Politique de qualité, environnemental, de sécurité et de services TI

Politique de qualité

La direction générale de SATEC se juge responsable de garantir l’application de toutes les exigences légales et autres normes en vigueur à toutes les activités exercées au sein de l’organisation.

L’un des principaux objectifs de notre mission, est l’apport de produits et services de grande qualité, afin de satisfaire nos clients, mais aussi pour contribuer à leur évolution, efficacité et productivité.

Nous voulons assurer au marché d’excellents niveaux de qualité, grâce à l’amélioration constante des processus et des activités que nous développons au sein de notre organisation.

Nous savons pertinemment que pour être compétitifs, en augmentant par la même occasion la confiance que nos clients nous portent, nous devons convaincre nos fournisseurs que la qualité doit être présente dans toutes les activités et décisions de l’organisation, sans oublier que des facteurs tels que l’adaptation à l’usage, la présentation, le prix et les délais de livraison peuvent avoir une importance considérable dans la prestation du service ou de la livraison de la solution.

Nous impliquons notre personnel, en encourageant le talent, l’intégrité et le travail en équipe pour atteindre l’amélioration constante.

Offrir des solutions et des services innovateurs fait partie de notre objectif stratégique, à l’instar d’être une référence au sein de notre industrie et de notre communauté.

 

Politique environnementale

SATEC se consacre à la commercialisation d’équipements de télécommunications et services d’installation, maintenance et assistance technique de ces équipements, ainsi qu’à la prestation de service de sécurité en réseaux et au développement de projets de création de software.

Ainsi, la politique environnementale de SATEC s’est adaptée au fait que ses activités n’englobent pas la fabrication, la consommation de matières premières ni la génération de produits dérivés pu de résidus autres que ceux d’un bureau et d’un entrepôt destinés à leur vente.

SATEC souhaite affirmer son engagement en faveur de l’environnement, en établissant les principes constitutifs suivants de sa politique environnementale, qui visent à sensibiliser sur l’importance de la préservation de l’environnement, avec des actions et des campagnes qui permettent une utilisation efficace et responsable des ressources disponibles au sein de notre organisation, en respectant la norme en vigueur :

• Nous nous acquittons de nos obligations en garantissant que l’activité quotidienne est réalisée conformément à la loi et à la réglementation applicables et en vigueur, et à toutes les exigences dérivées des accords passés avec d’autres entreprises ou organismes.
• Nous garantissons l’amélioration constante du système et la prévention de la pollution par la révision fréquente et la mise à jour du système de gestion environnementale, l’obtention des objectifs, l’évaluation et l’identification des aspects et des risques environnementaux.
• Nous identifions l’éventuel impact environnemental, en encourageant l’utilisation efficace des ressources, en recyclant les matériaux, en réduisant les déchets, en favorisant l’usage rationnel et le gain d’énergie au sein de notre organisation.
• En divulguant le système de gestion environnemental à nos professionnels et en l’introduisant dans nos plans de formation, ainsi qu’en expliquant la politique, les procédés et la gestion environnementale de la compagnie, en plus d’encourager les bonnes pratiques aussi dans la vie privée de nos employés.
• En encourageant nos sous-traitants et fournisseurs à respecter eux aussi notre politique environnementale.

 

Politique de gestion de la sécurité de l’information.

La direction de SATEC est consciente de l’importance que revêt pour l’entité, un traitement de l’information correcte, afin d’obtenir un niveau optimum de qualité et de sécurité dans les services prêtés aux clients.

En outre, la direction s’engage à ce que l’organisation remplisse la loi en vigueur relative aux systèmes d’information de SATEC.

SATEC soutient, en grande mesure, sa ligne de marché vers les clients, avec le déploiement et le développement d’infrastructures et de services pour les systèmes d’information et les télécommunications. Cela convertit la sécurité en facteur indispensable au bon fonctionnement de l’entreprise.

Pour SATEC, un incident de sécurité implique des dommages tangibles évidents, comme peuvent l’être une perte d’information, de disponibilité du service ou d’implications légales, ainsi qu’un dommage considérable de l’image de l’entreprise.

En matière de sécurité de l’information, SATEC s’est fixé les objectifs suivants:

• Garantir la confidentialité de l’information traitée par SATEC.
• Protéger l’intégrité de l’information.
• Assurer la disponibilité des systèmes d’information.
• Protéger l’information contre les accès non autorisés.
• Favoriser la sensibilisation et la formation des employés en matière de sécurité de l’information.
• Assurer la réalisation des analyses du risque, afin d’évaluer les risques existants et de sélectionner les mesures de sécurité nécessaires en maintenant un équilibre adéquat entre le coût et le bénéfice.

