Politique de sécurité des renseignements et de sécurité informatique du Centre de Yoga Sainte-Foy inc.

Version du 22 janvier 2025 – en processus d’approbation par le conseil d’administration

1. Introduction

Le Centre de Yoga Sainte-Foy inc., un organisme sans but lucratif, s’engage à protéger les renseignements personnels, financiers et médicaux de ses membres et de ses utilisateurs. Cette politique établit les protocoles nécessaires pour assurer la sécurité informatique et le respect des données sensibles, tout en tenant compte de la réalité opérationnelle d’un centre sans service RH ni service TI.

2. Portée

Cette politique s’applique à tous les employés, bénévoles, fournisseurs de services, sous-traitants et utilisateurs des systèmes du Centre. Elle couvre tous les appareils, réseaux, plateformes (dont la plateforme de réservation, Mailchimp et OneDrive), ainsi que l’infrastructure physique et numérique.

3. Politique de sécurité des renseignements personnels, financiers et médicaux

Le Centre de Yoga Sainte-Foy inc. s’engage à respecter la confidentialité de ses clients et à protéger toutes les données personnelles, financières et médicales, y compris les renseignements de titulaire de carte, conformément aux meilleures pratiques de sécurité. À cet effet :

  • Engagement de la direction :
  • La direction s’assure de maintenir un environnement sécurisé pour traiter les données sensibles, respectant ainsi les attentes des clients et des tiers.
  • Les renseignements collectés (personnels, financiers, médicaux) ne seront utilisés que dans le cadre des activités du Centre et seront protégés par des outils sécurisés comme Mailchimp et la plateforme de réservation.
  • Les données de carte de crédit ne sont ni stockées ni accessibles localement. Toute transaction est gérée par des services tiers certifiés conformes à la norme PCI DSS.
  • Les renseignements médicaux sont collectés uniquement avec le consentement explicite des utilisateurs et stockés de manière sécurisée sur des plateformes conformes.
  • Responsabilités des employés et prestataires :
    • Gérer les renseignements du Centre de Yoga Sainte-Foy inc. et de titulaire de carte de manière appropriée selon leur degré de sensibilité.
    • Restreindre l’usage des données et systèmes de télécommunication pour éviter toute interférence avec les responsabilités professionnelles.
    • Ne jamais utiliser les ressources numériques (courriels, Internet, systèmes) pour des activités offensantes, illégales, discriminatoires ou inappropriées.
    • Ne jamais divulguer de renseignements personnels ou de titulaire de carte sans autorisation préalable.
    • Protéger activement les données sensibles en respectant les normes de sécurité établies.
  • Utilisation des équipements et systèmes :
    • Conservez les mots de passe et comptes en toute sécurité.
    • Demandez l’approbation de la direction avant d’installer un matériel ou logiciel, ou de créer des connexions avec des tiers.
    • N’installez aucun équipement ou logiciel non autorisé, y compris des modems ou des points d’accès sans fil.
  • Sécurité au bureau et dans les systèmes :
    • Maintenez un bureau dégagé de tout renseignement sensible (« clean desk policy »).
    • Verrouillez les écrans des ordinateurs lorsqu’ils sont laissés sans surveillance.
    • Surveillez les systèmes, équipements et trafic réseau pour détecter tout usage inapproprié.


  • Signalement des incidents :
    • Tout incident lié à la sécurité des renseignements doit être signalé immédiatement à la personne responsable de la réponse aux incidents. Les employés doivent connaître ce point de contact.
  • Responsabilité collective :
    Tous les utilisateurs des systèmes ont la responsabilité de protéger les données et systèmes contre tout accès non autorisé ou usage inapproprié. En cas de doute concernant une politique, les employés sont tenus de demander conseil à leur gestionnaire ou à la direction.

En appliquant ces mesures, le Centre de Yoga Sainte-Foy inc. garantit que les données de ses clients et partenaires sont protégées de manière rigoureuse et respectueuse.

4. Politique d’utilisation acceptable

Le Centre de Yoga Sainte-Foy inc. valorise une culture d’ouverture, de confiance et d’intégrité. Cette politique vise à protéger les employés, prestataires, partenaires et l’organisation elle-même contre les actions illégales ou dommageables, tout en maintenant un environnement respectueux des principes du Centre.

Principes généraux

  • Les employés et prestataires doivent exercer un bon jugement pour évaluer le caractère raisonnable de tout usage personnel des technologies fournies.
  • L’usage des ressources numériques ne doit pas compromettre la sécurité des données ni les activités professionnelles du Centre.

