps partiel ou à durée déterminée) doivent respecter les exigences relatives à la sécurité de l’information et doivent avoir la responsabilité en la matière.

1.4 Logiciels et applications essentiels. Premier Continuum doit tenir à jour une liste des logiciels et des applications essentiels procurant à la société un avantage en matière de concurrence ou de productivité.

1.5 Poste de travail de bureau. Premier Continuum doit fournir des ordinateurs où l'anti-virus et un pare-feu restent actifs et à jour. Les employés doivent s'assurer qu'ils verrouillent toujours leur poste lorsqu'ils le quittent.

1.6 Télétravail et utilisation des appareils mobiles. Premier Continuum permet à ses employés, lorsqu'ils y sont autorisés, de travailler à distance. Tout employé qui se connecte doit avoir un pare-feu et un antivirus actifs en tout temps. Tous les accès entre les serveurs distants (entre eux) et le bureau (dans le cas du télétravail ou du vpN mobile) sont également cryptés pour protéger les applications ou autres données lors du transfert vers des serveurs sécurisés. (ex : VPN si externe, tunnels SSH vers le serveur puis enfin un RDP ou VNC sur ce tunnel). Les règles du pare-feu sont conçues pour ne pas exposer les ports RDP ou VNC, mais uniquement le port SSH.

1.7 Entente de confidentialité obligatoire. Tous les employés, les experts-conseils, les fournisseurs ou les représentants de ces derniers (qu’ils soient employés à temps plein, à temps partiel ou à durée déterminée) doivent signer une entente de confidentialité lorsqu’ils se joignent à la société (ceci est mis en application par la confirmation de la compréhension du manuel des employés).

1.8 Classification des données. Toute l’information de l’entreprise est confidentielle et destinée à un usage interne seulement, à moins d’une permission accordée pour les communications externes. L’information papier ou sur médium seront sécurisés dans les bureaux ou cabinets à cet effet. Les données clients de ParaSolution doivent demeurer en tout temps et exclusivement sur les serveurs de production.

1.9 Entente de confidentialité et divulgations d'informations de nature sensible. Toutes les divulgations à des tiers de renseignements de nature sensible doivent être visées par une entente de confidentialité dûment signée prévoyant des restrictions relatives à la distribution et à l’utilisation ultérieures de l’information.

Responsabilité de l'information

2.1 Obligation de désigner un responsable de l'information. Le comité de direction de Premier Continuum doit préciser par écrit qui sont les membres du comité de sécurité des TI, les responsables des bases de données, des fichiers principaux et des autres sources partagées d’information.

Comité de sécurité informatique :

-Président et directeur des systèmes d'information

-Agent de sécurité

-Responsable de la sécurité

-Développeur

-Auditeur interne

-Conformité aux normes ISO 27000

-Coordinateur des opérations informatiques

-Les bases de données et le propriétaire de Paradocs

-Responsable de l'application Parasolution

-Utilisateurs : Tous les employés de Premier Continuum (accès aux données en fonction de leur rôle dans l'organisation - politique d'accès uniquement aux répertoires requis)

2.2 Responsables de l’information de chaque type principal. Le responsable de l’information relative à l’environnement de production qu’utilise une unité commerciale particulière doit définir les classifications et les contrôles d’accès pertinents. Il doit également adopter les mesures adéquates pour garantir que l’on utilise les contrôles pertinents au stockage, à la manipulation, à la distribution et à l’utilisation de l’information.

Niveau 1 : Administrateur de compte

Niveau 2 : Compte d'utilisateur avec un accès limité pour effectuer des requêtes, des recherches et des changements mineurs demandés par le client.

2.3 Administrateur de sécurité désigné pour tous les systèmes multi-utilisateurs. Pour chaque système multi-utilisateurs, on doit désigner un administrateur de la sécurité chargé de définir les privilèges des utilisateurs, contrôler le journal des accès et effectuer toute activité comparable tout en comblant les requis du responsable. Le comité de sécurité des TI est chargé de cette fonction. Il peut toutefois la confier à un représentant. Aux fins de la présente politique, les serveurs de réseau local et le système téléphonique sont réputés être des systèmes multi-utilisateurs.

