Politique de sécurité
Cette Politique de sécurité explique comment Digital CoC aborde la protection des informations fabricant sensibles sur le plan opérationnel dans les processes de préparation eCoC, de validation, de signature et de livraison.
Cette page fournit une déclaration publique de gouvernance de sécurité pour Digital CoC. Elle ne remplace pas les annexes de sécurité signées, les accords de niveau de service, la documentation de sécurité propre au client ni les engagements contractuels.
1. Introduction
Digital CoC est conçu pour soutenir des processes eCoC opérationnels pouvant inclure des informations véhicule, des références d’approbation, des fichiers XML, des fichiers VECTO, la préparation de signature, des enregistrements de process et des documents téléversés. Cette Politique de sécurité décrit les principes de sécurité et les limites de responsabilité qui encadrent la plateforme.
2. Principes de sécurité
Digital CoC applique des pratiques de sécurité destinées à soutenir la confidentialité, l’intégrité, la disponibilité, la responsabilité, le moindre privilège et la visibilité opérationnelle. La sécurité est prise en compte tout au long des processes de préparation, de validation, de signature et de livraison, et non comme un sujet séparé ajouté après coup.
3. Types d’informations protégées
La plateforme peut protéger les informations nécessaires aux opérations eCoC côté fabricant. Les informations effectivement traitées dépendent de la configuration client, du périmètre des processes et des intégrations convenues.
- Informations véhicule et références d’approbation
- Fichiers XML, fichiers VECTO et enregistrements liés à l’eCoC
- Informations de process, informations de compte et enregistrements d’activité utilisateur
- Documents téléversés et enregistrements de préparation opérationnelle
- Informations d’intégration provenant de systèmes ERP, de connexions API ou de sources approuvées par le client
4. Gestion des accès
La gestion des accès repose sur des autorisations contrôlées, la sécurité des comptes, l’accès par rôle et une supervision opérationnelle. Les administrateurs client et les utilisateurs autorisés restent responsables de l’attribution des accès appropriés, de la protection des identifiants et du retrait des accès lorsqu’ils ne sont plus nécessaires.
5. Contrôles de sécurité
Digital CoC utilise des contrôles de sécurité de haut niveau adaptés au contexte de la plateforme. Ils peuvent inclure des contrôles d’authentification, des contrôles d’accès, de la surveillance, des mesures opérationnelles et des pratiques de développement sécurisé. Cette politique ne divulgue pas l’architecture détaillée de l’infrastructure ni les détails sensibles de mise en œuvre.
6. Opérations de plateforme
Les opérations de plateforme sont soutenues par des pratiques de revue de sécurité, une approche de surveillance, une supervision opérationnelle et une vigilance face aux incidents. Les enregistrements opérationnels et l’activité des processes visent à soutenir la responsabilité et la revue lorsque cela est approprié.
7. Dépendances tierces
Digital CoC peut s’appuyer sur des fournisseurs cloud, des fournisseurs d’infrastructure, des prestataires eIDAS, des partenaires d’intégration, des systèmes ERP, des connexions API ou d’autres services tiers selon la configuration du client. Digital CoC est responsable de ses propres services et contrôles convenus, et non des systèmes, décisions ou interruptions indépendants de tiers.
8. Gestion des incidents
Les incidents de sécurité potentiels sont gérés au moyen de procédures de détection, d’évaluation, de réponse et de communication adaptées à l’événement. Le calendrier, le périmètre et le format de communication peuvent dépendre de la nature de l’incident, des exigences légales, des engagements contractuels et de la faisabilité technique. Cette politique ne crée aucun délai de réponse garanti sauf accord écrit séparé.
9. Responsabilités du client
Les clients restent responsables de la sécurité des comptes, de la protection des identifiants, des autorisations internes des utilisateurs, de l’exactitude des données et de l’utilisation licite de la plateforme. Ils restent également responsables de l’acceptation des approbations, de l’acceptation XML, de l’acceptation EUCARIS, de l’acceptation NAP et de la conformité réglementaire.
10. Limites
Digital CoC ne garantit pas une disponibilité ininterrompue, une sécurité absolue, la prévention de tous les incidents ni la prévention de toutes les attaques de tiers. Les mesures de sécurité reposent sur des efforts commercialement raisonnables et sont soumises aux limites de responsabilité, exclusions et limitations définies dans les accords applicables.
11. Amélioration continue
Les pratiques de sécurité, les mesures de protection de la plateforme et les contrôles opérationnels peuvent évoluer avec les processes, la technologie, les exigences client et les conditions de risque. Des changements peuvent être introduits pour améliorer la protection, la fiabilité, la maintenabilité ou la clarté opérationnelle.
12. Informations de contact
Les questions de sécurité peuvent être envoyées à info@digitalcoc.eu. Les notifications contractuelles, questionnaires de sécurité, demandes d’audit ou communications de sécurité propres au client peuvent nécessiter des canaux formels supplémentaires définis dans l’accord applicable.
Des questions sur la sécurité de la plateforme ?
Contactez Digital CoC pour toute question liée à la gouvernance de sécurité, à la gestion des accès ou à la protection opérationnelle des données de votre organisation.
Digital CoC