Responsabilités des utilisateurs

  • Authentification et accès sécurisé :
    • Utilisez les identifiants fournis de manière exclusive et sécurisée.
    • Les mots de passe doivent rester confidentiels et ne doivent pas être partagés.
    • Toute personne autorisée est responsable de la sécurité de ses comptes et mots de passe.
  • Protection des données sensibles :
    • Prenez toutes les précautions nécessaires pour empêcher un accès non autorisé aux données confidentielles, y compris les données de titulaire de carte.
    • Les dispositifs sensibles (terminaux de point de vente, dispositifs de saisie de PIN) doivent être sécurisés contre les altérations et les manipulations.
  • Configuration des équipements :
    • Les technologies et dispositifs doivent être utilisés dans des emplacements approuvés du réseau.
    • Les ordinateurs doivent être protégés par des économiseurs d’écran verrouillables avec activation automatique.
  • Usage des courriels et d’Internet :
    • Les courriels envoyés depuis une adresse du Centre doivent inclure une clause de non-responsabilité indiquant que les opinions exprimées n’engagent pas nécessairement le Centre, sauf dans un cadre officiel.
    • Soyez prudents avec les pièces jointes provenant d’expéditeurs inconnus pour éviter les virus ou logiciels malveillants.
  • Protection des ordinateurs portatifs :
    • Étant donné la vulnérabilité accrue des ordinateurs portatifs, ils doivent bénéficier d’une protection particulière, notamment par chiffrement ou stockage sécurisé.

Engagement de la direction

  • Une liste approuvée des technologies, dispositifs et utilisateurs autorisés sera tenue à jour et communiquée à tout le personnel concerné (détails à l’Annexe B).
  • La direction surveillera et contrôlera l’utilisation des technologies pour s’assurer de leur conformité avec cette politique.

En appliquant cette politique, Le Centre de Yoga Sainte-Foy inc. garantit un usage responsable et sécurisé des ressources technologiques au service de ses activités.

5. Mesures disciplinaires

  • Toute violation de cette politique entraînera des mesures disciplinaires pouvant inclure un avertissement écrit, une suspension ou une cessation de la collaboration. Toute allégation d’ignorance, de bonnes intentions ou d’utilisation d’un piètre jugement ne pourra être utilisée pour justifier la non-conformité.

6. Protection des données stockées

Le Centre de Yoga Sainte-Foy inc. s’engage à protéger toutes les données sensibles, notamment celles des titulaires de carte, contre toute utilisation interdite ou non autorisée.

  • Principes de protection des données sensibles
    • Les données de titulaire de carte doivent être stockées uniquement lorsqu’elles sont nécessaires pour des motifs commerciaux légitimes et doivent être éliminées de manière sécurisée dès qu’elles ne sont plus nécessaires. Cette élimination doit rendre les données irrécupérables.
    • Les données sensibles doivent être protégées à tout moment par des mécanismes de sécurité robustes, tels que le chiffrement et des systèmes d’accès restreints.
  • Stockage strictement interdit Il est formellement interdit de stocker les éléments suivants, sous quelque forme ou sur quelque support que ce soit :
    • Le contenu de la bande magnétique (données de suivi) d’une carte.
    • La valeur ou le code de vérification de la carte (CVV ou CVC), les trois ou quatre chiffres figurant au dos de la carte.
    • Le PIN ou le bloc PIN encodé, dans toutes les circonstances.
  • Responsabilité et conformité
    • Tous les employés et prestataires sont responsables de la gestion sécurisée des données de titulaire de carte auxquelles ils ont accès.
    • Toute non-conformité à ces règles sera considérée comme une violation grave de la politique de sécurité du Centre.
    • En respectant ces mesures, le Centre de Yoga Sainte-Foy inc. assure une gestion rigoureuse et sécurisée des données sensibles, conformément aux meilleures pratiques et aux exigences des normes de sécurité.
  • Une sauvegarde mensuelle sera effectuée pour les fichiers critiques et l’ensemble des fichiers et données.

7. Classification des renseignements

  • Renseignements publics : Informations promotionnelles (cours, événements).
  • Renseignements internes : Rapports administratifs, listes de membres.
  • Renseignements sensibles : Données personnelles et médicales.
  • Les données confidentielles peuvent comprendre des fonds de renseignements pour lesquels il existe des exigences juridiques visant à prévenir la divulgation, ou des sanctions financières pour toute divulgation, ou de données qui entraîneraient de sérieux préjudices à Le Centre de Yoga Sainte-Foy inc. si elles étaient divulguées ou modifiées. Les données confidentielles comprennent les données de titulaire de carte.


8. Accès aux données de titulaire de carte sensibles

Le Centre de Yoga Sainte-Foy inc. veille à ce que l’accès aux données de titulaire de carte sensibles soit strictement contrôlé, autorisé et limité aux besoins professionnels légitimes.

Contrôle d’accès

  • L’accès aux données de titulaire de carte est réservé exclusivement aux fonctions professionnelles clairement définies nécessitant cet accès.
  • Seuls les employés ayant un véritable besoin commercial peuvent accéder à ces données, et cela uniquement dans le cadre de leur rôle.
  • Les droits d’accès accordés aux utilisateurs privilégiés sont limités aux privilèges minimaux nécessaires pour accomplir leur travail.

Affichage des données de carte

  • Toute visualisation des données de titulaire de carte doit être restreinte aux six premiers chiffres et aux quatre derniers chiffres uniquement.

Contrôle d’accès basé sur les rôles

  • Les privilèges d’accès sont attribués en fonction de la classe d’emploi et des fonctions spécifiques (contrôle d’accès fondé sur le rôle).

