Qualité et sécurité
Gestion globale de la qualité et de la sécurité de l'information
La qualité et la sécurité sont d'une importance capitale pour nous. Parce que votre confiance est importante pour nous et que nous aspirons à un niveau de sécurité élevé, nous avons obtenu la certification DIN EN ISO/IEC 27001.
Projektron dispose d'un système de gestion intégré qui couvre de vastes mesures de qualité et de sécurité de l'information. Depuis 2008, nous exploitons un système de gestion de la qualité basé sur la norme ISO 9001, qui couvre l'ensemble de la chaîne de création de valeur et du cycle de vie du produit - de l'idée du produit à la mise en service chez le client et au support client, en passant par le développement, les tests et la documentation. En 2017, nous avons également mis en place un système de gestion de la sécurité de l'information (ISMS) conforme à la norme ISO 27001.
Début 2018, nous avons obtenu la certification ISO 27001 par le TÜV SÜD et en 2021, une nouvelle certification selon la norme DIN EN ISO/IEC 27001:2017. En 2024, nous avons obtenu la certification ISO/IEC 27001:2013 par le TÜV Rheinland avec un champ d'application pour l'exploitation du développement, du support, des services informatiques ainsi que de l'administration informatique interne. Nous nous efforçons d'être une entreprise d'excellence au sens du modèle EFQM et prévoyons d'obtenir la certification ISO 9001.
Les objectifs généraux de la sécurité de l'information s'appliquent à tous les secteurs de l'entreprise :
|
|
|
Nos systèmes de gestion comprennent toutes les dispositions et directives pertinentes en matière de protection des données, de protection de la santé, de protection de l'environnement, de protection du travail et de protection contre les incendies, ainsi que de sécurité de l'information. L'ISMS a permis d'ancrer la sécurité de l'information dans l'organisation de l'entreprise et d'établir des processus importants tels que la gestion des risques.
Mesures organisationnelles pour la sécurité de l'information
Formation des collaborateurs et formation continueTous les collaborateurs sont régulièrement sensibilisés et formés au thème de la sécurité de l'information. Ces formations servent à rafraîchir et à actualiser les thèmes actuels. Les nouveaux collaborateurs sont formés en conséquence dès leur intégration. En outre, les collaborateurs reçoivent des formations continues adaptées à leurs besoins pour les sensibiliser aux objectifs et aux risques en matière de sécurité de l'information. | |
Gestion des urgences et audits des systèmesAfin de pouvoir réagir rapidement aux incidents de sécurité et de limiter les dommages éventuels, des concepts de prise en charge des urgences ont été développés et consignés dans des manuels d'urgence. En outre, des audits de système annuels sont réalisés afin de garantir une approche structurée de la sécurité de tous les services informatiques. L'accent est mis sur la prise en compte des risques, les droits d'accès et le cryptage. | |
Gestion de la protection des données et de la sécurité de l'informationProjektron utilise un système de gestion de la protection des données (DSMS) conformément au règlement général sur la protection des données (RGPD) de l'UE. Une équipe spéciale, composée de responsables ISMS, travaille activement sur la sécurité de l'information et les processus qui y sont liés. Cette équipe veille en permanence au respect des objectifs de sécurité. En outre, une équipe d'experts a été mise en place au sein de l'entreprise pour traiter des sujets d'actualité en matière de sécurité informatique et de sécurité dans le développement. |
Normes de sécurité les plus élevées - procédure de contrôle TISAX® passée avec succès
Avec TISAX (Trusted Information Security Assessment Exchange), l'association ENX soutient, pour le compte du VDA, l'acceptation commune des audits de sécurité de l'information dans l'industrie automobile. Les évaluations TISAX sont réalisées par des prestataires d'audit accrédités qui prouvent leur qualification à intervalles réguliers. Les résultats des audits TISAX et TISAX ne sont pas destinés au grand public.
Pour Projektron GmbH, la confidentialité, la disponibilité et l'intégrité des informations ont une grande valeur. Nous avons pris des mesures étendues pour protéger les informations sensibles et confidentielles. C'est pourquoi nous suivons le catalogue de questions de la sécurité de l'information de l'association de l'industrie automobile (VDA ISA). L'audit a été réalisé par un prestataire de services d'audit, en l'occurrence le prestataire de services d'audit TISAX TÜV SÜD Management Service GmbH. Le résultat est uniquement disponible sur le portail ENX.
