Les données stockées dans Award Force sont protégées par un large éventail de mesures de sécurité par défaut. Des options supplémentaires de protection des données sont disponibles sur les champs, pour des circonstances spécifiques, et sont expliquées dans cet article.
Applicabilité de La Réglementation Genérale sur la Protection des Données (RGPD)
La Réglementation Générale sur la Protection des Données (RGPD) exige que les contrôleurs de données (c'est vous) et les processeurs de données (Award Force) mettent en œuvre des mesures de pointe pour la protection des données personnelles de toutes les personnes physiques en Europe. Les options de protection des données sur les champs sont une mesure pour faciliter la conformité et servent à deux fins:
- Le paramètre de protection des données sur les champs vous fournit un enregistrement clair des données personnelles que vous collectez (dans la vue de la liste des champs, vous pouvez filtrer par niveau de protection des données ou ajouter une colonne pour cette visibilité).
- La définition d'une sécurité Accrue ou Maximum fournit des couches supplémentaires de protection technique sur ces zones, expliquées plus loin.
Que faire si la RGDP ne s'applique pas à votre programme?
Se conformer à la RGDP peut ne pas être pertinent pour vous si vous ne stockez pas de données personnelles, de quiconque en Europe - cependant, nous encourageons toujours les bonnes pratiques dont la protection des données personnelles où que vous soyez..
En outre, les options de protection des données peuvent être considérées comme utiles et pertinentes en tant que protection supplémentaire, par ex. données commercialement sensibles.
Quelles sont les protections supplémentaires, et pourquoi ne pas les utiliser par défaut?
Par défaut, avec Award Force, toutes les données en transit (transfert entre le navigateur de l'utilisateur et les serveurs Award Force) sont cryptées. Toutes les données (stockées dans nos bases de données ou notre stockage multimédia) sont également cryptées par défaut. De nombreuses mesures de protection des données visent à atténuer les risques théoriques. Le cryptage des données au repos est une protection de «niveau disque / fichier» de sorte que si un attaquant a accès à un serveur au niveau d'un fichier, les données ne seraient pas lisibles en raison d'un cryptage fort. Cependant, si un attaquant parvient à obtenir un accès en lecture à la base de données, il peut accéder à des données décryptées.
L'option protection des données de type Accrue (données personnelles) applique également un cryptage de 512 bits aux données de champ, mais stocke également une version hachée des données afin de faciliter la recherche partielle de ces champs. Ce hachage est considéré comme moins sécurisé que les données cryptées car, en théorie, avec un accès aux données hachées, une attaque par force brute pourrait être utilisée pour révéler les données. Ainsi, un niveau élevé de protection est atteint, mais pas une protection maximale. La mise en garde, avec la possibilité de recherche d'un champ avec une protection élevée, est qu'elle peut prendre en charge une correspondance exacte insensible à la casse, mais pas une correspondance partielle. Par exemple, un champ contenant "Joe Bloggs" pourrait être trouvé avec une recherche de "Joe Bloggs" ou "joe bloggs", mais pas avec une recherche de "joe" ou "bloggs".
L'option protection des données de type Maximum (données personnelles sensibles) applique un chiffrement AES 256 bits incassable aux données des champs avant leur stockage dans nos bases de données, comme pour l'option de protection élevée des données. Cependant, pour obtenir une protection maximale, vous n'avez pas la possibilité de rechercher le champ et aucun hachage n'est stocké comme avec la protection élevée.
C'est pourquoi nous n'appliquons pas, par défaut, ce niveau de protection à tous les champs.
Quand devez-vous utiliser la protection des données pour les champs ?
Nous vous conseillons d'utiliser les options de protection des données supplémentaires pour tous les champs contenant des données personnelles (utilisez une protection de type Accrue) ou des données personnelles sensibles (utilisez une protection de type Maximum).
Données personnelles
L'article 4 du RGPD définit les données personnelles comme :
"Données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale."
Données personnelles sensibles
L'article 9 du RGPD définit les catégories spéciales de données personnelles (données sensibles) comme :
'Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits'.
Si vous avez un motif légitime de collecter ces catégories spéciales de données sensibles, vous devez utiliser le niveau de protection des données de type 'Maximum'.
Besoin d'aide ? Contactez nous.
Envoyez-nous simplement un message via ce formulaire et nous vous répondrons rapidement !
Notre équipe de réussite client répartie dans le monde entier est là pour vous aider 24 heures sur 24 (pendant nos heures de travail), du lundi au vendredi.