|
BON A SAVOIR |
Ces recommandations font partie des bonnes pratiques de sécurité. |
Les bonnes pratiques en matière de sécurité imposent de limiter au strict minimum l’accès et la conservation des données à caractères personnels.
Les solutions « Desktop » s’installent sur des PC (Physique et/ou Virtuel) et proposent de stocker les bases de données sur des volumes de stockage accessibles à ceux-ci : disque-dur fixe, disque amovible, clé USB, serveur de fichier distant, etc.
La majorité des données sont stockées dans ces bases encodées de manière binaire et sont uniquement accessibles à l’aide du logiciel qui les a créées. Cependant, pour des besoins de traitements, certaines données peuvent être temporairement stockées sur le disque du poste. De plus, le logiciel offre la possibilité d’exporter des données potentiellement sensibles sur des fichiers ouverts.
Aussi, l’accès aux postes de travail doit être limité aux personnes autorisées. Les systèmes d'exploitation offrent tous des moyens de contrôle pour ce faire : mots de passe, Active directory, etc.
Un cryptage des supports peut également être envisagé (BitLocker par exemple).
|
aTTENTION |
Il faut particulièrement être attentif aux stockages sur des éléments externes qui devront être sécurisés. |
|
BON A SAVOIR |
Dans le cas de Ciel Donnée Mobiles, les données sont stockées sur des serveurs sécurisés par SAGE. Il n’y a pas d’actions à faire dans ce cas. |
Les bonnes pratiques de sécurité imposent de limiter les accès au minimum requis pour les tâches à accomplir. Ces pratiques s'imposent également aux volumes temporaires sur lesquels des données transitent (le transfert d’écritures comptables par exemple).
Les bases de données permettent également de sécuriser leurs accès à l’aide d’un mot de passe. Le mot de passe doit être unique, réservé à cet usage et doit être changé périodiquement.Certains produits permettent une Administration avancée des mots de passe. Elle permet de définir chaque utilisateur nommément avec des mots de passe uniques.
Certains produits offrent une Administration avancée qui permet de définir les accès autorisés par groupe d’utilisateurs. Dans ce cas, l'autorisation de l'accès aux données personnelles sera attribuée aux utilisateurs ayant une raison légitime d’y accéder.
Sur les produits qui n'offrent pas cet possibilité, tout utilisateur de la base de données aura potentiellement accès à celle-ci.
Les données à caractères personnelles (nom, adresses, téléphones, etc…) sont enregistrées principalement dans les fiches de type tiers, prospect, contacts... mais également dans les pièces commerciales.
Il est donc possible d’y accéder en consultation et/ou en modification via les interfaces dédiées à cet usage.