 

Cette initiative a pour objectif principal de prêter les meilleurs services possibles et de maintenir la confiance placée dans celle-ci.

 

Politique de gestion des services de TI

La direction de la production de SATEC, consciente du compromis vis-à-vis de ses clients, priorise la quête de l’excellence en matière de prestation de ses services de TI, comme facteur distinctif.

En outre, la direction s’engage à ce que l’organisation remplisse toutes les conditions légales, normatives et contractuelles d’application des services prêtés par SATEC.

Dans le cadre d’un système global de gestion basé sur les processus, en considérant que ce cadre est celui qui nous place en meilleure position pour atteindre nos objectifs, nous établissons les principes suivants, en espérant qu’ils seront appliqués rigoureusement, avec l’implication et l’effort de toutes les personnes qui participent aux services de TI de SATEC:

• Compromis vis-à-vis des clients: la quête constante, le respect des expectatives de nos clients et une plus grande maîtrise de leurs besoins, afin de consolider notre relation et augmenter leur satisfaction.
• Amélioration de la productivité et de la qualité du service: augmenter notre rendement, par le biais d’une gestion des processus et de moyens toujours plus efficaces, en impliquant nos collaborateurs sur la voie de l’amélioration constante du service.
• Promotion du talent: encourager le talent des personnes qui font partie de l’équipe de SATEC, en motivant le développement de capacités pour augmenter leur implication et leur satisfaction.
• Promotion du travail en équipe: encourager le travail en équipe et renforcer la communication interne entre les différents départements de l’organisation.
• Excellence opérationnelle: travailler au quotidien sur l’amélioration opérationnelle pour atteindre les niveaux de service établis, en remplissant rigoureusement les critères indiqués dans le manuel de gestion et dans le reste des documents associés et les normes applicables.
• Innovation: renforcer l’innovation des processus, des moyens et des technologies, de façon à pouvoir anticiper les besoins de nos clients, en contribuant à leur évolution, efficacité et productivité.
• Amélioration constante: fixer comme objectif une amélioration constante du service prêté, en s’assurant qu’au travers des métriques, des révisions externes et internes, nous identifions régulièrement les actions d’amélioration qui nous conduisent à l’excellence en matière de gestion de nos services.

Mission et objectifs de SATEC en matière de sécurité de l’information

Agissant au nom de la direction de SATEC, Teresa Taubmann Urquijo, directrice générale de SATEC, est très sensible à l’importance que revêt pour l’entreprise un traitement adéquat de l’information pour arriver à un niveau optimal de qualité, de sécurité, de disponibilité et de continuité dans les prestations de services à ses clients. L’activité de SATEC repose principalement sur la mise en place et le développement d’infrastructures et sur des services pour les systèmes d’information et les télécommunications.

Un incident de sécurité peut causer de réels dommages à SATEC comme une perte d’information, une indisponibilité du service ou des répercussions juridiques, ainsi que des dégâts considérables pour l’image de l’entreprise. La sécurité est une préoccupation fondamentale pour le bon fonctionnement de l’entreprise.

 

Objectifs de la politique de sécurité de l’information

En matière de sécurité de l’information, SATEC a pour objectifs :

• D’assurer la confidentialité de l’information traitée par SATEC.
• De protéger l’intégrité de l’information dans tous ses domaines d’application lors des prestations de services.
• D’assurer la disponibilité des systèmes d’information sur lesquels sont fondés les services fournis aux clients.
• De vérifier et d’assurer l’authenticité des émetteurs et des récepteurs de l’information.
• De garantir la traçabilité et le suivi des activités et de l’information lors des prestations de services.
• De gérer la sécurité de l’information durant tout le cycle de vie de la prestation.
• D’assurer la réalisation d’analyse des risques pour évaluer les risques existants et sélectionner les mesures de sécurité nécessaires en maintenant un bon rapport coût/bénéfice.
• D’appliquer des mesures de sécurité axées sur la prévention de possibles incidents, d’erreurs ou d’attaques délibérées.
• D’instaurer une gestion efficace des événements et des incidents de sécurité pour minimiser l’impact ou tout dommage collatéral, réagir à temps et en respectant les exigences contractuelles et juridiques, tout en assurant la disponibilité et la continuité de la prestation de service. Des procédures seront établies concernant la prévention, la détection, la réponse et la récupération adéquates pour faire face à tout incident de sécurité.
• De protéger l’information lors d’accès non autorisé, ainsi que de mettre en place les moyens techniques nécessaires pour assurer les lignes de défense exigibles.
• D’encourager la sensibilisation et la formation du personnel sur la sécurité de l’information.
• D’assurer une amélioration continue grâce aux révisions régulières réalisées pour la surveillance, l’audit et le suivi des plans d’amélioration.

