Quelles sont les mesures RGPD mises en œuvre ?
Vialink intervient en qualité de Sous-Traitant dans le cadre du produit KYC. Elle s’engage à tenir un registre des traitements pour le compte du Responsable de Traitement (le Client de la solution). De plus, sont mis en place :
- Un registre et une politique de violation de données,
- Une politique de protection des données à caractère personnel,
- Les principes de Privacy by Design et Privacy by Default,
- Les mesures techniques et organisationnelles de l’article 32 du RGPD,
- Les obligations du Sous-traitant de l’article 28 du RGPD (les collaborateurs qui traitent les données à caractère personnel sont tenus par un engagement spécifique de confidentialité, aide à répondre aux demandes d’exercice de droits faites au responsable de traitement, supprime les données sur demande du responsable de traitement à l’issue du traitement, ne fait appel qu’à des sous-traitants ultérieurs qui présentent les mêmes exigences en matière de protection des données à caractère personnel).
Où sont stockées les données ?
Les données sont stockées en base de données et sont chiffrées. Une redondance est effectuée sur un site de secours distinct. Les données ne sont stockées ni chez un sous-traitant ni chez un tiers. Les données ne sont pas transférées ou hébergées en dehors de l’UE.
Quelles sont les règles de purge (en version interfaces web ET en version API) :
Sur l‘interface, les documents contrôlés sont conservés 30 jours sur un serveur de stockage puis sont détruits. Sur l’API, le client peut définir lui-même les règles de purge
Quelles sont les mesures de sécurité en place
Authentification uniquement https/
Il existe un certificat serveur pour Vialink mais pas de certificat client dédié. L’authentification du client se fait via un Token (en oauth2) et non via un certificat.
Chaque client à son espace de travail dédié. Il s’agit d’un cloisonnement applicatif avec une gestion des droits renforcée au niveau du serveur.