PRÉSENTATION

Tulip et le règlement général sur la protection des données

Le règlement général sur la protection des données (RGPD) de l’UE remplace la directive 95/46/CE sur la protection des données afin de protéger le droit fondamental des personnes de l’Union européenne à la confidentialité, et donc la protection des données privées. Le règlement a été conçu pour harmoniser les lois sur la confidentialité des données à travers l’Europe, protéger la vie privée de tous les citoyens de l’UE et transformer l’approche des organisations de la région en matière de confidentialité des données. Ce règlement impose des exigences strictes qui élèveront les normes de protection, de sécurité et de conformité des données. Date d’entrée en vigueur : le 25 mai 2018.

La protection des données des clients et des droits des individus au respect de la vie privée et à la sécurité est une priorité absolue pour Tulip, et nous nous engageons à nous associer aux retailers pour nous conformer au RGPD.

Ali Asaria, PDG, Tulip

Notre engagement

En tant que partenaire, Tulip veut vous aider à rendre votre processus de mise en conformité avec le RGPD aussi simple que possible et accélérer vos initiatives. Nous avons pris l’engagement de protéger les données des clients, c’est pourquoi nous nous devons de nous conformer à toutes les exigences du RGPD. Nous offrons aux entreprises qui font des affaires avec nous transparence et contrôle sur leurs données clients afin de simplifier la mise en conformité avec les cadres réglementaires tels que le RGPD.

Notre travail

Nous nous efforçons d’assurer la sécurité et la confidentialité des données que nous traitons et stockons. Les procédures que nous suivons sont décrites dans cette section. Elle fournit des renseignements sur les mesures que nous prenons pour sécuriser les données et assurer le respect des règlements en matière de sécurité et de protection de la vie privée.

Données à caractère personnel

En tant que processeur de données, Tulip assemble, conserve et traite les données client du retailer, ainsi que celles des employés de magasin. Nous utilisons les informations dont nous disposons pour assurer un accès sécurisé à nos services. Grâce à notre équipe dédiée d’ingénieurs, à nos technologies de pointe et à nos systèmes automatisés, nous assurons la protection complète de toutes les données que nous détenons. En tant que contrôleur, Tulip recueille, conserve et traite également les données de ses employés, employés potentiels et contractuels, ainsi que ses partenaires potentiels, prospects et clients.

Sécurité et conformité

Nos systèmes d’information et notre infrastructure sont hébergés dans des centres de données accrédités SOC 2. Tulip se conforme aux normes de sécurité de l’industrie des cartes de paiement (PCI DSS 3.2), et nous revalidons cette conformité chaque année. Nous travaillons avec un évaluateur de sécurité qualifié pour assurer notre conformité à la norme PCI DSS. En plus de cela, nous travaillons en vue d’obtenir la certification ISO 27001.

Politiques en matière de sécurité

Nos politiques de sécurité de l’information sont régulièrement mises à jour pour assurer la confidentialité de notre base de données d’utilisateurs. Le directeur de la technologie et les employés responsables des politiques de sécurité de l’information sont formés aux normes PCI et Secure Coding et à toute autre compétence qu’ils doivent maîtriser pour assurer la sécurité des données.

Personnel de sécurité dédié

Tulip dispose d’une équipe de sécurité qui se concentre spécifiquement sur la sécurité des applications, du réseau et des systèmes. Cette équipe est également responsable de la conformité en matière de sécurité, de la sensibilisation et des interventions en cas d’incident.

Contrôle d’accès

La base de données de Tulip ne peut être consultée que par l’intermédiaire d’un réseau privé virtuel (VPN) ou d’une requête SSH, et nécessite une authentification multifacteur. Nous appliquons une politique de mot de passe forte, qui implique une complexité minimale, un délai d’expiration et le verrouillage en cas de tentatives de connexion infructueuses répétées. Tulip accorde l’accès aux données uniquement lorsque cela est nécessaire et évalue ces autorisations chaque trimestre. Quand un employé quitte l’entreprise, son accès au système est révoqué dans les 24 heures.

Personnel

Tulip contrôle les antécédents de ses employés au moment de l’embauche (dans la mesure permise ou facilitée par les lois et pays applicables). De plus, Tulip communique ses politiques en matière de sécurité de l’information à l’ensemble de son personnel, exige que les nouveaux employés signent des accords de non-divulgation et offre une formation continue en matière de sécurité et de protection de la vie privée.