Partage des données avec des tiers

  • Une liste à jour des fournisseurs de services ayant accès aux données de titulaire de carte est tenue comme mentionné à l’Annexe B.
  • Avant de collaborer avec un fournisseur, une diligence raisonnable est effectuée pour évaluer sa conformité et sa fiabilité.
  • Une entente écrite est conclue, exigeant que le fournisseur reconnaisse et assume la responsabilité des données de titulaire de carte qu’il gère.
  • Un processus est en place pour surveiller la conformité du fournisseur aux normes PCI DSS (normes de sécurité des données des cartes de paiement).

En appliquant ces mesures, le Centre de Yoga Sainte-Foy inc. garantit une gestion rigoureuse, sécurisée et conforme des accès aux données de titulaire de carte sensibles, renforçant ainsi la confiance des clients et partenaires.

9. Sécurité physique

Le Centre de Yoga Sainte-Foy inc. ne dispose pas actuellement de terminaux de point de vente (PDV) mais met en place un cadre robuste pour protéger les renseignements sensibles. Ces mesures s’appliquent aux données sous format papier ou numérique et visent à prévenir tout accès non autorisé.

Protection des renseignements sensibles

  • L’accès aux informations confidentielles est physiquement restreint aux personnes autorisées. Les documents papier doivent être conservés dans des espaces sécurisés (armoires verrouillées, bureaux fermés).
  • Les équipements numériques doivent être placés et utilisés dans des emplacements protégés contre un accès non autorisé.

Responsabilités des employés et prestataires

  • Les employés et prestataires doivent utiliser des authentifiants valides et être authentifiés avant d’accéder aux technologies.
  • Ils doivent prendre toutes les mesures nécessaires pour empêcher un accès non autorisé, notamment en sécurisant leurs mots de passe et en verrouillant leurs écrans lorsqu’ils quittent leur poste.
  • Les supports contenant des données sensibles doivent être manipulés et distribués de manière sécurisée, par des personnes de confiance.

Gestion des visiteurs et sécurité des lieux

  • Les visiteurs doivent être accompagnés par un employé ou un prestataire autorisé lorsqu’ils se trouvent dans des zones contenant des données sensibles.
  • Le bureau administratif sera sécurisé par une serrure et verrouillé en l’absence du personnel ou des prestataires.

Dispositifs de PDV (cadre anticipé)

Bien que le Centre ne dispose pas actuellement de dispositifs de PDV, les directives suivantes seront appliquées si ces dispositifs sont introduits :

  • Une liste à jour des dispositifs de PDV sera tenue, incluant la marque, le modèle, le numéro de série ou un identifiant unique, et l’emplacement.
  • Les surfaces des dispositifs de PDV seront régulièrement inspectées pour détecter toute modification ou substitution.
  • Le personnel manipulant les PDV sera formé pour :
    • Reconnaître et signaler tout comportement suspect.
    • Identifier et vérifier l’identité des tiers intervenant sur ces dispositifs.

Contrôles supplémentaires

  • Les connecteurs réseau accessibles aux visiteurs dans les espaces publics doivent être désactivés par défaut et activés uniquement avec une autorisation explicite.
  • Tous les ordinateurs contenant des données sensibles doivent être protégés par un économiseur d’écran sécurisé par mot de passe, activé automatiquement.
  • La distribution interne ou externe de tout support contenant des données sensibles doit être approuvée par la direction et faire l’objet d’un contrôle rigoureux.

En mettant en place ces mesures, Le Centre de Yoga Sainte-Foy inc. s’assure d’un environnement sécurisé, protégeant les données sensibles des risques physiques et numériques, tout en anticipant les besoins futurs en matière de gestion des PDV.

10. Protection des données en transit

  • Les courriels contenant des informations sensibles doivent être chiffrés.

11. Élimination des données stockées

Le Centre de Yoga Sainte-Foy inc. s’engage à détruire de manière sécurisée toutes les données qui ne sont plus nécessaires, qu’elles soient sur support papier ou électronique.

Élimination des données

  • Données électroniques :
    • Toutes les données doivent être supprimées de manière permanente et irrécupérable lorsque leur conservation n’est plus nécessaire.
    • Un processus automatisé sera mis en place pour la suppression sécurisée des données en ligne inutiles.
    • La destruction des supports électroniques doit suivre des procédures normalisées et reconnues, incluant :
      • Démagnétisation ou nettoyage électronique utilisant des outils conformes aux normes de sécurité de l’industrie.
      • Destruction physique du support lorsque nécessaire (p. ex., broyeurs industriels).
      • Utilisation de programmes de nettoyage sécurisés respectant les normes de l’industrie, suivis d’un processus de validation.


  • Données papier :
    • Les documents contenant des données sensibles, notamment des informations de titulaire de carte, doivent être détruits de manière sécurisée une fois leur utilité commerciale légitime terminée.
    • Les documents doivent être détruits par découpe, déchiquetage, incinération ou désintégration pour garantir leur impossibilité de reconstitution.
    • Un processus trimestriel sera mis en place pour vérifier et confirmer que toutes les données papier ont été détruites de manière appropriée et en temps opportun.

