marché : UE, États-Unis, Monde

Protection des données Vodia Fiche d'information

Ce document décrit comment Vodia se conforme au GDPR 2016/279 sur les marchés de l'UE et aux réglementations Systems and Organization Control - SOC 2 sur les marchés américains en utilisant un système téléphonique Vodia.

1. Introduction

Les clients de Vodia génèrent ou traitent des données sensibles sur les systèmes téléphoniques de Vodia. Le système Vodia est soigneusement conçu pour répondre aux exigences du GDPR et de SOC 2 lorsqu'il est utilisé correctement. Cette fiche d'information décrit comment nous répondons aux exigences respectives pendant les étapes de conception, d'implémentation et de déploiement du système.

Cependant, il est de la responsabilité de l'opérateur du système téléphonique et de l'utilisateur de se conformer aux réglementations GDPR et SOC. Vodia n'est ni un contrôleur de données ni un processeur de données. Mais Vodia aide les fournisseurs de services, les clients et les utilisateurs finaux à maintenir une configuration, un fonctionnement et une utilisation sécurisés du système.

2. Confidentialité des données et sécurité informatique avec les systèmes téléphoniques Vodia

La conception du système téléphonique Vodia reflète une base légale pour le traitement des données à caractère personnel. Cela comprend l'obtention du consentement explicite de la personne concernée, l'exécution d'une obligation contractuelle, le respect d'obligations légales, la protection des intérêts vitaux, l'exécution d'une mission d'intérêt public ou les intérêts légitimes poursuivis par le responsable du traitement des données. Les paramètres par défaut sont définis de manière à ce que le système téléphonique de Vodia fonctionne avec un minimum de données sensibles.

Nous avons veillé à ce que les systèmes téléphoniques de Vodia fournissent des mécanismes facilitant l'exercice des droits des personnes concernées. Ces droits comprennent le droit d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité des données, d'opposition au traitement et de ne pas faire l'objet d'une prise de décision automatisée.

Les systèmes Vodia respectent les principes de légalité et de transparence. Des audits du système peuvent être menés pour déterminer quelles informations doivent être traitées pour remplir la tâche de système de communication. Tous les traitements de données sont conçus pour traiter le minimum absolu de données avec une justification légale. Les informations correspondantes fournissent à l'opérateur du système la politique de confidentialité.

Le système téléphonique Vodia est conçu pour fonctionner sur site sous le contrôle total du contrôleur de données et du processeur de données en ce qui concerne le stockage et l'échange de données. Il est conçu pour fonctionner de manière autonome sans échanger de données avec des tiers et des services externes.

En suivant le principe de la sécurité par la conception, nous créons une implémentation de la confidentialité des données et de la sécurité informatique à travers le système téléphonique Vodia à chaque étape de son implémentation.

En évitant d'utiliser des frameworks externes et des packages open source et en codant à partir de zéro en interne, nous créons un code sur lequel tous les clients peuvent avoir confiance. Notre IDE est configuré pour répondre aux normes de l'industrie, ce qui signifie que les causes potentielles des menaces de sécurité peuvent être tracées et éliminées.

3. Sécurisation des opérations du système

Nous permettons aux opérateurs de systèmes téléphoniques Vodia (processeurs de données) de fournir des accords de traitement des données avec leurs clients (contrôleurs de données) conformément au GDPR et aux normes SOC qui peuvent clairement maintenir les responsabilités et les obligations de chaque partie en ce qui concerne la protection des données. Ces accords peuvent inclure des dispositions relatives aux mesures de sécurité, aux notifications de violation des données et aux transferts de données.

Vodia a mis en place une fonctionnalité qui permet aux opérateurs de fournir des mesures techniques et organisationnelles pour garantir la sécurité et la confidentialité des données personnelles traitées par un processeur de données. Ces mesures comprennent le cryptage des communications et des échanges de données, des contrôles d'accès, des évaluations régulières de la sécurité et la formation du personnel.

Les systèmes téléphoniques de Vodia sont conçus pour se conformer également à SOC 2 (System and Organization Controls 2), le cadre élaboré par l'American Institute of CPAs (AICPA) pour évaluer et rendre compte de la sécurité, de la disponibilité, de l'intégrité du traitement, de la confidentialité et de la protection de la vie privée des systèmes et des données d'un organisme de services. Voici quelques domaines clés couverts par SOC 2 en matière de protection des données :

Garantir la sécurité avec les systèmes téléphoniques Vodia : SOC 2 exige des organismes de services qu'ils mettent en œuvre des contrôles de sécurité pour se protéger contre les accès non autorisés, qu'ils soient physiques ou logiques. Cela inclut des mesures telles que les contrôles d'accès, le cryptage, la sécurité du réseau et la surveillance de l'activité du système. Les systèmes téléphoniques de Vodia sont conçus pour répondre à cette exigence.

