Suivez nous sur Twitter

/// Audit données personnelles

En quoi consiste un audit de données personnelles

Une déclaration sur l’honneur de l’audité: L’audité s’engage à déclarer au moins tout les 4 mois, quelles sont les données personnelles qui transitent par son SI et plus précisement quelles sont les mesures de sécurité mises en place pour en assurer la sécurité.

Un formulaire, à télécharger sur le site du projet 6ix Secured, guide l’audité et lui permet de quantifier et qualifier quelles sont les données sensibles qui devront faire l’objet d’une attention particulière.

A titre d’exemples, email, nom, prénom, ip, historiques des commandes font bien entendu parties des informations entrant dans le périmètre de cette prestation.

Un contrôle technique

Le contrôle réalisé porte sur les mécanismes de sécurité mis en place par l’audité, qui visent à protéger les données personnelles qu’il stocke.

Deux méthodes de contrôle sont préconisées :
Test d’intrusion
L’objectif de ce contrôle est de détecter des vulnérabilités ou incohérence accessible par un utilisateur malveillant positionné sur Internet.

La démarche de tests consiste en un:

  • Parcours (crawler) exhaustif de l’ensemble des ressources du site : pages de contenu, pages d’erreur, scripts, feuilles de style, etc.
  • Relevé des versions des logiciels : serveur web, base de données, webservices.
  • Relevé d’informations sensibles : table de base de données, mots de passe éventuels, etc.
  • Relevé de l’ensemble des paramètres passés aux différentes fonctions : formulaires, références, etc.

 

D’après les informations relevées précédemment :

  • Tentative d’Injection de script,
  • Tentative d’Injection de code,
  • Tentative d’Injection SQL (en mode « aveugle » si aucune information n’a été trouvée précédemment),
  • Sortie d’arborescence,
  • Etc…

Les tests menés porteront sur l’application et l’infrastructure.
Audit de code source.
L’objectif de l’analyse du code source est de détecter des erreurs de conception et/ ou de développement qui causeraient des vulnérabilités potentiellement exploitables par un attaquant.

Le sceau de confiance 6ix Secured.

Le sceau de confiance 6ix Secured est un sceau de transparence sur la sensibilité de l’audité à la sécurité de son système d’information vis à vis des données personnelles dont il a la responsabilité. Son but est d’aider à distinguer les sites les plus fiables en termes de sécurité, en affichant leurs performances, obtenues à l’issue des tests de sécurité réalisés.

Nos prestations sont bien entendu limitées aux seuls sites auxquels nous avons délivré notre logo.

La certification d’un site n’est valable que si celui-ci dispose du sceau de confiance 6ix Secured et que celui-ci existe dans les références présentées sur le site 6ix IT.


Nous contacter

/// Twitter Feed

Find out what's happening, right now, with the people and organizations you care about.

Copyright 2012-2013 © 6ix IT