Gestion des données en attente de destruction

  • Les données sensibles en attente de destruction (qu’elles soient papier ou électroniques) doivent être stockées dans des récipients de stockage clairement identifiés « Pour déchiquetage » ou « Pour destruction ».
  • L’accès à ces récipients ou supports doit être restreint aux personnes autorisées.

En mettant en œuvre ces procédures rigoureuses, Le Centre de Yoga Sainte-Foy inc. garantit la destruction sécurisée des données, minimisant ainsi les risques liés à leur récupération ou à leur mauvaise utilisation.

12. Sensibilisation à la sécurité et procédures

Le Centre de Yoga Sainte-Foy inc. s’engage à maintenir un environnement de travail où la sécurité des informations est une priorité pour tous. Afin de protéger les données sensibles, une formation régulière et une sensibilisation continue sont essentielles pour tous les employés, prestataires et partenaires.

Formation et sensibilisation

  • Révision des procédures : Des révisions régulières des procédures de gestion des renseignements sensibles seront effectuées, et des réunions périodiques de sensibilisation à la sécurité seront organisées pour intégrer ces pratiques dans les activités quotidiennes de l’organisation.
  • Distribution du document de politique de sécurité : Le document de politique de sécurité sera distribué à tous les employés et prestataires de Le Centre de Yoga Sainte-Foy inc. et devra être lu et compris par chacun.
  • Attestation de compréhension : Chaque employé ou prestataire devra signer un formulaire d’attestation (voir l’Annexe A) pour confirmer qu’il a pris connaissance et comprend le contenu de la politique de sécurité.

Vérifications et conformité

  • Vérifications des antécédents : Tous les employés ou prestataires qui manipulent des informations sensibles devront passer une vérification de leurs antécédents (tels que vérification de casier judiciaire et de dossier de crédit) dans la mesure permise par la législation locale avant leur prise de poste.
  • Conformité des tiers : Les tiers ayant accès aux numéros de compte de carte de crédit doivent respecter la norme de sécurité PCI/DSS dans le cadre de leur contrat avec Le Centre de Yoga Sainte-Foy inc.

Révision des politiques

  • Les politiques de sécurité seront révisées chaque année et mises à jour au besoin pour s’assurer qu’elles répondent aux exigences de sécurité actuelles.

Cette approche garantit que la protection des données sensibles est une priorité continue et bien intégrée dans la culture de Le Centre de Yoga Sainte-Foy inc.

13. Sécurité réseau

Pour garantir la sécurité de l’environnement des données de titulaire de carte, Le Centre de Yoga Sainte-Foy inc. met en œuvre des mesures de sécurité strictes sur son réseau wi-fi et les connexions Internet.

  • Le réseau Wi-Fi local est protégé par un pare-feu et un mot de passe complexe.
  • Une surveillance des accès au réseau sera effectuée mensuellement.

14. Politique relative aux systèmes et aux mots de passe

  • Les mots de passe doivent être uniques, complexes (12 caractères minimum, lettres, chiffres, caractères spéciaux) et changés tous les 6 mois.
  • Les PC contenant des données sensibles ou confidentielles doivent utiliser des comptes utilisateurs distincts.

15. Politique antivirus

Le Centre de Yoga Sainte-Foy inc. met en place des mesures de sécurité rigoureuses pour protéger ses systèmes contre les logiciels malveillants, en veillant à la mise à jour et à l’exécution régulière de logiciels antivirus.

  • Logiciel antivirus : Toutes les machines doivent être configurées pour exécuter le logiciel antivirus approuvé par Le Centre de Yoga Sainte-Foy inc., à savoir le logiciel antivirus Microsoft Defender. Ce logiciel doit être configuré pour télécharger automatiquement les dernières mises à jour sur une base quotidienne. De plus, une analyse périodique doit être activée sur tous les systèmes pour garantir une protection continue.
  • Détection des malwares : Le logiciel antivirus doit être capable de détecter tous les types de logiciels malveillants, y compris les virus, chevaux de Troie, logiciels publicitaires, espiogiciels, vers et autres programmes nuisibles.
  • Scannage des supports amovibles : Avant d’être utilisés, tous les supports amovibles (comme les clés USB ou disquettes) doivent être scannés pour vérifier la présence de virus.
  • Conservation des journaux antivirus : Tous les journaux générés par les solutions antivirus doivent être conservés conformément aux exigences légales, réglementaires ou contractuelles. À défaut, ces journaux doivent être conservés pendant au moins trois mois en ligne et un an hors ligne.
  • Mises à jour et analyses automatiques : Les installations du logiciel antivirus doivent être configurées pour recevoir des mises à jour automatiques et effectuer des analyses régulières des systèmes.
  • Restrictions sur les paramètres antivirus : Les utilisateurs finaux ne doivent pas être autorisés à modifier les paramètres ou à désactiver le logiciel antivirus.
  • Gestion des courriels suspects : Les courriels provenant de sources inconnues ou douteuses, ainsi que leurs pièces jointes, ne doivent jamais être ouverts. Ces courriels doivent être supprimés du système de messagerie ainsi que de la corbeille. Aucune personne ne doit transférer de courriels suspects contenant potentiellement un virus.

