LOIS DE PROTECTION DES DONNEES & SECURITE MOBILE

La suite de solutions de sécurité mobile Pradeo Security fournit des services permettant de se conformer aux lois de protection des données en protégeant les
Données personnelles | Données financières | Données de santé
DONNEES PERSONNELLES
Règlement général sur la protection des données (RGPD)
Le RGPD est une loi sur la protection des données personnelles qui s'applique aux organisations ayant une activité en Europe (quel que soit leur emplacement physique). Elle fixe des lignes directrices pour la collecte, le traitement et le stockage des informations personnelles identifiables des résidents européens. Le RGPD a été mis en œuvre pour protéger les informations appartenant aux clients, employés, partenaires et prospects, et s’applique entre autres lorsque celles-ci sont traitées sur les terminaux et applications mobiles.
Mobile Threat Intelligence
Exigences du RGPD applicables aux données mobiles
Article 5
Les données à caractère personnel doivent être traitées de manière à assurer une sécurité appropriée, et notamment une protection contre le traitement non autorisé, la perte accidentelle, la destruction ou la détérioration.
Exige la protection des terminaux et des applications mobiles sur lesquels des données à caractère personnel sont traitées
Article 25
Les organisations doivent mettre en œuvre la protection des données dès la conception, en déployant des solutions appropriées qui sont spécifiquement conçues pour protéger les données.
Nécessite la mise en place de contrôles de sécurité durant les cycles de développement des applications mobiles
Article 32
Les organisations doivent garantir la sécurité des données des utilisateurs en fonction des niveaux de risque en mettant en place des procédures pour tester, analyser et évaluer régulièrement les mesures de sécurité en place.
Exige d'avoir une visibilité sur les flux de données personnelles et leur niveau de protection
Article 5
Les données à caractère personnel doivent être traitées de manière à assurer une sécurité appropriée, et notamment une protection contre le traitement non autorisé, la perte accidentelle, la destruction ou la détérioration.
Exige la protection des terminaux et des applications mobiles sur lesquels des données à caractère personnel sont traitées
Article 25
Les organisations doivent mettre en œuvre la protection des données dès la conception, en déployant des solutions appropriées qui sont spécifiquement conçues pour protéger les données.
Nécessite la mise en place de contrôles de sécurité durant les cycles de développement des applications mobiles
Article 32
Les organisations doivent garantir la sécurité des données des utilisateurs en fonction des niveaux de risque en mettant en place des procédures pour tester, analyser et évaluer régulièrement les mesures de sécurité en place.
Exige d'avoir une visibilité sur les flux de données personnelles et leur niveau de protection
Mobile Threat Intelligence
FTC Act, PIPEDA, Data Privacy Act et autres réglementations spécifiques à chaque pays
Des réglementations relatives à la protection des données personnelles telles que le RGPD sont en vigueur dans différentes régions du monde, comme le FTC Act (États-Unis), le PIPEDA (Canada), le DPA (Royaume-Uni), le NDB (Australie), etc. Ces réglementations tendent à converger vers les mêmes directives globales, en demandant aux organisations de :• Protéger les données personnelles manipulées par les terminaux et applications mobiles• Mettre en œuvre des pratiques de limitation des risques• Prévenir la perte et la violation des données• Contrôler les traitements des données manipuléesCertaines de ces lois prévoient des amendes massives en cas de non-respect. Par exemple, l'agence de crédit Equifax a été condamnée à une amende de 500 000 livres sterling par le bureau du commissaire à l'information du Royaume-Uni pour une fuite de données datant de 2017.

Pradeo propose des solutions pour :