 

Cadre législatif et réglementaire

• Loi 34/2002 du 11 juillet sur les services de la société de l’information et du commerce électronique (LSSI-CE). (BOE 166 du 12/07/2002).
• Loi organique 3/2018 du 5 décembre sur la protection des données personnelles et la garantie des droits numériques (BOE 294 du 06/12/2018).
• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et de la libre circulation de ces données, RGPD.
• Décret royal 951/2015 du 23 octobre de modification du décret royal 3/2010 du 8 janvier, qui réglemente le Régime National de Sécurité dans le domaine de l’administration en ligne.
• Décret royal législatif 1/1996 du 12 avril relatif à l’adoption du texte révisé de la loi sur la propriété intellectuelle (LPI), la réglementation, la clarification et l’harmonisation des dispositions en vigueur en la matière. (BOE 97 du 22/04/1996).
• Décret royal 28/2003 du 7 mars relatif à l’adoption du règlement sur le registre central de la propriété intellectuelle (BOE 75 28/03/03). Applicable à tout enregistrement de propriété intellectuelle (d’après le décret royal législatif 1/1996 du 12 avril).
• Loi organique 10/1995 du 23 novembre du code pénal, modifiée le 19/10/2015. Article 31 bis et les suivants.
• Loi 23/2006 du 7 juillet modifiant le texte révisé de la loi sur la propriété intellectuelle, approuvée par le décret royal législatif 1/1996 du 12 avril (LPI). (BOE 162 du 08/07/2006). Loi qui modifie le décret royal législatif 1/1996 du 12 avril.
• Loi 25/2013 sur la mise en place de la facture électronique et la création du registre comptable pour les factures du secteur public et son développement. (BOE 311 du 28/12/2013). Applicable aux services fournis aux administrations publiques.
• Loi 17/2001 du 7 décembre sur les marques. (BOE 294 du 08/12/2001). Applicable à toute protection des signes distinctifs, marques et noms commerciaux de SATEC.
• Loi 24/2015 du 24 juillet sur les brevets. (BOE 177 du 25/07/2015). Applicable à la protection des propriétés industrielles.

Organisation de la sécurité

Coordination de la sécurité de l’information :

Responsable de l’information

Le responsable de l’information est le responsable, dans son champ d’application, de :

• Déterminer les besoins et normes de sécurité de l’information traitée.
• Surveiller l’utilisation adéquate de l’information et sa protection.

Ce dernier ne pourra pas déléguer l’approbation des niveaux de sécurité de l’information.

Ils seront déterminés par la direction générale en fonction de la nature de l’information.

 

Chef de service

Le chef de service est le responsable, dans son champ d’application, de :

• Déterminer les exigences de sécurité du service fourni.
• Inclure les spécificités de sécurité dans le cycle de vie des services et des systèmes, avec les mécanismes de contrôle correspondants.
• S’assurer que s’appliquent les procédures et les politiques définies.

Ce dernier ne pourra pas déléguer l’approbation des niveaux de sécurité du service.

Ils seront déterminés par la direction de production en fonction de la nature des services.

 

Responsable du système de gestion de la sécurité

SATEC compte parmi ses employés un responsable du système de gestion de la sécurité (responsable du SGSI) qui est en charge de surveiller et de coordonner tout ce qui se rapporte à la sécurité, de veiller au respect et à la conformité des mesures de sécurité existantes, en plus de proposer et d’effectuer des améliorations pour s’aligner sur la politique de sécurité, les règles et les procédures existantes, en s’appuyant sur les améliorations, les politiques, les règles et les procédures qui sont établies dans le système de gestion général.

