Gestion de données

Notre engagement

Notre travail chez Customs Connect Group Ltd ( GCC Ltée ) implique le traitement, le contrôle, la gestion, l’intégration des connaissances et la réutilisation de grandes quantités de données clientes, financières et contractuelles sensibles. Une compréhension, une inspection, une manipulation et une analyse habiles des données électroniques de nos clients par e-mail, tableur ou documentation sont nécessaires pour identifier et soumettre des réclamations pour le recouvrement des paiements en trop, des paiements manqués et/ou des déductions des transactions financières historiques de nos clients.

Nous rendons nos données de recherche trouvables, accessibles, interopérables, réutilisables et utiles. Nous veillons à ce qu’elles soient gérées de manière saine et nous pensons qu’une gestion des données bien documentée est un conduit clé qui mène à la découverte des dépenses inutiles.

Nous travaillons dans des cadres juridiques, multinationaux et éthiques pour protéger toutes les parties prenantes, y compris nos clients, contre les atteintes à la réputation.

Nous nous engageons donc à nous assurer que toute notre sécurité de l’information est gérée et sécurisée de manière appropriée et que notre applicabilité est contrôlée.

Stockage de données

Nos données sont stockées et hébergées sur des serveurs hybrides dédiés basés sur le cloud avec Logiciel Cisco Adaptive Security Appliance (ASA) installé sur les pare-feu Cisco ASA avec notre partenaire de choix, le fournisseur d’hébergement primé basé au Royaume-Uni, UKFast, un centre de données standard de niveau 3.

Nos certifications sont énumérées ci-dessous: –

  • Système de gestion de la sécurité de l’information ISO 27001:2013
  • Système de gestion de l’environnement ISO 14001:2015
  • Système de gestion de la qualité ISO 9001:2008
  • Normes de sécurité des données PCI (PCI DSS)
  • Entrepreneur agréé NIC EIC
  • En voie d’être accrédité CESG et PGA

Nous pouvons mettre à jour nos certifications de temps à autre.

Sécurisé aux normes IL4 du gouvernement britannique, nous veillons à ce que notre solution soit protégée grâce à l’utilisation de niveaux de sécurité exceptionnels, à tout moment, et nos solutions sont protégées par un pare-feu Cisco ASA en standard.

Les centres de données d’UKFast sont tous basés au Royaume-Uni et ils ont fourni 18 ans de service au secteur public et au ministère de la Défense, ainsi qu’une infrastructure pour les services de police, d’incendie et de secours.

Classification et traitement des données

Les données sont classées conformément à la norme ISO/IEC 27002:2013 – Code de pratique pour les contrôles de sécurité de l’information. Il s’agit d’une extension de notre certification ISO27001 permettant à chaque membre de l’équipe interne de comprendre et d’évaluer la valeur, la sensibilité et la criticité pour l’entreprise de chaque actif de données (et d’appliquer la classification interne pertinente, si nécessaire).

Cybermenaces

Nous ne faisons aucun compromis lors de la sécurisation de vos données.

Sur place, nous sécurisons nos systèmes avec les logiciels antivirus et de sécurité Internet Avast AVG Enterprise, Malwarebytes Anti-Exploit for Business et Anti-Ransomware.

Nos systèmes sont également surveillés par notre société de support informatique, Endeavour Business IT Solutions Ltd, avec un agent de surveillance proactif sur chaque appareil.

Au sein du serveur hybride dédié basé sur le cloud hébergé chez UKFast, ils utilisent le matériel et les logiciels PROsecureTM, DDoSX, WAF, Threat Monitoring et Threat Response.

Sauvegarde

Une sauvegarde sur site est effectuée chaque jour et est stockée pendant 60 jours ouvrables sur une sauvegarde distincte au sein du serveur hybride dédié basé sur le cloud chez UKFast à l’aide d’un serveur de sauvegarde Commvault dédié de 14 To.