Ces mesures garantissent que le Centre de Yoga Sainte-Foy inc. maintient une défense proactive contre les logiciels malveillants et les menaces informatiques.

16. Politique relative à la gestion des correctifs

  • Tous les postes de travail, serveurs, logiciels, composants de système, etc, appartenant à Le Centre de Yoga Sainte-Foy inc. doivent comporter des correctifs de sécurité système à jour, installés pour protéger les biens des vulnérabilités connues.
  • Dans la mesure du possible pour tous les systèmes, les logiciels doivent avoir des mises à jour automatiques activées pour les correctifs de système offerts par leurs fournisseurs respectifs. Les correctifs de sécurité doivent être installés dans un délai d’un mois de leur publication par le fournisseur respectif et suivre le processus selon le processus de contrôle du changement.

17. Politique relative à l’accès à distance et au partage de fichiers de la base de données OneDrive

Le Centre de Yoga Sainte-Foy inc. n’autorise aucun accès à distance à son réseau interne. Toutefois, dans le cadre de l’utilisation de OneDrive comme système de stockage en nuage, permettant le partage de dossiers et de fichiers pouvant contenir des données sensibles, des mesures strictes sont mises en place pour assurer la sécurité de ces informations.

  • Autorisation de partage : Tout partage de fichiers ou de dossiers, en particulier ceux contenant des données sensibles, doit être approuvé par la direction avant d’être effectué. Cela garantit un contrôle rigoureux sur la diffusion des informations sensibles.
  • Conformité des destinataires : Les employés, prestataires ou administrateurs recevant des fichiers contenant des données sensibles doivent avoir pris connaissance de la politique de sécurité de l’organisation et signé le Formulaire d’acceptation de conformité avec les politiques de sécurité. Ce formulaire assure que les destinataires s’engagent à respecter les protocoles de confidentialité et de sécurité des données.

Ainsi, bien que l’accès à distance soit interdit, des précautions strictes sont prises pour contrôler l’accès et le partage de données sensibles à travers des systèmes sécurisés comme OneDrive.

18. Travail à distance et bureau à domicile

Le Centre de Yoga Sainte-Foy inc. reconnaît que le travail à distance et les bureaux à domicile font partie des pratiques modernes de travail, mais il est essentiel de maintenir un niveau élevé de sécurité des données sensibles dans ces environnements.

Les éléments suivants doivent être respectés par tous les employés ou prestataires travaillant à distance ou depuis un bureau à domicile :

  • Accès sécurisé aux systèmes : Tout accès à des systèmes internes ou à des données sensibles doit se faire via un réseau sécurisé (VPN, par exemple). Le Centre de Yoga Sainte-Foy inc. ne permet aucun accès direct à ses systèmes sans un réseau sécurisé et authentifié.
  • Protection des appareils personnels : Les employés ou prestataires travaillant à distance doivent s’assurer que tous les appareils utilisés (ordinateurs portables, tablettes, téléphones) sont protégés par un mot de passe robuste, un cryptage des données et des solutions antivirus à jour.
  • Sécurisation des environnements physiques : Les employés ou prestataires doivent veiller à ce que les environnements de travail à domicile soient sécurisés, en particulier pour l’accès aux données sensibles. Cela inclut la restriction d’accès non autorisé et la fermeture de session lorsqu’ils quittent leur poste de travail.
  • Partage limité d’informations : Aucun document ou information sensible ne doit être partagé via des canaux non sécurisés (par exemple, par email non crypté, services de messagerie non sécurisés, etc.). Tout partage d’informations sensibles doit être approuvé par la direction et effectué via des moyens sécurisés.
  • Utilisation de l’équipement fourni par le Centre : Les employés ou prestataires doivent utiliser uniquement les équipements fournis ou approuvés par le Centre pour effectuer leur travail à distance. Les équipements personnels ne doivent pas être utilisés pour accéder à des données sensibles sans autorisation préalable.
  • Sauvegarde des données : Les employés ou prestataires travaillant à distance doivent suivre les procédures de sauvegarde des données en place, pour garantir qu’aucune donnée sensible n’est perdue ou non sauvegardée.
  • Formation continue et sensibilisation à la sécurité : Les employés ou prestataires travaillant à distance doivent suivre régulièrement des formations et des mises à jour sur les meilleures pratiques en matière de sécurité des données et de conformité aux politiques internes.

En intégrant ces pratiques dans la politique de sécurité, le Centre de Yoga Sainte-Foy inc. vise à garantir que même à distance, les données sensibles sont protégées contre toute forme de compromission.

