carVertical

Politique de sécurité de l’information

1. La politique de sécurité de l’information (ci-après dénommée « Politique ») est le document principal du système de gestion de la sécurité de l’information (ci-après dénommé « SGSI ») de UAB cV Group (ci-après dénommée « cV Group » ou « Société »). Les parties concernées par les informations de cV Group peuvent consulter les documents SGSI et (ou) certaines parties de ceux-ci.

2. L’objectif de cette Politique est d’exposer la position de la direction de cV Group sur les questions de sécurité de l’information et de protéger toutes les informations orales, écrites et électroniques reçues, envoyées, créées, gérées et utilisées par cV Group contre toutes les menaces possibles : externes, internes, intentionnelles ou accidentelles pouvant avoir un impact sur l’activité et la réputation de cV Group.

3. Afin de mettre en œuvre les objectifs du SGSI, les finalités suivantes sont fixées en matière de sécurité de l'information :

  • garantir et gérer la sécurité de l’information, en tenant compte des objectifs stratégiques de cV Group visant à fournir les services de la Société ;
  • garantir et gérer la conformité aux exigences externes et internes en matière de sécurité de l’information en effectuant des évaluations de conformité régulières et en éliminant les non-conformités identifiées ;
  • garantir la résolution des violations de la sécurité de l’information et l’élimination de leurs causes, et mettre en œuvre la gestion des incidents de sécurité de l’information ;
  • garantir un choix et une mise en œuvre appropriés des mesures de sécurité et de traitement de l’information dans le cadre de l’évaluation annuelle des risques et de la mise en œuvre des mesures de sécurité de l’information nécessaires ;
  • garantir l’efficacité des mesures de sécurité de l’information appliquées ;
  • garantir la pertinence du plan de gestion de la continuité des activités en le révisant et le testant régulièrement.

4. Les informations sont un actif stratégiquement important pour cV Group, leur perte, leur modification illicite, la violation de leur confidentialité, de leur intégrité ou de leur accessibilité, leur divulgation ou l’interruption de leur traitement peuvent perturber l’activité de cV Group. C’est pourquoi la présente politique de gestion de la sécurité de l’information établit les lignes directrices fondamentales que tous les employés de cV Groupe, sous-traitants et autres parties liées qui font affaires avec cV Group doivent respecter.

5. La politique de gestion de la sécurité de l’information s'applique à tous les processus de l’activité de cV Group liés aux services fournis et englobe les informations orales et écrites, les systèmes d’information, les réseaux informatiques, l’environnement physique, l’environnement virtuel, les employés, les parties liées, les partenaires, les sous-traitants ou autres personnes travaillant chez cV Group, y compris les employés travaillant pour des tiers et ceux qui traitent légalement les informations de cV Group.

6. La sécurité de l’information comprend trois aspects principaux :

  • confidentialité des informations – protection des informations contre une divulgation non autorisée ;
  • intégrité des informations – protection des informations contre des modifications non autorisées ou accidentelles ;
  • accessibilité des informations – garantir que les informations sont accessibles lorsqu'elles sont nécessaires à la bonne exécution des activités de cV Group.

7. L’objectif des règles et des exigences est de :

  • protéger les actifs informationnels, y compris les données clients reçues de diverses sources et de tiers, ce qui englobe la confidentialité, l’intégrité, l’accessibilité et des aspects à la fois matériels (par exemple, ordinateurs et appareils de communication, locaux, etc.) et immatériels (par exemple, réputation, image) ;
  • définir la responsabilité pour la sécurité de l’information ;
  • fournir les références aux documents de sécurité qui constituent le système de gestion de la sécurité de l’information.

8. Les documents SGSI doivent être révisés au moins une fois par an.

9. La mise en œuvre des exigences en matière de sécurité de l'information de CV Group est assurée et gérée grâce à une planification, une mise en œuvre, une évaluation et une amélioration cohérentes du SGSI, conformément aux exigences de la norme ISO/IEC 27001 (ainsi que ses dernières versions).

10. La certification du SGSI de cV Group couvre tous les produits des technologies de l'information et les projets connexes réalisés au sein de ce groupe d’entreprises.

11. La gestion de la sécurité de l’information de cV Group est basée sur la gestion des risques. L’évaluation des risques liés à la sécurité de l’information permet de garantir que les mesures de gestion de la sécurité de l’information mises en œuvre dans le cadre des activités de cV Group permettent d’atteindre les principaux objectifs de cV Group en matière d’activité et de sécurité de l’information.

12. Les risques liés à la sécurité de l'information chez cV Group sont évalués chaque année civile conformément à la politique d'évaluation des risques approuvée. Lors de l'évaluation des risques liés à la sécurité de l'information, la situation de la Société doit être examinée.

13. La présente Politique s'applique également à carVertical OÜ qui applique les exigences décrites dans la Politique à l’égard des tiers.