Confiance et sécurité chez Agora Care
Chez Agora Care, la protection des données qui nous sont confiées est une responsabilité essentielle. Ce Trust Center présente les mesures que nous mettons en œuvre pour garantir la confidentialité, l’intégrité et la disponibilité de vos informations. Notre approche s’appuie sur les normes de l’industrie, les obligations légales et une forte culture interne de la sécurité et de la protection des données.
Gestion de la sécurité de l'information
Politiques et gouvernance
Nous opérons selon un Système de Management de la Sécurité de l’Information (SMSI) formel, conforme à la norme ISO/CEI 27001. Nos politiques couvrent tous les aspects de la sécurité de l'information, de la gestion des accès à la réponse aux incidents. Elles sont révisées et mises à jour au minimum une fois par an pour garantir leur pertinence et leur efficacité.
Rôles et responsabilités
La sécurité est une responsabilité partagée dans toute notre organisation. Les rôles et responsabilités spécifiques en matière de sécurité sont clairement définis, régulièrement revus, et intégrés dans notre documentation interne ainsi que dans les systèmes utilisés par nos équipes.
Supervision externe et participation sectorielle
Nous collaborons avec des consultants externes de confiance pour auditer et renforcer nos pratiques de sécurité. Nous participons également à des groupes sectoriels pertinents afin de rester informés des risques émergents, des bonnes pratiques et des évolutions réglementaires, notamment Clusis, The Trust Valley et l’Association suisse des DPO.
Protection des données dès la conception et par défaut
Nous appliquons les principes de protection des données dès le lancement de chaque projet. Toute nouvelle activité de traitement ou toute modification d’un traitement existant est examinée, puis présentée au Comité de Sécurité pour validation.
Les modifications sont suivies à l’aide de nos outils internes afin d’assurer une traçabilité et une responsabilité continues.
Télétravail sécurisé
Nous soutenons le travail à distance tout en maintenant un niveau de sécurité élevé. Les collaborateurs respectent une politique formelle de télétravail qui définit les exigences minimales en matière d’équipements, de connexions sécurisées, d’environnement physique et de confidentialité des données.
Sécurité des équipements et des terminaux
Tout le travail est effectué sur des équipements enregistrés et gérés par Agora Care. Ces terminaux sont protégés par des contrôles techniques appropriés, incluant le chiffrement intégral des disques, des restrictions d’accès et des mises à jour de sécurité régulières. Nous surveillons en permanence les vulnérabilités et agissons de manière proactive.
Sécurité du personnel
Les collaborateurs jouent un rôle clé dans notre stratégie de sécurité. Chaque nouvel employé reçoit une formation sur la sécurité de l’information et la protection des données lors de son intégration, suivie de formations régulières tout au long de son contrat. Tous les collaborateurs sont liés par un accord de confidentialité qui reste valable après la fin de leur mission.
Classification de l'information et gestion des accès
Nous classons les données en fonction de leur sensibilité et de leur contexte métier. L’accès aux données est contrôlé via des mécanismes fondés sur les rôles, mis en œuvre par nos systèmes de gestion des accès.
Nous appliquons des procédures strictes pour l’attribution, la révision et la révocation des droits d’accès. Nos pratiques d’authentification et de gestion des mots de passe respectent les meilleures pratiques actuelles et évoluent avec le paysage des menaces.
Chiffrement et protection des données
Toutes les données en transit sont chiffrées à l’aide de protocoles standards de l’industrie comme TLS. Pour les processus sensibles, nous appliquons des couches supplémentaires de chiffrement et de contrôle d’accès. Nos pratiques de gestion des données sont régulièrement revues pour garantir leur conformité aux exigences légales et contractuelles.
Sécurité physique et environnementale
Nos bureaux et infrastructures physiques sont protégés par un ensemble de contrôles d’accès et de systèmes de surveillance, incluant les badges d’entrée et les systèmes d’alarme. Les collaborateurs en télétravail doivent maintenir un environnement sécurisé et privé, conforme à nos standards minimaux de confidentialité.
Sécurité opérationnelle
Nos mesures de sécurité opérationnelle incluent :
- Un processus structuré de gestion des changements pour évaluer les impacts sécurité
- Des mises à jour logicielles régulières et des analyses de vulnérabilités
- L’utilisation d’infrastructures managées avec des contrôles de sécurité dédiés
- Des politiques imposant l’usage de configurations sécurisées sur tous les systèmes et services
Nous réévaluons en permanence les menaces techniques et adaptons nos contrôles en conséquence.
Communications sécurisées
Nous utilisons des outils de communication chiffrée et des plateformes sécurisées pour l’échange d’informations sensibles ou confidentielles. Tous les collaborateurs doivent utiliser les canaux autorisés et suivre les directives internes concernant la transmission de secrets et de données sensibles.
Des accords de confidentialité viennent renforcer ces exigences.
Sécurité du développement et du cycle de vie des systèmes
La sécurité est intégrée dès les phases de développement ou d’acquisition de tout nouveau système ou plateforme. Nous réalisons des analyses de risques pour les changements à fort impact et révisons les contrôles régulièrement tout au long du cycle de vie des systèmes. Les solutions fournies par des tiers doivent répondre à nos exigences internes avant leur déploiement.
Supervision des fournisseurs
Nous attendons de nos fournisseurs qu’ils respectent les mêmes standards de sécurité que ceux que nous appliquons en interne. Notre politique de gestion des fournisseurs intègre des critères clairs en matière de sécurité de l’information, revus annuellement. Une diligence raisonnable est effectuée pour tous les fournisseurs critiques, et les contrats incluent des clauses spécifiques à la protection des données.
Gestion des incidents
Nous avons mis en place une procédure formelle pour détecter, signaler et gérer les incidents de sécurité. Tous les incidents sont enregistrés, analysés et traités avec rigueur et réactivité pour en limiter l’impact et éviter les récidives. Nos processus sont continuellement améliorés à la lumière des retours d’expérience.
Continuité d’activité et résilience
Nous disposons d’un Plan de Continuité d’Activité (PCA) définissant les modalités de maintien du service en cas d’interruption. Ce plan intègre des procédures de protection des données visant à garantir leur disponibilité et leur confidentialité pendant un incident. Il est testé régulièrement et mis à jour en fonction des résultats et de l’évolution des besoins.
Conformité légale et réglementaire
Nous respectons la Loi fédérale sur la protection des données (LPD), le Règlement général sur la protection des données (RGPD) de l’Union européenne, ainsi que les autres lois applicables. Nos obligations réglementaires sont consignées dans un registre juridique dédié, régulièrement mis à jour.
La conformité est pour nous un pilier fondamental de la confiance et de la sécurité.