2.4 Le département des Technologies de l'information ne peut être un responsable de l'information. Le département des Technologies de l’Information ne peut être le responsable d’une quelconque information, exception faite des données de gestion et de contrôle des systèmes informatiques et des réseaux opérationnels.

2.5 Obligation de désigner un gardien pour tous les types principaux d'information. Un gardien est assigné pour chaque type principal d’information. Chaque gardien doit assurer la protection pertinente de l’information en respectant les exigences de base de Premier Continuum et les directives du responsable désigné.

2.6 Responsabilités des gardiens de sécurité. Les gardiens sont chargés de la définition des mécanismes particuliers de contrôle, de l’administration des contrôles d’accès à l’information, de la mise en œuvre et du maintien de mesures rentables de contrôle de ces éléments ainsi que de la prestation des services de reprise après sinistre et de sauvegarde qui soient conformes aux exigences de base de Premier Continuum et aux directives des responsables de l’information.

2.7 Responsabilités des utilisateurs de l’information en matière de sécurité. Les utilisateurs de l’information doivent traiter cette dernière comme s’il s’agissait de biens matériels appartenant à l’entreprise. Ils doivent en prendre grand soin. Ils participent aussi de façon active au SGSI. Il incombe à chacun de protéger son compte d’utilisateur et son mot de passe afin d’éviter tout abus ou activité non autorisée. Les utilisateurs de l’information peuvent être des employés, des experts-conseils, des fournisseurs ou des représentants de ces derniers (qu’ils soient employés à temps plein, à temps partiel ou à durée déterminée), voire des tiers visés par des dispositions particulières. Toute personne qui a été autorisée à accéder à l’information ou à des systèmes informatiques est réputée être un utilisateur d’information.

Gestion de la sécurité de l'information

3.1 Analyse périodique des manquements de sécurité de l'information et des problèmes en la matière. Une analyse périodique des manquements à la sécurité de l’information et des problèmes en la matière doit être rédigée.

3.2 Mécanisme de signalement et de gestion des problèmes en matière de sécurité de l’information. Le Comité de sécurité des TI doit être tenu au courant de façon périodique et en cas de situation de crise de l’impact des intrusions, des attaques entraînant un déni de service, des attaques par virus et de tout autre incident portant atteinte à la sécurité informatique. Il convient de mettre en œuvre un mécanisme formel de gestion des problèmes en vue de consigner ces derniers, de réduire leurs effets et d’éviter leur répétition.

3.3 Évaluation obligatoire des risques des infrastructures et systèmes informatiques de production. Le comité de sécurité informatique doit évaluer périodiquement toutes les infrastructures et tous les systèmes informatiques de production afin d'établir un ensemble minimal de contrôles permettant de réduire les risques à un niveau acceptable. L'acceptabilité du risque est basée sur le risque résiduel et les contrôles mis en place pour traiter les risques.

3.4 Ententes avec des tiers traitant de l’information. Toutes les ententes portant sur le traitement par des tiers de l’information doivent prévoir une clause particulière. Cette clause doit permettre à l’organisation de vérifier les contrôles visant les activités de traitement de l’information et de préciser leurs modalités de protection de cette dernière. Tout le développement applicatif ne doit toutefois pas être sous-traité à des tiers.

3.5. Accords sur les données échangées entre les clients et les employés de Premier Continuum. Afin d'assurer la protection des données des clients, tout échange de données s'effectue par des tunnels SSH ou par un téléchargement direct sur l'application en production. Se référer à la procédure établie.

3.6 Mesures disciplinaires en cas de manquement aux mesures de sécurité relatives à l’information. Un manquement des politiques, directives, procédures ou instructions relatives à la sécurité de l’information entraînera l’adoption de mesures disciplinaires pouvant aller jusqu’à la cessation d’emploi et à des recours en justice. La direction doit faire comprendre à chacun que la sécurité de l’information demeure une question primordiale qui mérite une attention en tout temps.