Assurance qualité

CCG Ltd détient l’accréditation ISO9001, une norme internationalement reconnue qui démontre notre haut niveau de gestion de la qualité dans nos opérations quotidiennes. Dans le cadre de la norme ISO9001, nous avons une politique écrite sur la sécurité des données. Une copie de notre dernière politique sur la sécurité des données est disponible sur demande.

De plus, CCG Ltd détient l’accréditation ISO27001, qui reconnaît que nos systèmes de gestion de la sécurité de l’information fonctionnent selon les normes les plus élevées possibles.

Accords de confidentialité ou de non-divulgation

Des clauses de confidentialité sont incluses dans le contrat type du personnel, que tous les membres du personnel signent. Celui-ci est revu et mis à jour régulièrement. La dernière révision et mise à jour date d’octobre 2014.

Des accords de non-divulgation sont utilisés entre CCG Ltd et nos clients en échange d’informations sensibles.

Identification de la législation applicable et des exigences contractuelles

La législation applicable à l’organisation a été identifiée ;

Data Protection Act 2018 and the General Data Protection Regulation (EU) 2016/679Protects individuals against the use of personal information by another individual or organisation.
Freedom of Information Act 2000Provides individuals with the right of access to information held by public authorities and those providing services for them.
Computer Misuse Act 1990Protects the right of individuals and organisations to preserve the confidentiality and integrity of their computer data.
Copyright Designs and Patents Act 1988Protects intellectual property, i.e. protects the interests of an individual, or an organisation that employs such individuals, whose ownership of novel, creative or inventive work is recognised in law.
Electronic Communications Act 2000Protects the interests of society by restricting the use of cryptographic techniques so that the Government and its authorised agents are able to decrypt any message that is legitimately intercepted.
Digital Economy Act 2017Provisions relating to electronic communications infrastructure and services.
Regulation of Investigatory Powers Act 2000Protects the originators of electronic communication from its interception without lawful authority and protects employees from unreasonable monitoring.
Public Interest Disclosure Act 1998Protects employees who, in the public interest, disclose criminal or civil wrongdoing by their employer.

Droits de propriété intellectuelle

L’utilisation de matériel susceptible d’être soumis aux DPI est protégée, par exemple seuls les logiciels sous licence sont installés sur les machines, les licences et les disques maîtres sont conservés, etc. Le nombre maximum d’utilisateurs est respecté. Des registres d’actifs sont en place et aucun document ou donnée n’est copié ou transféré sans autorisation.

Protection des dossiers

Ceci est effectué comme détaillé dans la procédure de contrôle des documents ISO9001. Diverses politiques et procédures sont en place, y compris une politique de conservation des dossiers. Une copie de notre dernière politique de conservation des dossiers est disponible sur demande.

Confidentialité et protection des informations personnellement identifiables

Les exigences de la loi sur la protection des données 2018 et du règlement général sur la protection des données (UE) 2016/679 sont respectées dans toute l’entreprise. Nous avons mis en place des politiques de protection des données et de confidentialité des données et une copie de ces dernières politiques est disponible sur demande.

Conformité aux politiques et procédures de sécurité

Les audits et les contrôles ponctuels sont effectués à la fois par le gestionnaire et par d’autres auditeurs, par exemple les QSA pour la conformité PCI.

Aménagement de l’environnement

Une copie de notre schéma de topologie de réseau peut être fournie sur demande.

À l’épreuve du temps

Une copie de notre plan de continuité des activités peut être fournie sur demande.

Test de pénétration annuel

Des tests de pénétration annuels sont effectués sur place chez CCG Ltd et au sein de UKFast chaque année.

Déclaration d’applicabilité et certificats

Une déclaration d’applicabilité et des copies des certificats peuvent être fournies sur demande.

Cet engagement vise à fournir des informations concernant nos protocoles de gestion des données et a été préparé à des fins d’information uniquement. Nos conditions générales standard incluent des obligations contraignantes concernant notre traitement des données et cet engagement n’est pas destiné à créer un engagement juridiquement contraignant. Nous ne serons pas responsables des dommages causés par notre non-respect de cet engagement, sauf dans la mesure où cet engagement est expressément incorporé dans tout contrat entre nous et nos clients.