Les informations constituent un actif important de Continicare Corp. ("Continicare") qui doit être protégé contre tout accès, modification ou utilisation non autorisé. La présente politique fournit des directives sur les mesures de sécurité relatives à l'accès aux informations détenues et gérées par Continicare, y compris les informations collectées sur ses clients. 

Continicare s'engage à protéger la sécurité des informations personnelles et des informations sensibles de ses clients, employés et autres parties prenantes. Pour atteindre cet objectif, nous avons établi la politique de sécurité de l'information suivante afin de garantir que toutes les informations sont traitées avec soin et protégées contre l'accès, l'utilisation ou la divulgation non autorisés.

Continicare se conformera aux exigences de sécurité décrites dans la présente politique. 

APPLICABILITÉ

La présente politique s'applique à toute personne contrôlée par Continicare et susceptible d'accéder, de traiter, de transmettre et/ou de stocker des informations de Continicare, des informations sur les clients ou d'avoir accès aux réseaux des clients. La présente politique s'applique à tous les employés, contractants et autres personnes ayant accès aux informations et systèmes de Continicare. Elle couvre tous les types d'informations, y compris les informations d'identification personnelle, les informations financières, les informations sur la santé, la propriété intellectuelle et toute autre information sensible ou confidentielle.

Toutes les unités commerciales de Continicare doivent être pleinement conscientes du contenu de cette politique. Le personnel de direction, y compris Don Waugh(Don@continicare.com, Chief Operating Officer), est responsable au premier chef du respect et de l'application cohérente de cette politique au sein de leurs unités commerciales respectives.

CHAMP D'APPLICATION

Le champ d'application de la présente politique comprend les informations détenues par Continicare ("informations Continicare") et les informations des clients, y compris les réseaux des clients.

AUDIENCE

Le public visé par cette politique est l'ensemble des employés de Continicare, ainsi que les contractants, les consultants et les tiers, y compris les clients. Une copie de cette politique sera disponible sur le site web de Continicare - Sécurité de l'information - Continicare Corp (continicare.com).

OBJECTIF

L'objectif de cette politique est d'établir des lignes directrices et des responsabilités claires pour la protection des informations de Continicare. Il s'agit notamment de garantir la confidentialité, l'intégrité et la disponibilité de toutes les informations, ainsi que la protection contre tout accès, utilisation ou divulgation non autorisés des informations.

DÉFINITIONS

Les définitions des termes utilisés dans la présente politique figurent à l'annexe A.

PRINCIPE SOUS-JACENT

L'accès à l'information est régi par trois principes fondamentaux :

1. Le "besoin de savoir". L'accès aux informations confidentielles doit être strictement fondé sur le "besoin de savoir" des entreprises.

2. La relation juridique entre un individu et Continicare. Alors que les employés de Continicare sont soumis à des obligations de confidentialité dans le cadre de leur contrat de travail, les tiers sont tenus de signer des accords de non-divulgation avant de pouvoir accéder aux informations non publiques de Continicare.

3. Accès individuel. Sur demande, les employés de Continicare et ses clients doivent être informés de l'existence, de l'utilisation et de la divulgation de leurs informations personnelles et doivent avoir accès à ces informations afin d'en valider ou d'en contester l'exhaustivité ou l'exactitude et de les faire modifier le cas échéant. Ce principe est en totale conformité avec la Loi sur la protection des renseignements personnels et les documents électroniques (" LPRPDE ", Canada) à laquelle Continicare est soumise, et le Data Protection Act (Royaume-Uni), le Règlement général sur la protection des données (" RGPD ", Europe) et le California Consumer Privacy Act (" CCPA ", Californie) ainsi que d'autres législations pertinentes ou applicables. Les coordonnées de Continicare à cet effet sont les suivantes : Privacy@Continicare.com[RM2].

DÉTAILS DE LA POLITIQUE

Responsabilités

1. Utilisateurs d'informations. Chaque utilisateur d'informations est responsable de la protection des enregistrements d'informations auxquels il a été autorisé à accéder, à utiliser ou à contrôler conformément aux politiques, pratiques et normes de sécurité de Continicare

.