3.7 Complexité minimale des mots de passe.Il faut toujours vérifier de façon automatique la longueur, la durée de validité et la complexité des mots de passe lorsque les utilisateurs les créent ou lorsqu’ils accèdent aux systèmes informatiques.

3.8 Interdiction d'effectuer une rotation des mots de passe. Les utilisateurs ne doivent pas créer un mot de passe qui serait basé sur une suite élémentaire de caractères, puis modifié de façon partielle en fonction de la date ou de tout autre facteur prévisible.

3.9 Attribution des mots de passe initiaux. Le mot de passe initial émis par un administrateur de la sécurité ne doit être valide que pour la première ouverture de session de l’utilisateur. Après la première ouverture de session, l’utilisateur doit choisir un nouveau mot de passe.

3.10 Limitation du nombre d’essais consécutifs pour entrer un mot de passe erroné. Pour éviter que des personnes attaquent les systèmes en essayant de deviner les mots de passe, le nombre d’essais doit être strictement limité.

3.11 Interdiction de partager un mot de passe. Un mot de passe ne doit jamais être partagé ou divulgué à quiconque n’est pas l’utilisateur autorisé. Un utilisateur autorisé qui contreviendrait à cette directive pourrait être tenu responsable des actions qu’autrui pourrait commettre grâce à la divulgation de son mot de passe. Si les utilisateurs doivent partager des données résidentes d’un ordinateur, ils doivent recourir au courrier électronique, aux répertoires publics des serveurs du réseau local ainsi qu’à d’autres moyens d’échange de fichiers. Lorsque l’on a des raisons de croire que des mots de passe ont été divulgués, il faut les modifier. La réattribution d’un compte à une autre personne en raison de l’absence de son titulaire pour maladie ou pour congé n’est pas considérée comme constituant le partage d’un mot de passe. L‘instruction relative à la réattribution d’un compte traite de ces cas particuliers et prévoit des modalités permettant d’éviter que plusieurs personnes accèdent au même compte à l’aide du même mot de passe.

3.12 Nom d'utilisateur et mot de passe requis pour accéder à un réseau informatique. Avant que les utilisateurs ne soient autorisés à utiliser les ordinateurs connectés à un réseau, leur identité doit être vérifiée par un nom d'utilisateur et un mot de passe secret, ou même par tout autre moyen offrant un degré de sécurité équivalent ou supérieur.

3.13 Code d'utilisateur et mot de passe uniques obligatoires. Pour pouvoir accéder à un ordinateur multi utilisateurs, à des systèmes téléphoniques ou à un réseau informatique sous contrôle, tous les utilisateurs doivent disposer d’un code d’utilisateur et d’un mot de passe personnel secret.

3.14 Cryptage des mots de passe. Les mots de passe doivent être cryptés en tout point du réseau. Cette mesure concerne également les fichiers permanents contenant des mots de passe, les emplacements de stockage temporaire de données (par exemple, la mémoire du disque) et les lignes et dispositifs de télécommunication du réseau. Les mots de passe doivent également être cryptés lorsqu'ils passent par des canaux de télécommunication externes (par exemple, Internet, dispositifs sans fil).

3.15 Classification, sauvegarde et destruction des données. Les données sont classées dans les 5 catégories suivantes :

  • Niveau 1 : Données du client (serveur primaire)
  • Niveau 2 : Données clients (serveur secondaire)
  • Niveau 3 : Données commerciales échangées avec le client
  • Niveau 4 : Données de développement et code source
  • Niveau 5 : Autres données

Les données des clients sont détruites selon les normes définies dans le contrat ou 7 ans après leur modification pour les niveaux 1 et 2. Les données propres à Premier Continuum (3,4,5) peuvent être détruites 7 ans après leur modification.

Seuls les actifs critiques de l’entreprise sont transférés vers un serveur sécurisé externe, autrement pour ce qui est de l’information des clients, celles-ci sont préprogrammées selon l’entente contractuelle individuelle. Dans tous les cas, ces transferts sont chiffrés et l’accès est limité aux administrateurs des systèmes respectifs.

3.16 Registre. Un registre de toutes les activités reliées au SGSI est conservé et maintenu à jour et vérifier par la vérification interne.