  • Identifier le traitement des données à caractère personnel au sein d'une flotte mobile - Protection de flotte mobile
  • Révéler les données personnelles manipulées et exploitées par les applications mobiles
  • Etre en conformité avec les lois de protections des données personnelles
DONNES FINANCIERES
Directive sur les services de paiement 2 (DSP2)
La DSP2 s'applique aux banques, aux prestataires de services de paiement (PSP) et à toute autre société qui traite des données financières. Il s'agit d'une loi européenne qui renforce la sécurité des applications bancaires et de paiement mobiles, des portefeuilles mobiles et de toutes les applications d'achat qui offrent une fonctionnalité de paiement. Elle vise à harmoniser la protection des paiements électroniques et des données financières des consommateurs tout en favorisant l'innovation et en offrant une meilleure expérience aux utilisateurs.
Mobile Threat Intelligence
Exigences de la DSP2 applicables aux données mobiles
Deux principes complémentaires de sécurité mobile figurent parmi les mesures de sécurité imposées par les articles 4, 7, 8 et 9 : l'authentification forte et l'environnement d'exécution sécurisé.Les fournisseurs de services financiers, y compris les banques, doivent mettre en place une authentification basée sur un minimum de deux facteurs et un mot de passe unique. Afin de garantir une authentification forte, la confidentialité du code et la prévention des accès frauduleux sont nécessaires.La directive DSP2 souligne le fait que l'authentification n'est fiable que lorsqu'il est garanti que la communication ne peut être interceptée et que l'expéditeur de la demande de données est l'utilisateur lui-même, et non un logiciel malveillant. Pour garantir une authentification forte, la DSP2 exige de sécuriser l'environnement d'exécution en surveillant la sécurité des terminaux mobiles des utilisateurs.
Mobile Threat Intelligence
Norme de sécurité de l'industrie des cartes de paiement (PCI DSS)
Le PCI Security Standards Council est une organisation mondiale qui maintient, fait évoluer et promeut une norme de sécurité de l'information pour les organisations qui traitent les données de cartes de crédit dans le monde entier. Elle exige spécifiquement de tous les commerçants qui utilisent les paiements mobiles qu'ils protègent les données des titulaires de cartes en maintenant un environnement sécurisé. Dans ses exigences de conformité, la norme stipule que les appareils mobiles ne sont pas nécessairement conçus pour être sécurisés.
Exigences du PCI DSS applicables aux données mobiles
Norme 5
Protéger tous les systèmes contre les logiciels malveillants et effectuer des mises à jour régulières des logiciels anti-virus (les logiciels malveillants peuvent pénétrer dans un réseau par de nombreuses voies, notamment l'utilisation d'internet, les emails des employés, les terminaux mobiles ou les périphériques de stockage).
Exige la protection des terminaux mobiles contre les malwares
Norme 6
Développer et maintenir des systèmes et des applications sécurisés. Les vulnérabilités des systèmes et des applications permettent à des individus peu scrupuleux d'obtenir un accès privilégié. Des correctifs de sécurité doivent être immédiatement installés pour corriger les vulnérabilités et empêcher l'exploitation et la corruption des données des titulaires de cartes.
Nécessite un audit et la correction des vulnérabilités des applications mobiles
Norme 5
Protéger tous les systèmes contre les logiciels malveillants et effectuer des mises à jour régulières des logiciels anti-virus (les logiciels malveillants peuvent pénétrer dans un réseau par de nombreuses voies, notamment l'utilisation d'internet, les emails des employés, les terminaux mobiles ou les périphériques de stockage).
Exige la protection des terminaux mobiles contre les malwares
Norme 6
Développer et maintenir des systèmes et des applications sécurisés. Les vulnérabilités des systèmes et des applications permettent à des individus peu scrupuleux d'obtenir un accès privilégié. Des correctifs de sécurité doivent être immédiatement installés pour corriger les vulnérabilités et empêcher l'exploitation et la corruption des données des titulaires de cartes.
Nécessite un audit et la correction des vulnérabilités des applications mobiles

Pradeo propose des solutions pour :

  • Protéger les terminaux mobiles contre les attaques de malwares connus et de type "zero-day"
  • Auditer les applications mobiles et remédier leurs vulnérabilités
  • Sécuriser l'environnement d'exécution des applications mobiles
DONNEES DE SANTE
La Health Insurance Portability and Accountability Act (HIPAA)
L'HIPAA s'applique aux organismes de santé opérant aux États-Unis. Il s'agit d'un ensemble de règles de sécurité qui visent à protéger la vie privée des patients et des souscripteurs de plans de santé. Les garanties administratives de la loi exigent la protection des terminaux et applications mobiles utilisés par les organismes de santé.
Mobile Threat Intelligence
Exigences de l'HIPAA applicables aux données mobiles
(a)(1)(ii)(D)
Mettre en œuvre des procédures pour examiner régulièrement les enregistrements de l'activité du système d'information, tels que les journaux d'audit, les rapports d'accès et les rapports de suivi des incidents de sécurité.
(a)(5)(ii)(A)
Installez des mises à jour de sécurité périodiques. (B) Procédures de protection, de détection et de signalement contre les malwares. (C) Activer la journalisation et l'alerte sur les systèmes critiques.
(a)(6)(ii)
Mettre en œuvre des politiques et des procédures pour faire face aux incidents de sécurité. Identifier et répondre aux incidents de sécurité suspects ou connus ; atténuer, dans la mesure du possible, les effets néfastes des incidents de sécurité connus de l'entité couverte ; et documenter les incidents de sécurité et leurs résultats.
Obligation d'examiner régulièrement l'activité du système d'information, de mettre en œuvre des solutions pour détecter et atténuer les incidents de sécurité (y compris les logiciels malveillants), d'alerter en cas d'incident de sécurité.
(a)(1)(ii)(D)
Mettre en œuvre des procédures pour examiner régulièrement les enregistrements de l'activité du système d'information, tels que les journaux d'audit, les rapports d'accès et les rapports de suivi des incidents de sécurité.
(a)(5)(ii)(A)
Installez des mises à jour de sécurité périodiques. (B) Procédures de protection, de détection et de signalement contre les malwares. (C) Activer la journalisation et l'alerte sur les systèmes critiques.
(a)(6)(ii)
Mettre en œuvre des politiques et des procédures pour faire face aux incidents de sécurité. Identifier et répondre aux incidents de sécurité suspects ou connus ; atténuer, dans la mesure du possible, les effets néfastes des incidents de sécurité connus de l'entité couverte ; et documenter les incidents de sécurité et leurs résultats.
Obligation d'examiner régulièrement l'activité du système d'information, de mettre en œuvre des solutions pour détecter et atténuer les incidents de sécurité (y compris les logiciels malveillants), d'alerter en cas d'incident de sécurité.

Pradeo propose des solutions pour :

  • Protéger les terminaux mobiles contre les malwares et le vol de données
  • Protéger les données sensibles des applications mobiles contre les malwares et l'exfiltration

Comme chaque pays a ses propres réglementations en matière de protection des données mobiles, cette liste n'est pas exhaustive. Pour savoir si nos solutions peuvent vous aider à vous conformer à toute autre loi sur la protection des données, veuillez nous contacter.