2. Propriétaires des informations. Les cadres dirigeants de Continicare (président, vice-présidents exécutifs, vice-présidents principaux et vice-présidents) sont les premiers responsables de la sécurité des informations et doivent s'assurer (i) de la conformité aux politiques et pratiques de sécurité dans leurs domaines de responsabilité respectifs, et (ii) que l'accès aux informations sensibles et leur utilisation sont autorisés et ne sont accordés qu'aux personnes qui ont besoin de savoir.

3. Dépositaires de l'information. ) sont chargés de préserver la confidentialité, l'intégrité et la disponibilité des dossiers d'information dont ils ont la charge et le contrôle, en fonction du niveau de classification de sécurité accordé à ces dossiers.

Gestion de l'accès

1. Identification. Les utilisateurs d'informations doivent disposer d'un identifiant unique pour accéder aux systèmes d'information de Continicare. Les identifiants uniques ne doivent pas être partagés.

2. Authentification de l'utilisateur. L'authentification multifactorielle créée et utilisée par les employés de Continicare doit être traitée comme une information sensible et ne doit pas être partagée avec une autre personne, y compris les administrateurs de système, les superviseurs ou d'autres collègues. L'authentification multifactorielle doit être utilisée pour protéger tous les comptes et systèmes.

3. Transfert de la propriété des informations. Conformément au principe du besoin de savoir, un examen des privilèges d'accès des employés doit être effectué par les dépositaires d'informations appropriés de Continicare à la suite du transfert de tout employé vers d'autres services au sein de Continicare. Lorsque des employés quittent l'entreprise, des mesures doivent être prises pour s'assurer que les informations qu'ils laissent derrière eux sont attribuées à de nouveaux propriétaires. Par défaut, et sauf instructions contraires, la propriété des informations sera attribuée à leurs superviseurs respectifs.

4. Accès par des tiers. Un accord de confidentialité formel doit être signé par tous les contractants ou tiers de Continicare (ou leurs représentants autorisés, le cas échéant) avant qu'ils ne puissent avoir accès aux informations non publiques de Continicare.

5. De temps à autre, les clients de Continicareou des tiers peuvent souhaiter divulguer des informations sensibles à certains employés de Continicare dans le cadre d'un accord de confidentialité. Les employés de Continicare ne sont pas autorisés à signer un accord de confidentialité au nom de Continicare, sauf s'ils ont été autorisés par le personnel de direction et s'ils satisfont aux exigences énoncées dans la politique d'autorisation.

Programme de gestion de la sécurité

Continicare a mis en place un programme de sécurité rigoureux, qui comprend l'élaboration et la mise en œuvre d'un programme de gestion de la sécurité de l'information définissant la manière dont Continicare gère perpétuellement la sécurité d'une manière holistique et complète, y compris :

- Nous évaluons systématiquement nos risques en matière de sécurité de l'information, en tenant compte de l'impact des menaces et des vulnérabilités.

- Nous avons conçu et mis en œuvre un ensemble complet de contrôles de la sécurité de l'information et d'autres formes de gestion des risques pour faire face aux risques liés à la sécurité des clients et de l'architecture.

- Nous disposons d'un processus de gestion global pour garantir que les contrôles de sécurité de l'information répondent en permanence à nos besoins et à ceux de nos clients.

Continicare s'engage à gérer les risques liés à l'information conformément aux meilleures pratiques du secteur, et nos politiques, normes, processus et procédures documentés actuels sont conformes aux normes internationales ISO/IEC 27002:2022 à tous égards importants, en mettant l'accent sur les points suivants

1.1. Organisation de la sécurité de l'information. Continicare a mis en place une fonction organisationnelle de sécurité de l'information parrainée par la direction, avec des rôles, des responsabilités et une obligation de rendre compte clairement définis en matière de protection de l'information.

1.2. Localisation des données. Continicare ne traitera pas, ne transmettra pas et/ou ne stockera pas les informations du client en dehors du pays dans lequel le bureau du client est situé, sans l'accord écrit préalable de la direction du client.