3.17 Conformité. Un audit interne des contrôles énumérés dans la norme ISO 27000 doit être réalisé chaque année. Des tests de pénétration et de vulnérabilité sont réalisés sur tous les systèmes de production. Voir le document d'analyse et de traitement des risques pour plus de détails sur les contrôles mis en place. De plus, Premier Continuum s'assure que toutes les réglementations en matière de sécurité de l'information sont respectées et qu'elle protège adéquatement les renseignements personnels de ses employés.

3.18 Distribution et gestion des droits d'accès des utilisateurs. L'attribution des droits d'accès doit être conforme aux fonctions et au rôle de l'employé, de sorte que seul l'accès nécessaire au travail associé au poste occupé soit accordé. En cas de besoin, un employé peut demander un accès supplémentaire temporaire à l'équipe de sécurité qui examinera la demande. Si un besoin mal identifié est porté à l'attention de l'équipe, il sera procédé soit à l'accès à un outil approprié, soit à une révision des droits d'accès.

3.19 Gestion des clés. Toutes les clés de signature utilisées dans l'entreprise doivent être le résultat d'un accord avec un fournisseur tiers de confiance dans le domaine. Si ce dernier ne le force pas, les clés seront renouvelées annuellement ou lorsqu'une clé de chiffrement ou un chiffre de force supérieure sera disponible. (DigiCert est le fournisseur sélectionné pour le moment) Toutes les clés de signature utilisées dans l'entreprise doivent être le résultat d'un accord avec un fournisseur tiers de confiance dans le domaine. Si ce dernier ne le force pas, les clés seront renouvelées annuellement.

Planification de la continuité des activités

4.1 Respect obligatoire des normes en matière de soutien en cas d’urgence ou de sinistre. Toutes les unités organisationnelles doivent planifier et communiquer par écrit leurs besoins en matière de matériel informatique, de logiciels, de politiques et de mécanismes, en conformité avec le plan de continuité des affaires de Premier Continuum.

4.2 Méthodologie pour établir les activités prioritaires de reprise après sinistre. Une reprise efficace des activités après un sinistre repose sur des priorités établies. Pour permettre une reprise appropriée, tous les services doivent utiliser la même méthodologie lorsqu’ils rédigent leurs plans de continuité visant les systèmes informatiques.

4.3 Évaluation annuelle de la criticité des applications multi-utilisateurs. En collaboration avec les responsables pertinents de l’information, le comité de direction doit rédiger ou revoir de façon périodique avec le service des TI l’évaluation du degré de criticité de toutes les applications multi-utilisateurs liées à la production. Les plans de reprise après sinistre appropriés devront donc être réalisés.

4.4 Rédaction et mise à jour d'un plan de reprise après sinistre propres aux systèmes informatiques. L’équipe de Premier Continuum chargée de la continuité des affaires doit maintenir à jour et exercer de façon régulière un plan de reprise après sinistre qui permettra à tous les systèmes informatiques essentiels ainsi qu’aux infrastructures et systèmes associés d’être accessibles, conformément aux priorités en matière de reprise, advenant une panne ou une perte matérielle importante (par exemple, inondation, tremblement de terre). Les objectifs en matière de continuité des affaires devraient inclure les fonctions de base des TI ainsi que le soutien élémentaire pertinent.

4.5 Rédaction et mise à jour d'un plan de continuité des affaires. L’équipe de Premier Continuum chargée de la continuité des affaires doit maintenir à jour et exercer de façon régulière un plan de continuité des affaires. Ce plan doit préciser ce qui est prévu au chapitre des installations de rechange (espaces de travail, mobilier, téléphones et photocopieurs) afin que les employés puissent continuer de travailler en cas d’urgence ou de sinistre.

Politique relative au contrôle des modifications

5.1 Séparation des environnements propres à la production, à l’assurance qualité et au développement Les nouveaux logiciels d’applications d’affaires destinés au développement, à l’assurance qualité et à la production doivent être distincts. Si l’on dispose des locaux adéquats, cette séparation doit se traduire par une installation des logiciels sur des systèmes informatiques séparés. Lorsque la nature même des locaux empêche une telle installation, il faut recourir à des répertoires et à des bibliothèques distinctes protégées par mot de passe. Le transfert des informations entre les différents environnements est contrôlé (authentification requise).

