Système d'évaluation TalentLens - Pearson Online

Opérations, Sécurité et Confidentialité des données


Informations globales de Sécurité chez Pearson

  • Pearson a mis en place un ensemble de politiques mondiales de sécurité de l’information.
  • Ces politiques sont basées sur la norme de sécurité de l’information ISO-27001.
  • La liste des politiques implémentées et appliquées au niveau global se trouve à la fin de ce document.
  • Ces politiques sont la propriété du Directeur de la Sécurité des Systèmes d’Information
  • Elles sont soumises à un examen annuel.
  • La mise en œuvre globale de ces politiques par des contrôles respectifs est formellement définie par un ensemble de normes et de directives liées à la sécurité. Elles sont directement basées sur le cadre ISO-27002 et prennent en compte les meilleures pratiques de sécurité définies dans les recommandations du NIST (National Institute of Standards and Technology).
  • La mise en œuvre locale de nos politiques et des contrôles en France est régie localement par le Système de Management de la Sécurité de l’Information (SMSI).
  • Une revue du SMSI et une évaluation des risques sont effectuées chaque année par l’équipe locale de Management Review. Et ce, sous la supervision du Directeur Régional de Sécurité de l’Information (RISO) pour notre principale région (qui comprend l’Europe).
  • Sous le contrôle direct du bureau Responsable de la sécurité des systèmes d’information est dédié le groupe de Contrôle des Opérations de Sécurité (SOC). Ce groupe surveille en permanence notre infrastructure vis-à-vis des menaces de sécurité et gère les incidents au fur et à mesure qu’ils surviennent.

Confidentialité des données et RGPD

  • Les contrôles et procédures de confidentialité de Pearson sont entièrement conformes à la réglementation RGPD (Règlement Général sur la Protection des Données) à venir.
  • Par rapport à ses clients, Pearson agit comme le gestionnaire de base de données dans une perspective RGPD.
  • La base légale pour le traitement des données personnelles est la « nécessité contractuelle », il est nécessaire d’offrir le service à nos clients.
  • Pearson coopérera pleinement avec ses clients pour leur permettre de remplir leurs obligations de contrôle des données dans le cadre du RGPD.
  • Pearson s’assurera formellement de la conformité de tous ses fournisseurs à ces obligations de contrôle des données (sous-traitants dans la définition de RGPD).
  • Notre responsable de la protection des données est actuellement basé au Royaume-Uni.

Plateforme en ligne (Pearson Online)

  • Pearson utilise une version dite « Marque-Blanche » de la plate-forme appelée Pearson Online.
  • Pearson Online est hébergé en Irlande sur Microsoft Azure Cloud.
  • L’administration du système et la gestion de la base de données sont opérées depuis le Royaume-Uni par un bureau local de PAN.
  • Ceci est conforme aux réglementations actuelles et à venir sur la confidentialité des données dans toute l’Europe.
  • Il n’y a pas de transfert de données personnelles vers des pays tiers comme les États-Unis.
  • Toutes les données personnelles sont conservées dans l’UE et ne sont pas accessibles depuis l’extérieur.
  • La gestion des comptes clients est gérée par une équipe de support client en Europe centrale.
  • Des autorisations temporaires d’accès à des informations personnelles dans la plateforme sont données à un petit groupe d’administrateurs au sein de l’équipe européenne Pearson seulement et requiert l’approbation du gestionnaire lorsqu’un incident se produit.
  • La gestion quotidienne sur le compte client et les autorisations d’accès aux données personnelles sont réalisées par le client. Pearson n’accèdera jamais aux données personnelles des clients sans autorisation formelle préalable de leur part.
  • La conformité aux politiques et aux contrôles relatifs à la sécurité de l’information et à la confidentialité des données de Pearson ainsi qu’aux obligations prévues par le RGPD est mise en application par un accord officiel entre Pearson et PAN.

Stratégies de gestion de la sécurité des informations globales basées sur la norme ISO-27001

  • Politiques de sécurité de l’information
  • Politique de gestion de la sécurité des informations
  • Politique de sécurité des médias sociaux
  • Politique de sécurité des Fusions et Acquisitions
  • Politique de sécurité Industrie des Cartes de Paiements
  • Organisation de la sécurité de l’information
  • Politique de gestion des risques de sécurité de l’information
  • Politique de sécurité des appareils mobiles
  • Sécurité des ressources humaines
    • Politique d’utilisation acceptable
    • Politique de sécurité des ressources humaines
  • Gestion des actifs
    • Politique de gestion et d’élimination des médias
    • Politique de gestion d’actifs
    • Politique de classification et d’étiquetage des données
    • Politique de gestion du cycle de vie des données
  • Contrôle d’accès
    • Politique de contrôle d’accès
    • Politique de sécurité de contrôle des mots de passe
  • Cryptographie
    • Politique de contrôle de l’utilisation de la Cryptographie
  • Sécurité physique et environnementale
    • Politique de « Clean Desk »
    • Politique de sécurité d’accès physique
    • Politique de sécurité physique du centre de données
  • Sécurité des opérations
    • Politique de contrôle et de consignation des systèmes d’information
  • Sécurité de communication
    • Politique de sécurité de réseau et communications
    • Politique de sécurité de l’échange d’informations
  • Acquisition, développement et maintenance du système
    • Politique de gestion de la configuration système
    • Politique de sécurité de l’application
  • Relations avec les fournisseurs
    • Politique de gestion de la sécurité des tiers
    • Politique de Sécurité de l’utilisation des services cloud
  • Gestion des incidents liés à la sécurité de l’information
    • Politique de gestion des incidents liés à la sécurité de l’information
  • Aspects de la sécurité de l’information dans la gestion de la continuité des opérations
    • Politique de continuité des activités / de reprise après sinistre
  • Conformité
    • Politique d’évaluation de la conformité

En savoir plus