Ce dernier peut compter sur :

• Un responsable technique de sécurité dans chaque délégation, qui identifiera, analysera et résoudra toute question technique en lien avec la sécurité.
• Un responsable de la sécurité physique dépendant des services généraux.
• Les chefs de service.
• Les responsables de l’information.
• Les responsables de système.
• Un comité de gestion de la sécurité qui disposera d’une autorité suffisante pour prendre des décisions au niveau organisationnel, décisions qui permettront de garantir la sécurité. Ce comité sera intégré dans le comité du SGSIT. Le comité est composé de façon non-exclusive au moins des membres suivants :
  • Le responsable de sécurité.
  • Le responsable technique de sécurité.
  • Le chef de service (qui en plus représente les responsables de l’information).

 

Les principales fonctions du responsable de sécurité consistent en :

• Recommander des actions d’amélioration, de prévention et/ou de correction pour résoudre les problèmes détectés et informer le responsable du SG quant à sa gestion.
• Assurer la mise en place des actions définies concernant les améliorations, les objectifs, les actions préventives et correctives, les vulnérabilités détectées et surveiller la bonne exécution des actions.
• Déterminer la gestion des incidents de sécurité.
• Etablir et maintenir des contacts avec les ressources ou des sources externes pour la sécurité.
• Evaluer les changements des actifs et des structures de base, en analysant leurs impacts sur la sécurité avec l’aide du responsable technique de sécurité.
• Créer la structure documentaire du SGSI du département des services de SATEC.
• S’assurer de la mise en place du SGSI dans SATEC et de sa maintenance dans le temps, en collaboration avec le responsable du SG.
• Disposer d’informations concernant l’avancée de la mise en place du SGSI dans le département des services de SATEC et proposer des solutions d’amélioration à partir de :
  • Non-conformités.
  • Actions correctives.
  • Résultats de l’analyse des risques.
  • Audits internes.
  • Incidents de sécurité.
• Enregistrer les besoins d’amélioration du SGSI, assigner un responsable de solution et effectuer le suivi.
• Clore les actions correctives et préventives du SGSI, en coordination avec le responsable du SG.
• Enregistrer l’avancée des actions correctives et préventives du SGSI.
• Vérifier et contrôler l’analyse des risques et sa gestion.
• Assurer la gestion correcte des ressources, en coordination avec la direction, en ce qui concerne le SGSI du département des services de SATEC.
• Assurer la sécurité de l’infrastructure nécessaire pour le fonctionnement des services IT du département des services de SATEC et les accès physiques.
• Disposer d’informations sur la gestion des communications et des opérations des équipes et des systèmes nécessaires pour le fonctionnement des services IT du département des services de SATEC.
• Être informé sur tout ce qui concerne la gestion des accès aux systèmes du département des services de SATEC.
• Disposer d’informations et participer à l’achat, au développement et à la maintenance des systèmes du département des services de SATEC.
• Déterminer les mécanismes appropriés pour la gestion des incidents de sécurité dans le département des services de SATEC.
• Définir les procédures et les plans pour assurer la continuité commerciale du département des services de SATEC.
• Assurer la conformité technique et légale du SGSI du département des services de SATEC.
• Convoquer les réunions du comité opérationnel de sécurité chaque fois que leur analyse et leurs connaissances sont requises pour toute tâche en lien avec la sécurité.

 

Responsable de système

Le responsable de système est le responsable de l’opération du système d’information, en tenant compte des mesures de sécurité déterminées par le responsable de sécurité et le responsable technique de sécurité.

Les principales fonctions du responsable de système consistent en :

• Développer, exploiter et maintenir le système d’information durant tout son cycle de vie ; de la définition des spécifications à la mise en place et la vérification de son bon fonctionnement.
• Définir la topologie et la gestion du système ; pour cela, il définira les critères d’utilisation et les services du système d’information.
• S’assurer, avec le responsable de sécurité et le responsable technique de sécurité, que les mesures de sécurité sont bien conformes au cadre de sécurité de l’entreprise.

Comité de gestion de la sécurité

Ses principales fonctions sont :