19. Politique relative à la gestion de la vulnérabilité

  • Le CYSF est une entreprise de niveau 4 pour l’application des normes PCI-DSS.Pour une entreprise de niveau 4, les besoins de conformité sont allégés par rapport aux plus grandes entreprises, mais restent essentiels. Par rapport à la gestion de la vulnérabilité, le CYSF a des systèmes connectés à Internet et utilise un prestataire pour les paiements en ligne, elle doit donc réaliser des scans réguliers via un fournisseur agréé (ASV – Approved Scanning Vendor).
  • Toutes les vulnérabilités se verront attribuer une cote de risque élevé, moyen et faible en fonction des pratiques exemplaires de l’industrie, comme la cote de base CVSS.
  • Dans le cadre des exigences de la conformité PCI-DSS, Le Centre de Yoga Sainte-Foy inc. exécutera des analyses de vulnérabilité réseau internes et externes au moins tous les trimestres et à la suite de tout changement important apporté au réseau (comme des installations de nouveaux composants de système, des changements à la topologie du réseau, des modifications aux règles du pare-feu, des mises à niveau de produit).
  • Les analyses de vulnérabilité internes trimestrielles doivent être réalisées par le personnel de l’interne de Le Centre de Yoga Sainte-Foy inc. ou un fournisseur tiers et le processus d’analyse doit comprendre que de nouvelles analyses soient effectués jusqu’à obtention des résultats escomptés, ou jusqu’à ce que toutes les hautes vulnérabilités définies dans l’exigence 6.2 de la PCI DSS soient résolues.

20. Normes de configuration

  • Les appareils doivent être configurés selon les meilleures pratiques de sécurité, incluant la désactivation des services inutiles et l’application de politiques de restriction.
  • Les systèmes d’information qui traitent, transmettent ou stockent des données de titulaire de carte doivent être configurés conformément à la norme applicable pour cette classe de dispositif ou de système. Les normes doivent être rédigées et tenues à jour par l’équipe responsable de la gestion du système et le Bureau de sécurité des renseignements.
  • Toutes les configurations de dispositif réseau doivent respecter les normes requises par Le Centre de Yoga Sainte-Foy inc. avant d’être placées sur un réseau, comme le précise le guide de configuration de Le Centre de Yoga Sainte-Foy inc.. À l’aide de ce guide, une configuration en paragraphe passe-partout a été créée et s’appliquera à tous les dispositifs réseau avant d’être placée sur le réseau.
  • Les mises à jour du système d’exploitation du dispositif réseau et/ou des paramètres de configuration afférents aux normes de Le Centre de Yoga Sainte-Foy inc. doivent être appliquées dès qu’elles sont mises à disposition par le fournisseur.
  • Toutes les configurations de dispositifs réseau doivent être vérifiées tous les ans contre la configuration en paragraphe passe-partout pour assurer que la configuration respecte toujours les normes requises.

21. Processus de contrôle des changements

  • Tout changement significatif au système ou au réseau doit être documenté et validé par la direction.

22. Audit et examen des listes de contrôle

  • Un audit semestriel sera réalisé pour examiner les accès et les configurations.

23. Méthodologie de mise à l’essai par pénétration

  • Un test de pénétration externe sera réalisé tous les deux ans par un fournisseur spécialisé.

24. Plan de réponse aux incidents

  • « Incident de sécurité » signifie tout incident (accidentel, intentionnel ou délibéré) lié à vos systèmes de communication ou de traitement de l’information. L’attaquant pourrait être un étranger malveillant, un concurrent ou un employé ou un prestataire mécontent, et son intention pourrait être de voler de l’information ou de l’argent, ou simplement causer un préjudice à votre entreprise.
  • Le plan de réponse aux incidents doit être mis à l’essai une fois l’an. Des copies de ce plan de réponse aux incidents doivent être mises à la disposition de tous les membres du personnel pertinents et des mesures doivent être prises pour assurer qu’ils le comprennent et ce qui est attendu d’eux.
  • Les employés ou prestataires de Le Centre de Yoga Sainte-Foy inc. doivent signaler tous les problèmes de sécurité au responsable de la sécurité.
  • Le plan de réponse aux incidents PCI de Le Centre de Yoga Sainte-Foy inc. est comme suit :

Voici un plan de réponse aux incidents PCI pour Le Centre de Yoga Sainte-Foy inc. qui prend en compte la réalité d’une entreprise avec un seul administrateur, un seul PC et un réseau Wi-Fi :

1. Identification des incidents

  • Objectif : Reconnaître les anomalies qui indiquent un incident PCI (accès non autorisé, activité inhabituelle, etc.).
  • Mesures :
    • Surveillez l’accès au PC : alertes antivirus/pare-feu, fenêtres suspectes ou ralentissement soudain.
    • Vérifiez le Wi-Fi : toute tentative de connexion non autorisée.
    • Écoutez les alertes système (notifications sécurité).

2. Éradication de la menace

  • Objectif : Supprimer la cause principale de l’incident.
  • Mesures :
    • Lancez un scan antivirus complet sur le PC.
    • Désinstallez tout programme suspect.
    • Vérifiez les paramètres Wi-Fi : changez le mot de passe et redémarrez le routeur.
    • Mettez à jour les logiciels et systèmes d’exploitation.

3. Containment (Confinement)

  • Objectif : Limiter les dommages causés par l’incident.
  • Mesures immédiates :
    • Déconnecter le PC du réseau Wi-Fi.
    • Désactiver temporairement le Wi-Fi.
    • Isoler physiquement l’ordinateur, s’il y a une suspicion de compromission.