Tous les accès entre les serveurs distants (entre-eux) et le poste de travail (dans le cas du télétravail ou mobile par VPN) sont également encryptés afin de protégé les applicatifs ou autres données lors de leur transfert vers les serveurs sécurisés. (e.g. VPN si à l’externe, Tunnels SSH puis finalement un RDP ou VNC sur le serveur). Les règles de pare-feu sont conçues à ne pas exposer les ports RDP ou VNC, mais uniquement le port SSH.

Dans le cas de dossiers Webs, ces derniers sont également encryptés au transfert pour protéger l’information si accessible par le port 443 (WebDAV, WebFolder), autrement un tunnel doit y donner accès comme pour les accès directs (FTP).

5.2 Séparation des tâches de production, d’assurance qualité et de développement. Les tâches sont assignées par la vice-présidente des risques et opérations et, lorsque possible, celles-ci sont divisées. Les tâches sont consignées dans un système de gestion de projet. Le personnel informatique doit s’authentifier sur chacune des plateformes. La séparation des tâches et des accès aux actifs corporatifs est limitée par groupes ou fonctions au sein de l’entreprise, comme les actifs sont principalement des actifs digitaux, ce sont les droits d’accès et la politique y faisant référence qui tient cette division.

5.3 Examen obligatoire avant le passage des modules dans l’environnement de production On ne doit jamais transférer directement les modules exécutables des bibliothèques d’essai vers les bibliothèques de production. Il convient d’examiner les modules entièrement éprouvés avant de les transférer vers des bibliothèques de production.

5.4 Mécanisme formel de contrôle des modifications obligatoire pour les applications d’affaires. Il faut recourir à un mécanisme formel de contrôle des modifications pour s’assurer que tous les logiciels d’applications d’affaires en cours de développement ou à l’étape de l’assurance qualité ne passent en production qu’après avoir été dûment autorisés par la direction des TI et par l’organisation utilisatrice.

Politique relative aux informations et aux systèmes développés par l'utilisateur final

6.1 Vérification du développement des systèmes de production conçus par les utilisateurs. Avant qu’ils ne puissent être utilisés aux fins de production, tous les logiciels qui traitent de l’information de nature sensible ou essentielle et qui ont été développés par des utilisateurs finaux doivent être assortis de contrôles et d’une documentation vérifiés par le service de sécurité TI.

6.2 Vérification de l’information de la compagnie rendue disponible sur Internet ou à l’extérieur de Premier Continuum. Les demandes pour déposer de l’information appartenant à l’entreprise dans un domaine public comme Internet ou des infrastructures des tiers d’informations doivent être approuvées par le comité de direction de Premier Continuum. Les infrastructures de tiers font l’objet d’une analyse de sécurité.

6.3 Copies autorisées de logiciels. Il est interdit de copier les logiciels de tiers en possession de l’entreprise. À moins que la copie ne respecte les dispositions des conventions de licence pertinentes, elle doit être approuvée par la direction et ne répondre qu’à des impératifs de continuité des affaires.

6.4 Utilisation interdite des logiciels personnels, des logiciels libres, des gratuiciels et des jeux ne sont pas permis sur les ordinateurs de Premier Continuum. Les jeux et logiciels gratuits NE DOIVENT PAS être stockés ou utilisés sur les systèmes informatiques de Premier Continuum sans l'autorisation formelle du Comité de sécurité informatique.

6.5 Copies initiales de sauvegarde des logiciels de micro-informatique. Tous les logiciels doivent être copiés ou clonés avant la première utilisation. Les copies doivent être entreposées en lieu sûr. Ces copies maîtresses ne peuvent servir aux activités commerciales habituelles. Elles sont strictement réservées aux activités de reprise après une infection virale, une panne de disque dur et d’autres problèmes informatiques.