Gestion des vulnérabilités et tests de pénétration

Tulip a déployé un programme documenté de gestion des vulnérabilités qui comprend des analyses périodiques et la correction des failles de sécurité sur les postes de travail, l’équipement réseau, les serveurs, les applications et les systèmes d’identification. Nous utilisons un fournisseur tiers de confiance pour analyser tous les réseaux, y compris les environnements de test et de production. Les correctifs critiques sont appliqués en priorité et d’autres correctifs sont apportés au besoin. Nous effectuons régulièrement des tests de pénétration internes et externes pour nous assurer que notre système est dépourvu de vulnérabilités.

Développement

Notre équipe de développement utilise des techniques de codage sécurisées et suit les meilleures pratiques, avec un accent particulier sur le top 10 de la liste OWASP. Les développeurs sont officiellement formés aux pratiques de développement d’applications Web sécurisées à leur embauche, puis chaque année après cela. Les environnements de développement, de test et de production sont séparés. Tous les changements sont examinés par des pairs et journalisés à des fins de surveillance des performances, d’audit et de criminalistique avant le déploiement dans l’environnement de production.

Chiffrement

Tulip chiffre les données en transit à l’aide de protocoles de chiffrement TLS sécurisés.

Journalisation et audits

Tous les journaux des applications et des systèmes d’infrastructure sont envoyés à un référentiel de journaux central pour effectuer les analyses, les examens de sécurité et le dépannage. De plus, les données sont conservées conformément aux exigences réglementaires. Ces informations peuvent être partagées avec les clients en cas d’incidents de sécurité qui peuvent, directement ou indirectement, avoir un impact sur leurs données.

Gestion des ressources

Tulip intègre une politique de gestion des ressources, qui comprend l’identification, la classification, la conservation et la mise au rebut des informations et des ressources. Les appareils et systèmes fournis par Tulip sont équipés des meilleurs logiciels antivirus et utilisent le chiffrement complet des disques durs. Les appareils fournis par l’entreprise sont utilisés pour accéder aux réseaux de production et aux données d’entreprise.

Aspects de la sécurité des données concernant la continuité des opérations

Tulip adhère à toutes les lignes directrices et politiques visant à assurer l’intervention en cas d’incident de sécurité, y compris l’enquête, la résolution et la communication publique. Ces politiques sont réexaminées tous les six mois.

Conformité au RGPD

Nous veillons à ce que l’ensemble des services et ressources que nous offrons soient conformes aux exigences du RGPD pour toute entreprise avec qui nous avons des liens. Avec le concours de MNP LLP, Tulip poursuit ses efforts afin de respecter le RGPD.

Réclamations

Tulip est assujetti au règlement général sur la protection des données et à d’autres cadres et règlements en matière de sécurité et de protection de la confidentialité. En vertu de ces règlements, nous sommes tenus de répondre aux demandes et préoccupations concernant la protection des données. À ce jour, Tulip n’a reçu aucune demande, préoccupation ou réclamation à ce sujet que ce soit de la part de personnes concernées par les données, de groupes de défense des droits ou d’agences de réglementation.

FAQ

Qu’est-ce que le RGPD ?

Le RGPD est une loi générale sur la protection des données visant à assurer la sécurité des données des clients des pays de l’UE. Il remplacera l’ancienne directive 95/46/CE sur la protection des données.

Que réglemente le RGPD ?

Le RGPD veille à ce que toutes les entreprises, quelle que soit leur présence physique au sein de l’UE, respectent les réglementations imposées par les lois lors de la collecte, du stockage et du transfert des données des individus de l’UE.

Que sont les données à caractère personnel ?

Les données à caractère personnel, comme l’explique le RGPD, sont un terme général qui couvre toute information relative à des personnes identifiées ou identifiables.

Quelle est la différence entre un processeur de données et un contrôleur de données ?

Un contrôleur désigne une entité qui identifie le but, les conditions et les moyens du processus de protection des données personnelles. Un processeur de données, en revanche, est une unité chargée du traitement des données personnelles, en appui du contrôleur.

Le RGPD exige-t-il que les données à caractère personnel de l’UE restent dans l’UE ?

Non, le RGPD n’impose pas que les données personnelles restent au sein de l’UE, et il n’applique aucune restriction sur les données en dehors de l’UE. Les exigences de traitement des données par Tulip et la référence aux clauses modèles de la Commission européenne persisteront pour permettre aux clients de légitimer la transmission de données personnelles de l’UE en dehors des frontières physiques de l’UE.