4. Récupération

  • Objectif : Rétablir les opérations en toute sécurité.
  • Mesures :
    • Testez la connexion réseau pour s’assurer qu’elle est sécurisée.
    • Réinitialisez les mots de passe (PC, Wi-Fi, comptes administratifs).
    • Effectuez une sauvegarde complète des données sécurisées.

5. Analyse et Documentation

  • Objectif : Comprendre la cause de l’incident pour éviter qu’il ne se reproduise.
  • Mesures :
    • Documentez la chronologie de l’incident : symptômes, actions entreprises et résultats.
    • Identifiez les failles possibles (ex. : mot de passe faible, manque de mise à jour).

6. Prévention future

  • Renforcement des mesures :
    • Activez un pare-feu et un antivirus premium.
    • Changez régulièrement les mots de passe.
    • Configurez des sauvegardes automatiques sur un disque externe sécurisé.
    • Mettez à jour tous les systèmes régulièrement.
    • Évitez les téléchargements ou clics non vérifiés.

Contacts d’urgence

  • Technicien en cybersécurité local : Jeremy Kirkwood, Clici Services Informatique  au 581-777-6351
  • Fournisseur d’accès internet (pour incidents réseau) : Bell
  • Soutien logiciel/antivirus, si disponible. Microsoft Defender.

Rappel : Assurez-vous d’avoir toujours une sauvegarde externe récente et fonctionnelle pour éviter toute perte de données en cas de compromission.

Les compagnies de cartes ont des exigences individuelles précises que l’équipe de réponse doit observer dans le signalement de brèches soupçonnées ou confirmées de données de titulaire de carte.

Notifications de réponse aux incidents selon divers systèmes de carte

  1. Dans l’éventualité d’un soupçon de brèche de sécurité, veuillez aviser le responsable de la sécurité des renseignements, ou votre gestionnaire hiérarchique, dans les plus brefs délais.
  2. Le responsable de la sécurité mènera une enquête initiale de la brèche de sécurité soupçonnée.
  3. Sur confirmation de l’occurrence d’une brèche de sécurité, le responsable de la sécurité avisera la direction et commencera à en informer toutes les parties concernées qui pourraient être touchées par une telle compromission.

Étapes VISA

Si la compromission de la sécurité des données met en cause des numéros de compte de carte de crédit, vous devez mettre la procédure suivante en œuvre :

  • Éteindre tous les systèmes et les procédés impliqués dans la brèche pour en limiter l’étendue et prévenir toute autre exposition.
  • Alerter les parties touchées et les autorités comme la banque du commerçant (votre banque), le contrôle des fraudes Visa et la police.
  • Fournir des détails concernant l’ensemble des numéros de carte compromis ou potentiellement compromis au Contrôle des fraudes Visa dans un délai de 24 heures.
  • Pour obtenir de plus amples renseignements, visitez le : http://usa.visa.com/business/accepting_visa/ops_risk_management/cisp_if_ compromised.html

Modèle de rapport d’incident Visa

Ce rapport doit être remis à VISA dans un délai de 14 jours suivant le signalement initial de l’incident à VISA. Le contenu de rapport et les normes suivantes doivent être respectées lors de la rédaction du rapport d’incident. Le rapport d’incident doit être distribué de manière sécurisée à VISA et à la banque du marchand. Visa classera le rapport avec la mention « Secret Visa »*.

  1. Sommaire exécutif
  1. Comprend un aperçu de l’incident
    1. Comprend le niveau de RISQUE (élevé, moyen, faible)
    1. Détermine si la compromission a été contenue

    II. Contexte

III. Analyse initiale

IV. Procédures d’enquête

  1. Comprend les outils judiciaires utilisés durant l’enquête

   V. Conclusions

  1. Nombre de comptes à risque, identifie ces commerces et compromissions
  • Type de renseignements de compte à risque
    • Identifie TOUS les systèmes analysés. Comprend ce qui suit :
  • Noms du système de nom de domaine (DNS)
  • Adresses de protocole Internet (IP)
  • Version du système d’exploitation (OS)
  • Fonction du/des système(s)
  • Identifie TOUS les systèmes compromis Comprend ce qui suit :
  • Noms DNS
  • Adresses IP
  • Version du système d’exploitation (OS)
  • Fonction du/des système(s)
    • Délai de la compromission
  • Toutes les données exportées par l’intrus
    • Établit la manière et la source de la compromission
    • Vérifie tous les emplacement éventuels de bases de données pour assurer qu’aucune donnée CVV1, Données de suivi 1 ou Données de suivi 2 ne sont stockées nulle part, qu’elles soient chiffrées ou non (p. ex., tables dupliquées ou de sauvegarde ou bases de données, bases de données utilisées dans le développement, environnements d’étape ou de mise à l’essai, données sur le logiciel des machines des ingénieurs, etc.)
    • Au besoin, revoir la sécurité au point final de VisaNet et déterminer le risque

VI. Action de l’entité compromise

VII. Recommandations

VIII. Personne(s)-ressource de l’entité et de l’évaluateur de la sécurité qui procèdent à l’enquête

*Cette classification s’applique aux renseignements commerciaux les plus sensibles et doit être utilisée pour VISA. Sa divulgation non autorisée pourrait avoir une incidence grave et nuisible pour VISA, ses employés ou prestataires, banques membres, partenaires commerciaux et/ou la marque.