Gestion de la qualité
Les souhaits et exigences des clients concernant Projektron BCS et nos services sont systématiquement interrogés et évalués de manière à ce que les exigences de qualité de nos clients soient pleinement satisfaites en fonction de leur taille et de leur secteur. La saisie et l'analyse régulières servent de point de départ à l'amélioration continue de nos produits, de nos services et de notre entreprise dans son ensemble. Nous nous développons ainsi en permanence dans l'esprit d'une organisation apprenante.
Administration informatique
La sécurité de l'information est également une préoccupation majeure de notre administration informatique interne. Nous nous basons sur l'état de la technique pour sécuriser les systèmes et nous continuons à les sécuriser.
Nos mesures pour la sécurisation de nos systèmes dans l'administration informatique
Distribution centralisée des logiciels et sécurité des systèmes d'extrémité | ||||
Distribution centrale de logicielsLes logiciels nécessaires sont distribués de manière centralisée sur les ordinateurs d'exploitation et maintenus à jour. | Logiciels antivirus et antimalwareUne mise à jour des programmes antivirus et antimalware utilisés en permanence sur tous les terminaux est effectuée régulièrement. | |||
Gestion des correctifsDes mises à jour de sécurité et des correctifs pour les systèmes d'exploitation et les applications sont régulièrement appliqués. | ||||
Sécurité du réseau et du périmètre | ||||
Technique de réseau redondanteLa ligne Internet, le pare-feu et les commutateurs centraux sont redondants. | Pare-feuDes pare-feu sont utilisés pour contrôler le trafic de données. | |||
Segmentation du réseauUne séparation des réseaux en différents segments est effectuée afin de limiter l'accès aux systèmes critiques et d'empêcher la propagation des attaques. | VPNPour le travail mobile, les collaborateurs disposent d'accès VPN. L'utilisation de VPN sert à sécuriser l'accès à distance aux systèmes internes. | |||
Monitoring / surveillance de la sécurité | ||||
| Les services internes sont surveillés en permanence afin de garantir leur disponibilité et de pouvoir réagir rapidement en cas de problème. | ||||
Contrôles d'accès et authentification | ||||
Principe du moindre privilègeL'octroi des droits d'accès est basé sur le principe de l'autorisation minimale, de sorte que les utilisateurs ne peuvent accéder qu'aux ressources dont ils ont réellement besoin. | Contrôle d'accès basé sur les rôles (RBAC)Des contrôles d'accès basés sur les rôles ont été mis en place afin de limiter l'accès aux informations sensibles. | |||
Cryptage et sécurité des données | ||||
CryptographieLes recommandations des directives techniques du BSI (BSI TR-02102) sont vérifiées chaque année. | Autorité de certification interneLes services internes sont cryptés par une autorité de certification propre. | |||
Cryptage pendant la transmissionDes technologies de cryptage sont utilisées pour protéger les données pendant la transmission. | ||||
Sécurité du courrier électronique & sauvegardes | ||||
Courrier électroniqueLe trafic de messagerie entrant est surveillé et, en cas de doute, d'abord mis en quarantaine. | Sauvegarde et restaurationLes services internes sont sauvegardés quotidiennement et peuvent être restaurés rapidement à l'état de la dernière sauvegarde. Le processus de restauration est testé tous les six mois. | |||
Mesures organisationnelles | ||||
Formations régulièresNous organisons des formations pour le personnel informatique et les utilisateurs finaux sur les dernières menaces de sécurité et les meilleures pratiques. | Programmes de sensibilisation à la sécuritéNous menons des programmes continus de sensibilisation du personnel à la sécurité de l'information. | |||
Politiques de sécurité documentéesLes politiques et procédures de sécurité sont établies, documentées et régulièrement mises à jour. | ConformitéNous veillons à ce que les exigences légales et réglementaires pertinentes ainsi que les directives de sécurité internes soient respectées. | |||
Mesures relatives aux processus | ||||
Réponse aux incidents et gestion des urgencesNous disposons de plans d'urgence qui incluent des mesures de récupération des systèmes en cas d'incident. Pour nous préparer aux incidents de sécurité, nous organisons régulièrement des exercices et vérifions l'efficacité des plans d'urgence. | Gestion des risques et des vulnérabilitésNous effectuons régulièrement des évaluations des risques afin d'identifier et d'évaluer les menaces potentielles. Nous avons mis en place un processus de détection, d'évaluation et de correction des vulnérabilités dans l'infrastructure informatique. | |||
Support
Pour l'assistance technique de nos clients, nous travaillons avec notre propre portail d'assistance. Nous veillons toujours à la qualité et surtout à la sécurité du traitement des informations.