1.3. Sécurité des ressources humaines.

a) les représentants de Continicare ayant accès aux informations du client ou à un système Continicare doivent, avant d'obtenir l'accès à ces informations ou à ce système, participer (ou avoir participé) à une formation de sensibilisation à la sécurité de l'information fournie par Continicare et, par la suite, y participer périodiquement (pas moins d'une fois par an), et sur demande du client, Continicare fournira une confirmation écrite que cette formation a eu lieu ; et

b) Continicare a mis en œuvre des processus qui exigent que tous les représentants de Continicare ayant accès aux informations sur les clients soient soumis à des contrôles de dépistage proportionnels aux services fournis, au type d'informations sur les clients et au niveau d'accès.

1.4. Gestion des actifs.

a) Continicare tient un inventaire des systèmes Continicare (y compris le propriétaire et l'emplacement) qui traitent, transmettent et/ou stockent les informations relatives aux clients ; et

b) Avant de se débarrasser de tout matériel, support ou logiciel contenant, ou ayant contenu à un moment quelconque, des informations sur les clients, Continicare procède à une destruction judiciaire de toutes les informations sur les clients contenues dans ce matériel ou ce logiciel, de sorte qu'aucune de ces informations sur les clients ne puisse être récupérée ou retrouvée. Cette destruction forensique peut impliquer : (a) une destruction physique, y compris l'incinération ; ou (b) un effacement sécurisé des données.

1.5. Contrôle d'accès.

a) Continicare restreint l'accès aux informations relatives au client afin que ces informations ne soient disponibles que pour le client, ses affiliés, Continicare et les représentants de Continicare sur la base du "besoin de savoir" (y compris en mettant en œuvre des principes adéquats de séparation des tâches) ;

b) Continicare a mis en œuvre des processus qui exigent la création, la modification et la suppression sécurisées des comptes système (locaux et distants), y compris des comptes privilégiés, et/ou aidera le client à mettre en œuvre de tels processus, le cas échéant ;

c) Au plus tard à la date à laquelle un représentant de Continicare cesse de contribuer à la fourniture des services, Continicare met fin à l'accès de ce représentant de Continicare, qu'il soit physique ou logique, qui peut lui permettre d'accéder aux informations relatives au client ;

d) Continicare examine et met à jour les droits d'accès aux informations des clients et aux systèmes de Continicare au moins une fois par an ;

e) Continicare a mis en œuvre des processus qui exigent que tous les utilisateurs se voient attribuer une identification d'utilisateur unique qui ne doit pas être partagée, et tous les représentants de Continicare doivent être tenus d'authentifier leur identité (par exemple, authentification multifactorielle) avant d'accéder aux informations relatives aux clients ;

f) Continicare applique les exigences minimales suivantes en matière d'authentification dans les systèmes Continicare :

i. L'utilisation par défaut d'une authentification multifactorielle, idéalement biométrique et basée sur la possession. 

ii. Les mots de passe, s'ils sont utilisés, sont cryptés ;

iii. les informations d'identification des comptes d'utilisateurs (par exemple, l'authentification multifactorielle) ne doivent pas être partagées ;

iv. si des mots de passe sont requis, des mots de passe forts comprenant : la longueur minimale du mot de passe (au moins 12 caractères), le verrouillage (maximum 5 tentatives incorrectes), la complexité et les délais d'attente de la session ; et

v. les mots de passe par défaut sont interdits ;

g) Continicare a mis en œuvre des processus qui exigent que les représentants de Continicare ne stockent pas les informations relatives aux clients sur un appareil appartenant à la personne, sauf si cet appareil a été autorisé et sécurisé par Continicare ; et

h) Tout représentant de Continicare accédant à la totalité ou à une partie d'un système Continicare ou d'un système client qui traite, stocke et/ou transmet des informations sur les clients doit être authentifié à l'aide d'une méthode d'authentification minimale à deux facteurs et/ou multifactorielle.