6.6 Examen périodique de conventions de licence de logiciels. Il convient de confirmer régulièrement la conformité aux conventions relatives à tous les programmes informatiques octroyés sous licence par des tiers.

6.7 Renseignements de nature sensible sur les dispositifs TI. Il faut protéger par un dispositif tangible de verrouillage ou par un système de chiffrement, ou par les deux, l’information de nature sensible entreposée sur le disque dur, sur les clés USB, ou dans d’autres composants internes d’un ordinateur personnel. Ces composants, lorsqu’ils ne sont pas utilisés, doivent être manipulés et entreposés en fonction du degré le plus élevé de classification de sécurité qui leur est pertinent.

Validation

7.1 Vérification des contrôles du système informatique. Une tierce partie doit régulièrement analyser la pertinence des contrôles effectués sur les systèmes informatiques et s’assurer que ces derniers restent conformes.

Sécurité matérielle

8.1 Mesures de sécurité matérielle visant pour les ordinateurs et les systèmes de communication. Les édifices qui abritent des ordinateurs ou des systèmes de communication doivent être protégés par des mesures de sécurité matérielle empêchant l’accès à toute personne non autorisée.

8.2. Destruction du matériel hors-site. Un matériel, des informations ou des logiciels ne doivent pas être sortis des locaux sans autorisation préalable du comité de direction.

8.3. Destruction du matériel. Tout le matériel contenant des supports de stockage doit être vérifié pour s’assurer que toute donnée sensible a bien été supprimée et que tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, avant sa mise au rebut.

Politique de confidentialité

Chez Premier Continuum, la protection de la confidentialité et de la sécurité de vos informations est de la plus haute importance pour nous. C'est pourquoi nous nous engageons par écrit à ne jamais vendre, transférer, donner ou communiquer de toute autre manière vos informations confidentielles à quiconque.

Nous apprécions la confiance que vous accordez à Premier Continuum et appliquons des politiques de confidentialité strictes. Nous nous engageons à fournir à nos clients et utilisateurs un environnement sécurisé et des technologies de pointe pour protéger vos informations. Dans le cas où vous mettez fin à votre relation client avec nous, ou devenez un client inactif, Premier Continuum continuera à adhérer aux politiques et pratiques décrites dans cet avis.

Renseignements que nous recueillons sur vous

Lorsque vous vous inscrivez à nos produits et services ou que vous inscrivez sur notre site Web pour accéder à notre démonstration du produit ou pour accéder aux informations de votre compte, Premier Continuum recueillera les renseignements personnels qui nous permettront de vous identifier et de vous fournir un meilleur service. Ces informations sont appelées « Renseignements personnels » et sont utilisées pour associer des informations d'utilisation avec une personne ou une entité spécifique. Exemples d'informations personnelles : nom, adresse, numéro de téléphone, adresse courriel, numéro de compte du client, etc.Lorsque vous visitez notre site Web, nous recueillons, conservons et utilisons des informations non publiques personnelles sur nos clients potentiels, actuels et anciens. Nous sommes susceptibles d'enregistrer deux types d'informations : les informations non personnelles recueillies et regroupées pour des fins statistiques ainsi que les renseignements personnels que vous nous fournissez sciemment.

Informations statistiques non personnelles collectées dans leur ensemble. Il s'agit d'informations anonymes sur des sujets tels que le nombre de visiteurs qui se rendent sur notre site Web, la façon dont ils naviguent sur le site, les navigateurs qu'ils utilisent pour visiter le site, etc.

Les informations personnelles que vous nous fournissez sciemment

Lorsque vous vous inscrivez à nos produits et services ou que vous inscrivez sur notre site Web pour accéder à notre démonstration du produit ou pour accéder aux informations de votre compte, Premier Continuum recueillera les renseignements personnels qui nous permettront de vous identifier et de vous fournir un meilleur service. Ces informations sont appelées « Renseignements personnels » et sont utilisées pour associer des informations d'utilisation avec une personne ou une entité spécifique. Exemples d'informations personnelles : nom, adresse, numéro de téléphone, adresse courriel, numéro de compte du client, etc.