Nos mesures pour la sécurité du traitement des informations dans le cadre de l'assistance
Portail de support et gestion de la configuration | ||||
Portail d'assistanceLe portail de support pour les clients sert à l'échange sécurisé d'informations et au transfert de données. La communication se fait par le biais de tickets avec un dépôt interne au système pour l'échange de données. | Service de versionnement de la configuration (KVD)Le service de versionnement de la configuration (KVD) est une mémoire centrale de configuration pour les clients et Projektron lui-même. Les configurations sont gérées dans un référentiel SVN. | |||
Authentification et contrôle d'accès | ||||
Autorisation d'accèsLes interlocuteurs du client disposent d'un accès personnalisé au portail de support. | Authentification forteUne authentification à deux facteurs (2FA) est utilisée pour l'accès au portail de support. | |||
Contrôle d'accès basé sur les rôles (RBAC)L'attribution des droits d'accès se fait sur la base des rôles des utilisateurs afin de limiter l'accès aux informations sensibles. | Politique de mots de passe sécurisésNous avons mis en œuvre des politiques de mots de passe sécurisés, y compris la longueur minimale, la complexité et la modification régulière. | |||
Cryptage et protection des données | ||||
CryptageL'accès au portail d'assistance n'est possible que via un accès crypté. | Économie de donnéesSeules les données clients nécessaires au traitement de la commande sont collectées et stockées dans le système. | |||
Cryptage de bout en boutIl est garanti que les données sont cryptées pendant toute la communication via le portail de support entre les clients et les collaborateurs du support. | Processus conformes à la protection des donnéesDes processus ont été mis en œuvre conformément au règlement général sur la protection des données (RGPD) et aux autres lois pertinentes en matière de protection des données. Ces processus sont systématiquement respectés. | |||
Formation des collaborateurs et informations sur la sécurité | ||||
Informations sur la sécurité pour les clientsNous mettons régulièrement à disposition des clients des informations relatives à la sécurité au sein du portail d'assistance. | Formation continue pour nos collaborateursNos collaborateurs du support reçoivent régulièrement et en fonction de leurs besoins des formations continues qui concernent la sécurité des logiciels utilisés et des interfaces avec des systèmes tiers qui peuvent être connectés à Projektron BCS. | |||
Formations régulièresLes collaborateurs du support sont régulièrement formés et sensibilisés aux thèmes de la sécurité de l'information, de la protection des données et de la manipulation sûre des données des clients. | Programmes de sensibilisationNous menons en permanence des programmes de sensibilisation à la sécurité et de respect des politiques de sécurité. | |||
Mesures relatives aux processus et gestion des urgences | ||||
Journalisation et surveillanceUne journalisation détaillée de toutes les activités sur le portail d'assistance est effectuée et un contrôle régulier des logs est effectué pour détecter toute activité suspecte. | Politiques et procédures de sécuritéLes directives et procédures relatives à la sécurité de l'information sur le portail de support sont appliquées de manière conséquente et adaptées en permanence. En outre, des contrôles de sécurité et des audits sont régulièrement effectués afin de garantir le respect des normes de sécurité. | |||
Réponse aux incidents et plans d'urgenceNous suivons un processus clair de notification, d'analyse et de résolution des incidents de sécurité. Des plans d'urgence existent en cas d'incident de sécurité et sont régulièrement mis à jour. | Gestion et anonymisation des données clientsAfin de renforcer la protection des données clients, nous anonymisons ou pseudonymisons les données partout où cela est possible. | |||
Sécurité de l'information dans le développement et l'hébergement de BCS
Outre des processus commerciaux performants, un développement logiciel sûr constitue le cœur de notre entreprise et de notre logiciel de gestion de projet basé sur le web.
Mesures de sécurité de l'information dans le développement et l'hébergement de produits