1.6. Sécurité des opérations.

a) Continicare a mis en œuvre des processus qui exigent que les événements liés à la sécurité sur chaque système Continicare soient enregistrés, examinés mensuellement, sécurisés et conservés pendant une période de 12 mois ;

b) Les systèmes Continicare disposent de contrôles de sécurité permettant de détecter et de prévenir les attaques en utilisant des pare-feu et des systèmes de détection/prévention des intrusions (IDS/IPS) en fonction des risques (par exemple, entre l'internet et un accès non autorisé, et entre des acteurs non autorisés et des serveurs internes contenant des informations sur les clients). Les alertes de priorité élevée et critique sont surveillées en permanence et font l'objet d'une réponse rapide ;

c) Continicare effectue des évaluations trimestrielles de la vulnérabilité et des tests de pénétration annuels sur chaque système Continicare connecté à l'internet et, à la demande du client, partage le résumé des résultats de toutes ces évaluations et de tous ces tests avec le client dans les 30 jours suivant leur achèvement. Les lacunes critiques et à haut risque doivent être comblées dans les 30 jours suivant la réception par Continicare des résultats de ces évaluations et tests ;

d) Continicare met en œuvre et maintient des contrôles pour prévenir et détecter les accès non autorisés, les intrusions et les logiciels malveillants sur tous les systèmes Continicare, qui comprennent au minimum :

i. Programmes antivirus côté client et côté serveur comprenant les définitions antivirus les plus récentes ;

ii. une procédure permettant d'installer, dans un délai de trente (30) jours, tous les correctifs ou mises à jour de sécurité critiques pour l'ensemble des environnements de production et des environnements orientés vers l'internet ;

iii. veiller à ce que seuls les logiciels sous licence soient installés sur les systèmes Continicare ; et

iv. en veillant à ce que les dernières mises à jour et les derniers correctifs des logiciels et du matériel aient été testés avant d'être appliqués aux systèmes Continicare afin de remédier à toutes les vulnérabilités connues ;

a) Continicare maintient des procédures documentées de gestion des changements qui fournissent une approche cohérente pour le contrôle et l'identification des changements (y compris les changements à haut risque et les changements d'urgence) de tout système Continicare, ce qui inclut la séparation des tâches et les exigences en matière de sécurité ;

b) Les environnements de développement et de test des systèmes Continicare sont physiquement et/ou logiquement séparés des environnements de production et des environnements orientés vers l'internet. Les modifications apportées à la production doivent être approuvées par le propriétaire concerné ;

c) Continicare n'utilise pas de données de production comprenant des informations sur les clients à des fins de test, à moins que l'environnement de test ne soit soumis aux mêmes contrôles que l'environnement de production ; et

d) Pour les informations des clients hébergées dans un environnement partagé ou en nuage, Continicare assure une séparation physique et/ou logique des informations des autres clients de Continicare.

1.7. Cryptographie.

Les informations sur les clients sont cryptées lorsqu'elles sont en transit et au repos, et Continicare protège les informations sur les clients en mettant en œuvre des types d'algorithmes de cryptographie et de hachage, leur force et des processus de gestion des clés, conformes ou supérieurs aux normes actuelles du secteur de la sécurité. Continicare et les représentants de Continicare ne transfèrent pas les informations sur les clients vers un dispositif informatique portable ou un support de stockage portable, à moins qu'elles ne soient cryptées conformément aux normes de sécurité actuelles de l'industrie ou qu'elles les dépassent.

1.8. Gestion des incidents liés à la sécurité de l'information.

1. Continicare a mis en œuvre des plans et des procédures de réponse aux incidents de sécurité, actualisés et documentés, couvrant les phases de détection, d'analyse, d'endiguement, d'éradication, de récupération et d'activité post-incident. 

2. Des mises à jour et des correctifs de sécurité doivent être appliqués régulièrement à tous les systèmes et appareils afin de garantir la sécurité des informations qu'ils contiennent.

3. Toute faille ou vulnérabilité en matière de sécurité doit être immédiatement signalée aux autorités compétentes.

1.9. Soutien. 

Continicare est tenu de sauvegarder et de conserver les informations des clients, Continicare conserve les sauvegardes dans des lieux physiquement et écologiquement sûrs, à la fois sur site et hors site, et Continicare effectue ces sauvegardes à intervalles réguliers. Des programmes réguliers de formation et de sensibilisation doivent être menés pour former les employés aux meilleures pratiques en matière de sécurité de l'information.