• Faire des rapports au comité de gestion, à la direction et au comité de direction si besoin est.
• Elaborer la politique de sécurité de SATEC et les normes de sécurité.
• Elaborer les procédures de sécurité.
• Informer la direction sur la gestion de la sécurité de l’information.
• Etablir les critères d’acceptation des risques et obtenir l’accord préalable pour les stratégies d’atténuation des risques qui devront être approuvées en dernier lieu par la direction des services.
• Coordonner l’analyse des risques, les plans d’urgence et de recouvrement de service.
• Développer des objectifs et des stratégies de sécurité à moyen et à long terme.
• Elaborer annuellement un plan de gestion de la sécurité en mentionnant les ressources correspondantes pour le soumettre à l’approbation de la direction.
• Suivi des accords de la dernière réunion de revue de la direction du SGSI du département des services de SATEC.
• Analyse des audits internes réalisés.
• Analyse de l’avancée des actions préventives et des actions correctives, en vérifiant que ces dernières sont réalisées dans un laps de temps approprié.
• Analyse de l’évolution et de la réalisation des objectifs de sécurité.
• Assurer la communication avec tout le personnel sur l’importance de connaître les objectifs de sécurité en conformité avec les normes de sécurité et leurs responsabilités.
• Analyse de la conformité avec les règles et les procédures de sécurité du SGSI et de leur validité. D’éventuelles modifications sont étudiées ; sinon, les objectifs souhaités se poursuivent.
• Revoir les conclusions de la correction du SGSI et les actions correctives et/ou préventives qui seraient nécessaires pour répondre aux besoins rencontrés, en désignant les responsables de leur mise en œuvre et les délais à respecter.

 

 

Procédure de répartition des responsabilités

La direction des services sera responsable de répartir les responsabilités en matière de sécurité pour le département des services et d’établir la liste des personnes propriétaires de l’information, ainsi que des personnes autorisées à mobiliser les ressources et à accorder les permis.

 

Formation et sensibilisation

La direction de SATEC s’engage à faciliter l’accès aux ressources nécessaires à une formation et une sensibilisation adéquates en matière de sécurité pour tous les employés de SATEC, en fonction des rôles et responsabilités de chacun en lien avec ce sujet.

De même, des mises à jour des connaissances nécessaires seront assurées pour les responsables de sécurité, de l’information et des systèmes d’information.

 

Gestion des risques

Tous les systèmes d’information et tous les éléments nécessaires aux prestations de services soumis à cette politique devront faire l’objet d’une analyse des risques, en évaluant les menaces et risques auxquels ils sont exposés.

Concernant sa fréquence, cette analyse des risques sera réalisée :

• Au moins une fois par an.
• Lorsque l’information traitée change.
• Lorsque les services ou le système de sécurité de l’information évoluent.
• Lorsque survient un incident de sécurité grave.
• Lorsque des vulnérabilités graves sont signalées.

En ce qui concerne la traçabilité des analyses des risques, le comité de sécurité établira une évaluation de référence pour les différents types d’informations traitées et les différents services fournis. La direction des services veillera à la disponibilité des ressources pour répondre aux besoins de sécurité des différents systèmes, en fonction du rapport coût/bénéfice.

 

Données à caractère personnel

La direction de SATEC est consciente de l’importance d’avoir un traitement approprié de l’information pour arriver à proposer aujourd’hui un service client optimal. Il existe notamment des données nécessaires au développement des activités de SATEC qui relèvent de la définition juridique des données à caractère personnel, au sujet desquelles une attention particulière doit être apportée pour leur collecte, leur traitement, leur mise à jour et leur destruction.

Le registre des activités de traitement auquel seules les personnes autorisées auront accès comprend les fichiers concernés et les responsables correspondants. Tous les systèmes d’information de SATEC seront ajustés aux niveaux de sécurité en fonction de la classification de l’information et des exigences réglementaires sur la nature et la finalité des données personnelles collectées dans le registre de traitement des données personnelles susmentionné.

 

Tiers

Dans le cas où SATEC fournit des services à d’autres entreprises ou traite des données et des informations provenant d’autres organisations, celles-ci seront communiquées et inclues dans cette politique de sécurité, en établissant les canaux de communication nécessaires, ainsi que la définition des plans d’action face à des pertes accidentelles de service ou des incidents de sécurité.

De même, dans le cas où SATEC a besoin des services de tiers ou transmet des informations, les exigences applicables et envisagées dans cette politique et dans les procédures et politiques qui la constituent leur seront communiquées, les tiers étant soumis aux obligations établies dans le présent règlement. Dans tous les cas, la connaissance et la sensibilisation des employés pouvant être impliqués dans la prestation de services doivent être assurées.

 

Obligations du personnel

La direction de SATEC énonce expressément sa connaissance et son approbation de la politique, ainsi que tout ce qui s’y rapporte, afin que les employés la connaissent et la prennent en compte dans le cadre de leurs fonctions.

 

Elaboration et revue de la politique

Cette politique figure dans le manuel des politiques du SGSI, ainsi que dans les différentes procédures de sécurité établies par SATEC.

La conformité de cette politique sera réexaminée au moins une fois par an lors de la revue de la direction