Nous ne vendons pas les informations personnelles des clients

Premier Continuum ne vendra, transfèrera, donnera ou ne communiquera pas de Renseignements personnels à des tiers. Nous divulguons des renseignements personnels à des responsables gouvernementaux uniquement lorsque requis par la loi (par exemple, en conformité avec une assignation ou une ordonnance du tribunal).

Nous protégeons vos renseignements

La protection de vos renseignements personnels est d'une importance capitale pour nous. Nous maintenons des pratiques et des procédures strictes pour protéger votre vie privée en conformité avec cette politique de confidentialité. Nous limitons l'accès des employés aux renseignements du Client aux seules personnes qui ont une raison d'affaires de connaître ces informations et nous nous assurons que nos employés connaissent l'importance de la confidentialité et de la vie privée des clients.

Comment vous pouvez accéder ou corriger vos renseignements

Vous pouvez mettre à jour vos informations personnelles identifiables en contactant info@premiercontinuum.com.

Sécurité

Il est possible que les Communications Électroniques puissent être consultées par des tiers non autorisés lors de leur transmission entre vous et Premier Continuum via Internet, d'autres installations de réseau de communication, par téléphone ou par tout autre moyen électronique. Tout transfert de renseignements personnels sur ParaSolution est garanti par les noms d'utilisateur et mots de passe cryptés et le protocole de cryptage sécurisé (SSL) selon la norme de l'industrie. SSL empêche d'autres utilisateurs Web d'accéder à vos renseignements personnels, et aide à protéger la perte, l'abus et l'altération de vos informations.

Conditions d'utilisation de ParaSolution

Premier Continuum Inc. dûment constituée en vertu des lois fédérales canadiennes (" Premier Continuum "), vous fournit ses services sous réserve des conditions d'utilisation (" CDU ") suivantes et de la politique de confidentialité de Premier Continuum pour ses services jointe aux présentes. De plus, lors de l'utilisation de services spécifiques de Premier Continuum, vous et Premier Continuum serez assujettis aux CDU ci-jointes applicables à ces services, que Premier Continuum peut vous communiquer par écrit tel que prévu dans le Contrat. À des fins de clarté, il est entendu que Premier Continuum peut fournir au Client certaines directives ou règles pour mieux servir l'utilisation du Système par le Client, ces documents sont considérés comme des directives pour le fonctionnement quotidien des Services et ne font pas partie du Contrat.

Description des services

Premier Continuum fournit à ses utilisateurs des applications et services qui constituent un outil pour développer, maintenir et communiquer les programmes de gestion de la continuité des affaires, sous la marque ParaSolution (collectivement, les « Services »). Sauf mention explicite contraire, toutes les nouvelles fonctionnalités qui étendent ou améliorent les services actuels, y compris les nouveaux services, seront soumises aux conditions d'utilisation.

Ce qu'il faut faire pour utiliser les Services

Afin d'utiliser les Services, vous devez obtenir l'accès au Web, soit directement soit à travers des dispositifs qui accèdent à des contenus Web et payer tous les frais associés à un tel accès. Premier Continuum n'est pas responsable de fournir tous les équipements nécessaires à la connexion au Web, tel qu’un ordinateur, un modem, un téléphone ou tout autre dispositif d'accès. Si vous utilisez l’option de visualiser ou modifier les formulaires en MS-Word, vous devez aussi posséder les versions MS-Word appropriées installées sur votre ordinateur et la possibilité d'enregistrer des fichiers dans un Système de classement tel que l'Explorateur Windows.

Si les services sont hébergés par votre organisation, tous les Systèmes requis sont sous la responsabilité et aux frais de votre organisation.

Vos informations d'inscription doivent être exactes, à jour et complètes.

En contrepartie de votre utilisation des Services, vous vous engagez à : (a) intégrer les données dans le Système et (b) entretenir et mettre à jour les informations pour les maintenir véridiques, précises, actualisées et complètes. Si vous fournissez des informations fausses, inexactes, périmées ou incomplètes, ou que Premier Continuum possède des motifs raisonnables de croire que ces informations sont fausses, inexactes, périmées ou incomplètes, toutes les notifications envoyées via les Services ne pourront pas atteindre le Contact visé.