1. Exigences en matière de sécurité physique et environnementale

Cette section fait référence aux installations de Continicare (y compris les installations de chacun de nos affiliés et représentants de Continicare qui participent à la fourniture des services) qui stockent les informations des clients et/ou sont connectées à un ou plusieurs réseaux de clients.

a) Les installations de Continicare ont des périmètres physiquement sécurisés et les points d'entrée externes sont protégés contre les accès non autorisés. L'accès à tous les sites est limité aux représentants de Continicare et aux visiteurs autorisés. Les zones de réception, le cas échéant, doivent être dotées de moyens de contrôle de l'accès physique ;

b) L'accès aux zones où les informations sur les clients sont stockées ou peuvent être consultées est limité aux représentants autorisés de Continicare et aux visiteurs autorisés. L'accès doit être surveillé, enregistré et contrôlé, et les droits d'accès physiques doivent être revus au moins une fois par an ;

c) Continicare tient des registres des accès autorisés, qui doivent être conservés pendant une période d'au moins 12 mois, et qui seront fournis au client sur demande. S'il n'y a pas de personnel 24 heures sur 24 et 7 jours sur 7, des alarmes et des caméras de sécurité aux points d'entrée doivent être installées pour surveiller les accès en dehors des heures de travail et les enregistrements doivent être conservés pendant une période de 3 mois ;

d) Tous les représentants de Continicare et les visiteurs autorisés doivent recevoir une carte d'identification unique. Les cartes d'identification doivent être affichées de manière visible à tout moment dans les locaux, et toutes les cartes de visiteur doivent être récupérées et inventoriées quotidiennement ;

e) Les visiteurs autorisés sont tenus de signer un registre des visiteurs à chaque entrée et sortie des locaux et sont accompagnés ou observés à tout moment ;

f) Une politique de bureau clair doit être appliquée dans l'ensemble des installations de Continicare. Les documents papier et les supports de stockage portables contenant des informations sur les clients doivent être conservés en lieu sûr lorsqu'ils ne sont pas utilisés ;

g) Tous les serveurs et/ou équipements de réseau utilisés pour stocker ou accéder aux informations relatives aux clients sont conservés dans une pièce sécurisée avec les contrôles suivants :

i. Des mécanismes de contrôle d'accès physique doivent être installés sur toutes les portes ;

ii. Les chambres doivent être situées à l'intérieur du bâtiment et ne pas avoir de fenêtres, sauf si des dispositifs de protection sont en place pour éviter qu'elles ne se brisent ;

iii. Les équipements de télécommunications, le câblage et les relais recevant des données ou des services d'appui doivent être protégés contre l'interception ou l'endommagement ; et

iv. Les mécanismes de détection et d'extinction des incendies sont en place, testés et fonctionnent conformément aux codes locaux de prévention des incendies en vigueur ; et

h) Pour les salles contenant des serveurs et/ou des équipements de réseau utilisés pour fournir des services au client, des contrôles sont mis en œuvre pour atténuer le risque de pannes de courant (par exemple, des parasurtenseurs, des alimentations sans interruption et des générateurs) et pour garantir des conditions environnementales conformes aux paramètres de fonctionnement de ces équipements (par exemple, la température et l'humidité). 

2. Services de développement de logiciels

Continicare a mis en œuvre un processus documenté et validé de cycle de vie de développement de logiciels qui comprend la collecte des exigences, la conception du système, les essais d'intégration, les essais d'acceptation par l'utilisateur et l'acceptation du système. Les exigences en matière de sécurité doivent être documentées et incluses tout au long de ce cycle de vie. Continicare doit fournir à tous les développeurs une formation au développement de code sécurisé. Toutes les failles de sécurité confirmées et critiques découvertes lors des tests doivent être corrigées et testées à nouveau avant de passer à la phase de production.

3. Mises à jour des politiques.

Cette politique sera revue et mise à jour régulièrement afin de s'assurer qu'elle reste cohérente avec les meilleures pratiques du secteur et les exigences légales.

