Mesures à prendre. Si l’objectif de qualité fixé au § 4.2 ci-dessus n’est pas atteint, l’EF qui a réalisé la visite technique d'échange doit mettre en œuvre des mesures correctives. Le cas échéant, l'EF ou les EF de transit sont à informer immédiatement par l'EF cessionnaire. L'EF qui a réalisé la visite technique d'échange doit informer dans un délai d'un mois l’EF ces- sionnaire et, le cas échéant, l'EF ou les EF de transit des mesures correctives prises. A dater de la mise en œuvre de telles mesures, l’échantillon représentatif doit être choisi chaque mois, afin de pouvoir justifier d’une amélioration. Si nécessaire, l’EF cessionnaire, le cas échéant en concertation avec l'EF/les EF de transit, peut exclure certains wagons (ou des wagons au chargement particulier) de la formation des rames concernées.
Mesures à prendre. Un système de contrôle d'accès et de gestion des visiteurs pour tous les visiteurs/invités est mis en œuvre - Les visiteurs dans les locaux de Xerox sont reconnaissables à tout moment et ne se trouvent que dans les zones visiteurs des locaux de Xerox. - Contrôle d'accès physique (protection contre l'accès non autorisé au traitement des données ou aux ins- tallations de stockage) : notamment par des cartes magnétiques ou à puce, des ouvre-portes élec- triques, un journal de bord sur l'utilisation des clés pour ouvrir les locaux au contenu sensible (tels que les locaux d'archivage et de stockage dans les bâ- timents externes). - Contrôles d'accès physiques à intervalles définis - Des processus de clean-desk, clean-screen et fol- low-me-printing sont mis en œuvre. - Les informations, y compris les documents papier, Requirement: Only authorised persons have access to the premises and facilities where personal data are processed. Measures: - An access control and visitor management sys- tem for all visitors/guests is implemented - Visitors to Xerox premises are identifiable at all times and only stay in visitor zones of Xerox premises. - Physical access control (protection against unau- thorised access to data processing or storage fa- cilities): in particular by magnetic or smart cards, electric door openers, log book on the use of keys to open rooms with sensitive content (such as ar- chive and storage rooms in external buildings) - Physical access checks at specified time intervals - Clean desk, clean screen and follow-me printing processes are implemented - Information, which includes paper documents, is classified, tagged, protected and handled appro- priately according to the Xerox Information Classi- fication Policy and shared accordingly sont classées, étiquetées, protégées, traitées et partagées conformément à la politique de classifica- tion des informations de Xerox.
Mesures à prendre. Un système de contrôle d'accès et de gestion des visiteurs pour tous les visiteurs/invités est mis en œuvre - Les visiteurs dans les locaux de Xerox sont reconnaissables à tout moment et ne se trouvent que dans les zones visiteurs des locaux de Xerox. - L'accès aux systèmes est accordé sur une base "besoin-avoir" en tenant compte de la séparation des tâches. - Pas de lecture, de copie, de modification ou de suppression non autorisées pendant la transmission électronique, notamment grâce au cryptage et aux réseaux privés virtuels (VPN) Requirement: Unauthorised persons cannot use au- tomated data processing systems by means of devic- es for data transmission. Measures: - An access control and visitor management sys- tem for all visitors/guests is implemented - Visitors to the Xerox premises are always identifiable and only stay in the visitor zones of the Xerox premis- es. - Access to systems is granted on a need-to-have basis, taking into account segregation of duties. - No unauthorised reading, copying, modification or removal during electronic transmission, in particu- lar through encryption and Virtual Private Net- works (VPNs).