Assurer la confidentialité avec les systèmes téléphoniques de Vodia : SOC 2 met l'accent sur la protection des informations sensibles contre toute divulgation non autorisée. Les organismes de services doivent mettre en place des politiques et des procédures pour protéger les données confidentielles, y compris les données des clients et la propriété intellectuelle.

Garantir la confidentialité avec les systèmes téléphoniques Vodia : SOC 2 inclut des contrôles de confidentialité pour assurer la conformité avec les réglementations applicables en matière de confidentialité et les engagements pris envers les individus concernant la collecte, l'utilisation, la conservation et la divulgation de leurs informations personnelles. Les organisations doivent établir et respecter des politiques et des pratiques de confidentialité qui protègent les données personnelles. Les systèmes téléphoniques de Vodia sont conçus pour répondre aux exigences de confidentialité des données.

Assurer la disponibilité des systèmes téléphoniques de Vodia : SOC 2 exige que les organisations de services s'assurent que leurs systèmes et services sont disponibles pour le fonctionnement et l'utilisation comme convenu avec leurs clients. Cela implique la mise en œuvre de mesures visant à prévenir les interruptions du système et à y répondre, y compris des plans de sauvegarde et de reprise après sinistre. Les systèmes téléphoniques de Vodia peuvent être exploités avec un profil de haute disponibilité.

Garantir l'intégrité du traitement : SOC 2 évalue l'exactitude, l'exhaustivité et l'actualité du traitement des données. Les organismes de services doivent mettre en place des contrôles pour garantir l'intégrité des données, y compris des mesures pour détecter et corriger les erreurs, rapprocher les données et maintenir leur exactitude.

SOC 2 est un cadre flexible, et les contrôles et exigences spécifiques peuvent varier en fonction de la nature du service fourni et des objectifs de l'organisme. Le rapport SOC 2, préparé par un auditeur indépendant, fournit une évaluation détaillée des contrôles mis en œuvre par l'organisme de services et de leur efficacité à atteindre les critères spécifiés.

4. Utilisation sécurisée du système

Les systèmes téléphoniques Vodia offrent des fonctionnalités qui répondent aux besoins quotidiens des utilisateurs finaux dans le cadre des processus commerciaux. Tous les paramètres par défaut se concentrent sur la collecte minimale de données. Les utilisateurs finaux peuvent activer des paramètres qui améliorent la collecte de données afin de faciliter les processus commerciaux.

L'utilisation du cadre d'intégration Vodia peut entraîner le transfert de données en dehors du système vers des tiers tels que des fournisseurs de services de gestion de la relation client (CRM) ou de facturation. L'utilisateur final doit s'assurer que ces transferts de données sont conformes au GDPR et à SOC 2.

La fonctionnalité d'enregistrement des communications peut être activée par les utilisateurs finaux si elle est activée par l'opérateur du système téléphonique. Les utilisateurs finaux sont responsables du respect des exigences légales en matière de stockage et de traitement des enregistrements de communication.

Pour permettre la facturation, l'opérateur du système téléphonique collecte des enregistrements de données d'appel pour le traitement de la facturation. Ces données doivent être traitées conformément aux réglementations nationales spécifiques. L'opérateur et le client sont responsables du respect de ces réglementations nationales.

Les systèmes téléphoniques en général sont sujets à la fraude. Les responsables du traitement des données et les contrôleurs sont tenus d'assurer une protection adéquate contre la fraude. Les systèmes Vodia sont conçus pour protéger contre la fraude s'ils sont configurés correctement.

Vodia fournit des informations sur la manière de configurer des paramètres de pare-feu sécurisés. La configuration du pare-feu approprié et sa surveillance relèvent de la responsabilité du responsable du traitement des données afin d'éviter tout accès non autorisé au système téléphonique.

Grâce à la fonctionnalité de surveillance des systèmes téléphoniques Vodia, les opérateurs et les utilisateurs finaux sont en mesure de collecter des données afin d'améliorer les schémas de communication, la disponibilité et la sécurité. Cette fonctionnalité est désactivée par défaut. L'utilisation de la fonctionnalité de surveillance conformément aux réglementations GDPR et SOC 2 doit être assurée par le responsable du traitement des données et le contrôleur des données.