Accès, mots de passe et sécurité

Vous désignez les utilisateurs autorisés et les informez de leur nom d'utilisateur et de la procédure pour obtenir un mot de passe. Vous serez responsable de la confidentialité et l'utilisation de votre nom d'utilisateur et mot de passe. Vous serez responsable de toutes les communications électroniques, y compris l'enregistrement de compte et autres informations concernant le titulaire du compte, le courrier électronique et les données financières et d'autres données (les « Communications électroniques ») saisis au moyen de votre nom d'utilisateur. Vous acceptez d'informer immédiatement Premier Continuum si vous avez connaissance de la perte ou le vol ou l'utilisation non autorisée de votre nom d'utilisateur.

Votre conduite lors de l'utilisation du Service de Premier Continuum

Vous reconnaissez et acceptez ce qui suit à l'égard de l'utilisation des Communications Électroniques au moyen des Services :

  • Vous n'utiliserez aucune Communication Électronique à une fin illégale, abusive, harcelante, diffamatoire, obscène ou menaçante ;
  • Vous ne pouvez pas sciemment restreindre ou empêcher tout autre utilisateur d'utiliser et de profiter du Service ;
  • Vous ne pouvez pas usurper l'identité d'une autre personne ou entité, ou dénaturer votre affiliation avec toute autre personne ou entité ;
  • Vous ne pouvez pas publier ou transmettre sciemment toute information ou tout logiciel contenant un virus, cheval de Troie, ver ou autre élément nuisible ;
  • Vous n'exprimerez ni ne laisserez entendre en aucune façon que les opinions contenues dans vos communications électroniques sont endossées par Premier Continuum, ou que l'exactitude des faits ou des circonstances décrits dans vos communications électroniques a été vérifiée par Premier Continuum, et vous autorisez Premier Continuum à joindre une légende à toute communication électronique envoyée par l'intermédiaire des Services à cet effet ;
  • Vous ne pouvez pas utiliser les Services en aucune façon pour envoyer du spam. Le spam est un courrier électronique non sollicité destiné à des personnes non connues personnellement par vous, y compris mais sans y limiter les courriers indésirables, les chaînes de lettres ou d'autres courriers électroniques de masse non sollicités, ou autre ou tout courrier électronique envoyé dont Premier Continuum croit raisonnablement constituer un Spam, basé sur les lois applicables et des usages propres au secteur.

Marques de commerce

ParaSolution est une marque de commerce de Premier Continuum Inc.

Stratégie environnementale

Consciente des enjeux écologiques et plus localement des impacts de nos activités sur l’environnement, la direction de Premier Continuum met en œuvre des dispositions afin de :

Prévenir ou minimiser les nuisances environnementales provoquées par des gestes quotidiens en :

  • Favorisant le transport actif, le transport en commun et les déplacements en voiture électrique pour aller au bureau ainsi que dans tous les déplacements
  • Favorisant les rencontres virtuelles plutôt que les rencontres nécessitant des déplacements importants
  • Favorisant l’achat local pour réduire les coûts en carburant

Améliorer en permanence les pratiques en maîtrisant les déchets générés et en évitant le gaspillage des ressources en :

  • Favorisant l’utilisation de bouteilles d’eau réutilisables
  • Recyclant le papier ainsi que les capsules de café
  • Contrant la pollution lumineuse en éteignant toutes les lumières du bureau le soir

Mettre les principes du développement durable au cœur des décisions d’affaires en

  • Prenant compte du cycle de vie des produits utilisés dans le cadre du travail afin qu’ils soient le plus durables possible
  • Achetant des matériaux provenant de sources renouvelables
  • Impliquant les employés dans l’amélioration continue des pratiques

Objectifs

  • 75 % des employés se déplacent vers le bureau en transport actif ou en transport en commun
  • Réduction de 25 % de l’utilisation de papier par les employés
  • 100 % de fermeture des écrans à la fin de la journée

Dernière mise à jour : 26 mai 2023‍