Mesures à prendre. Les collaborateurs ayant accès à des données per- sonnelles ne peuvent accéder qu'aux données né- cessaires à l'objectif des activités relevant de leur compétence. L'autorisation d'accès est accordée sur la base du "besoin de savoir" et du "besoin d'accès" et est basée soit sur le rôle, soit sur le nom. Des protocoles d'accès sont en place et la responsabilité du contrôle d'accès est attribuée. - Les employés sont tenus de respecter les politiques de sécurité et de confidentialité de Xerox et des autorités locales. - Contrôle d'accès électronique (protection contre l'utilisation non autorisée de systèmes de traitement ou de stockage de données) : notamment par des mots de passe (y compris la politique correspon- dante), des mécanismes de verrouillage automa- tique, une authentification à deux facteurs, le cryp- tage des supports de données, l'interdiction d'utili- ser des systèmes de stockage en nuage non autori- sés, ainsi que des systèmes de stockage de don- nées physiques non autorisés par Xerox. - Contrôle d'accès interne (prévention de la lecture, de la copie, de la modification ou de la suppression non autorisées de données au sein de Xerox), par l'utilisation de profils d'autorisation standard sur la base du "besoin de savoir", d'un processus stan- dard d'attribution de droits d'utilisateur, d'une jour- nalisation des accès, d'une vérification régulière des Requirement: Unauthorised persons cannot read, copy, modify, move, delete or destroy data media. Measures: - Employees with access to personal data can only access the data that is necessary for the purpose of the activities under their responsibility. Access authorisation is granted on a need-to-know and need-to-access basis and is either role-based or name-based. Access protocols are in place and responsibility for access control is assigned - Employee commitment to comply with applicable Xerox and local security and privacy policies is mandatory. - Electronic access control (preventing unauthor- ised use of data processing or storage systems): including, but not limited to, passwords (including the appropriate policy), automatic locking mecha- nisms, two-factor authentication, encryption of media, prohibition of the use of unauthorised cloud storage systems, as well as physical data storage not authorised by Xerox. - Internal access control (preventing unauthorised reading, copying, modification or removal of data within Xerox) through the use of standard authori- sation profiles on a need-to-...
Mesures à prendre. L'accès aux systèmes est accordé sur une base de "besoin de savoir" en tenant compte de la sépara- tion des tâches. - Protection contre la destruction ou la perte acciden- telle ou intentionnelle, par exemple stratégie de sauvegarde (en ligne/hors ligne ; sur site/hors site), alimentation électrique ininterrompue, antivirus, pare-feu, canaux d'alarme et plans d'urgence ; con- trôles de sécurité au niveau de l'infrastructure et des applications, plan de sécurité à plusieurs ni- veaux avec externalisation des sauvegardes, pro- cessus standard en cas de change- ment/licenciement de collaborateurs. - Pas de lecture, de copie, de modification ou de suppression non autorisées pendant la transmission électronique, notamment grâce au cryptage et aux réseaux privés virtuels (VPN). - Les données des clients (y compris les sauve- gardes, les archives, les fichiers journaux, etc.) ne sont conservées que pendant la durée nécessaire à la réalisation des objectifs pour lesquels elles ont été collectées, à moins qu'il n'existe une obligation légale ou contractuelle de conserver les données plus longtemps.
Mesures à prendre. Toutes les données Xerox sont sauvegardées de manière appropriée au moyen d'un processus de back-up et peuvent être reconstituées en cas de perte ou d'effacement accidentel.
Mesures à prendre. Les systèmes de Xerox sont surveillés de manière centralisée par le service informatique de Xerox et la disponibilité est ainsi assurée ou une panne d'un système est réparée dans un délai raisonnable. - Chaque collaborateur de Xerox a un accès direct à l'assistance informatique où chaque question con- cernant l'informatique peut être résolue rapidement et où les collaborateurs peuvent résoudre un ticket pour le traitement de la demande. La résolution des tickets est surveillée et un processus d'escalade adéquat est mis en place.
Mesures à prendre. Les systèmes sont conçus de manière à éviter tout dommage. - Si un dommage devait toutefois se produire, les données endommagées peuvent être restaurées grâce aux fonctions de sauvegarde mises en place.
Mesures à prendre. La gestion et la surveillance des logiciels pour le contrôle d'une installation autorisée des logiciels de tous les appareils autorisés au sein du groupe Xe- rox sont effectuées de manière centralisée par le support informatique du groupe Xerox, y compris les mises à jour automatiques et régulières des lo- giciels des systèmes d'exploitation et des logiciels anti-virus et anti-malware.
Mesures à prendre. Un contrôle adéquat est disponible et les collabora- teurs sont formés à son utilisation.