Vodia fournit des services professionnels aux responsables du traitement des données (opérateurs) pour vérifier l'adéquation des configurations des systèmes téléphoniques Vodia.

5. Soutien à la certification

La certification GDPR n'est pas obligatoire mais, dans tous les cas, elle témoigne d'une prise de conscience des exigences commerciales sensibles et apporte de la crédibilité aux opérateurs de systèmes et aux clients. Pour les opérateurs et les clients dont l'activité est critique, elle peut être obligatoire. Vodia peut aider les opérateurs et les clients à prendre des mesures pour démontrer leur conformité au GDPR. Voici les actions que nous soutenons :

Évaluation de l'impact sur la protection des données (DPIA) : Si vous effectuez une DPIA pour identifier et évaluer les risques potentiels et les impacts associés à vos opérations PBX sur la vie privée et les droits de protection des données des individus, nous vous aidons à comprendre et à atténuer tout risque potentiel pour la vie privée.

Mettre en œuvre des politiques et des procédures conformes au GDPR : Si vous élaborez et mettez en œuvre des politiques et procédures complètes qui s'alignent sur les exigences du GDPR, y compris la protection des données, la réponse aux violations de données, les droits des personnes concernées, la gestion du consentement et les mesures de sécurité, nous pouvons vous fournir des informations pour vos tâches de documentation.

Bases légales pour le traitement : Identifier et documenter les bases légales du traitement des données personnelles dans le cadre du GDPR. Assurez-vous que vous disposez d'une base juridique valable pour le traitement des données à caractère personnel et que vous la communiquez aux personnes concernées.

Gestion du consentement : Si un processeur ou un contrôleur de données s'appuie sur des consentements comme base légale pour le traitement des données personnelles, un système de gestion des consentements doit être mis en place. Vodia peut soutenir l'intégration entre le système téléphonique et les systèmes de gestion des consentements afin d'obtenir le consentement explicite et éclairé des personnes et de leur fournir des options claires pour retirer leur consentement.

Mesures de sécurité des données : Mesures de sécurité techniques et organisationnelles appropriées pour protéger les données à caractère personnel traitées par le système téléphonique spécifique. Ces mesures comprennent le cryptage, les contrôles d'accès, les évaluations régulières de la sécurité et la formation des employés à la protection des données et à la sécurité. Vodia peut vous aider à réaliser ces tâches.

Droits des personnes concernées : Si vous souhaitez que des mécanismes soient mis en place pour faciliter l'exercice des droits des personnes concernées, tels que l'accès aux données personnelles, les demandes de rectification et d'effacement, et la gestion des objections au traitement des systèmes téléphoniques Vodia, en fournissant des interfaces appropriées et des services professionnels pour les intégrations.

Gestion des fournisseurs : Si un processeur de données ou un contrôleur de données utilise des fournisseurs tiers ou des sous-traitants, ils doivent s'assurer qu'ils sont également conformes au GDPR. Vodia fournit des services professionnels pour établir des accords de traitement des données qui définissent clairement les responsabilités et les obligations liées à la protection des données.

Réponse aux violations de données : En tant que responsable du traitement des données, vous devez élaborer et documenter des procédures de détection, d'enquête et de réponse aux violations de données. Les services professionnels de Vodia peuvent vous aider à mettre en œuvre un processus de notification des violations de données afin d'informer l'autorité de contrôle compétente et les personnes concernées dans les délais requis.

Documentation et archivage : Conservez une documentation complète de vos activités de traitement des données, de vos politiques, de vos procédures et de toutes les mesures prises pour garantir la conformité au GDPR. Cette documentation permet de démontrer votre responsabilité et vos efforts de conformité.

Bien que le GDPR ne prévoie pas de processus de certification, vous pouvez envisager d'obtenir des certifications de la part d'organismes ou d'organisations indépendants qui valident vos pratiques en matière de protection des données. Des certifications telles que ISO 27001 (gestion de la sécurité de l'information) ou SOC 2 (contrôle des systèmes et des organisations) peuvent fournir une assurance supplémentaire à vos clients et parties prenantes quant à votre engagement en matière de protection et de sécurité des données.

Vodia offre à ses partenaires et clients des certificats pour une configuration adéquate de la sécurité de leur système téléphonique Vodia. Demandez les services professionnels respectifs à sales@vodia.com

‍Vodia
offre des services professionnels aux partenaires, aux clients et aux organismes de certification pour recevoir ou délivrer des certificats GDPR ou SOC2. Demandez les services professionnels correspondants à sales@vodia.com