Étapes MasterCard :

  1. Dans un délai de 24 heures d’un événement de compromission de compte, aviser l’équipe des comptes compromis MasterCard en téléphonant au 1-636-722-4100.
  2. Fournir un énoncé détaillé par écrit du fait concernant la compromission du compte (y compris les circonstances concourantes) par courriel sécurisé à compromised_account_team@mastercard.com.
  1. Fournir au service du contrôle des fraudes aux marchands MasterCard une liste complète de tous les numéros de compte compromis connus.
  2. Dans un délai de 72 heures de la connaissance d’un compte soupçonné compromis, faire appel aux services d’une compagnie de sécurité des données acceptable pour MasterCard pour évaluer la vulnérabilité des données compromises et des systèmes connexes (comme une évaluation judiciaire détaillée).
  • Fournir des rapports d’état écrits hebdomadaires à MasterCard, traitant les questions ouvertes et les problèmes jusqu’à ce que l’audit soit terminé à la satisfaction de MasterCard.
  • Fournir sans tarder des listes à jour de numéros de compte compromis connus, de la documentation supplémentaire et toute autre information que MasterCard pourrait demander.
  • Fournir les conclusions de tous les audits et de toutes les enquêtes au service de contrôle des fraudes aux marchands de MasterCard dans les délais prescrits et continuer de traiter toute exposition ou recommandation en suspens jusqu’à ce qu’elles soient résolues à la satisfaction de MasterCard.

Une fois que MasterCard obtient les détails des données de comptes compromis et la liste des numéros de compte compromis, MasterCard :

  1. Identifiera les émetteurs des comptes qui ont été soupçonnés avoir été compromis et regroupera tous les comptes connus sous leur ID respectif de membre parent.
  2. Distribuera les données de numéros de compte à leurs émetteurs respectifs.

Les employés ou prestataires de Le Centre de Yoga Sainte-Foy inc. doivent signaler tous les problèmes de sécurité à l’officier de la sécurité. Le rôle de l’officier de la sécurité consiste à communiquer efficacement l’ensemble des politiques et procédures liées à la sécurité aux employés ou prestataires de Le Centre de Yoga Sainte-Foy inc. et aux entrepreneurs. En outre, cet officier de la sécurité doit superviser les horaires des séances de formation en sécurité, contrôler et faire applique les politiques de sécurité décrites dans ce document et lors des séances de formation et enfin, superviser la mise en œuvre du plan de réponse aux incidents dans l’éventualité où des données sensibles seraient compromises.

25. Rôles et responsabilités

  • La direction est responsable de l’application de cette politique.
  • Chaque employé, prestataire ou bénévole est responsable de signaler tout incident ou comportement suspect.

26. Accès d’un tiers à des données de titulaire de carte

  • Toutes les entreprises de tierce partie prodiguant des services essentiels à Le Centre de Yoga Sainte-Foy inc. doivent fournir une entente convenue sur les niveaux de service.
  • Toutes les entreprises de tierce partie fournissant des services d’hébergement doivent se conformer à la politique sur la sécurité physique et le contrôle de l’accès de Le Centre de Yoga Sainte-Foy inc..
  • Toutes les entreprises de tierce partie qui ont accès aux renseignements de titulaire de carte doivent :
  1. respecter les exigences PCI DSS en matière de sécurité.
  2. reconnaître leur responsabilité quant à la sécurité des données de titulaire de carte.
  3. reconnaître que les données de titulaire de carte doivent uniquement être utilisées pour aider à conclure une transaction, appuyer un programme de fidélité, fournir un service de contrôle de la fraude ou pour des usages spécifiquement requis par la loi.
  4. avoir des dispositions appropriées pour la continuité des affaires dans l’éventualité d’une interruption, d’un désastre ou d’une majeure.
  5. fournir leur entière collaboration et accès pour mener un examen approfondi de la sécurité à la suite d’une intrusion à un représentant de l’industrie des cartes de paiement, ou à un tiers approuvé par l’industrie des cartes de paiement.

27. Gestion de l’accès utilisateur

  • Les comptes inutilisés seront désactivés immédiatement.
  • L’accès est accordé uniquement sur la base du besoin fonctionnel.

28. Politique relative au contrôle d’accès

  • Accès limité selon les privilèges nécessaires (principe du moindre privilège).

29. Politique relative à l’usage du sans fil

  • L’utilisation du réseau Wi-Fi est réservée aux activités professionnelles. Un réseau invité séparé sera disponible pour les visiteurs.

Date de mise en œuvre : 22/01/2025

Approuvé par : La direction du Centre de Yoga Sainte-Foy inc.

Pour des questions ou signalements liés à cette politique, contactez direction@yogasaintefoy.com

En processus d’approbation par le conseil d’administration du Centre de Yoga Sainte-Foy inc.