ANNEXE A - DÉFINITIONS

Le terme "affilié " désigne toute autre personne qui, directement ou indirectement par le biais d'un ou de plusieurs intermédiaires, contrôle cette personne, ou est contrôlée par elle, ou est sous contrôle commun avec elle. Le terme"contrôle" tel qu'il est utilisé dans la présente définition (y compris, avec des significations corrélatives, les termes "contrôlé par" et "sous contrôle commun avec" tels qu'ils sont utilisés à l'égard de toute personne) signifie la possession, directe ou indirecte, du pouvoir de diriger ou de faire diriger la gestion et les politiques de cette personne, que ce soit par la propriété de titres avec droit de vote, par contrat ou de toute autre manière.

Informations de Continicare: toute information non publique de Continicare, de ses concédants et de ses agents, y compris, sans s'y limiter, la présentation ou la non-présentation des données contenues dans tout produit ou service, les frais facturés à ce titre et le contenu de tout accord conclu par Continicare pour quelque raison que ce soit, les secrets commerciaux, les informations confidentielles, les informations personnelles et les informations exclusives de Continicare et/ou de ses concédants et agents, qu'elles aient été divulguées oralement ou par écrit.

Systèmes Continicare désigne tout intranet, ordinateur autonome ou autre système connecté non cloud maintenu ou fourni par Continicare en interne à ces employés, agents, administrateurs, entrepreneurs ou autres tiers, et qui peut héberger des informations sur les clients, des informations confidentielles et/ou des informations Continicare.

Les représentants de Continicare désignent tout dirigeant, employé, contractant ou agent de Continicare qui a été autorisé par la direction générale de Continicare à faire des déclarations au nom de Continicare.

L'EULA de Continicare désigne un contrat de licence pour utilisateur final de Continicare avec une date d'entrée en vigueur spécifiée, conclu par Continicare et un client.

Les informations sur les clients désignent toutes les informations et/ou données fournies par un client à Continicare dans le cadre d'un accord écrit, y compris tout CLUF de Continicare conclu entre le client et Continicare, et peuvent inclure des informations confidentielles. 

Les réseaux des clients désignent les systèmes, les dispositifs, l'infrastructure et les réseaux utilisés par les clients et leurs agents et employés pour accéder aux produits ou services internes. Ces réseaux peuvent inclure les propres réseaux internes des clients, ainsi que tout réseau externe que le client utilise pour se connecter aux systèmes de Continicare. Ces réseaux peuvent être utilisés pour transmettre des informations sensibles telles que des données financières, des informations d'identification personnelle ou des informations sur la santé. Afin de protéger la sécurité des réseaux des clients conformément à la norme ISO 27002:2022, il est important qu'une organisation mette en œuvre des garanties et des contrôles appropriés pour assurer la confidentialité, l'intégrité et la disponibilité des informations transmises sur ces réseaux. Il peut s'agir de mesures telles que le cryptage, l'authentification sécurisée et les contrôles d'accès, ainsi que la maintenance et les mises à jour régulières pour garantir la sécurité du réseau.

Les informations confidentielles sont des éléments qui ne sont pas généralement disponibles ou utilisés par d'autres ou dont l'utilité ou la valeur n'est pas généralement connue ou reconnue, que les détails sous-jacents soient ou non dans le domaine public, et comprennent, sans s'y limiter, les informations sur les clients, les logiciels, les systèmes de livraison, les informations concernant les plans et stratégies de marketing, les bénéfices, les coûts, la tarification et les systèmes et procédures énoncés dans la présente politique, qui sont acquis ou développés par Continicare ou en son nom, ou fournis à Continicare par un client quelconque ; dans le cas d'un client, les informations confidentielles comprennent toutes les informations personnelles relatives à un employé, un contractant, un client ou une autre personne du client.

Les informations personnelles désignent toute information concernant une personne identifiable. Il s'agit notamment du nom, de l'adresse, du numéro de téléphone, de l'adresse électronique, de l'âge, du sexe, de la race, de l'origine ethnique, de la religion, des convictions politiques, de l'orientation sexuelle, de l'état civil, du niveau d'éducation, des informations financières, des informations médicales, des antécédents professionnels, des données biométriques, etc. Les informations personnelles identifiables (IPI) sont un sous-ensemble d'informations personnelles qui peuvent être utilisées pour identifier une personne. Elles comprennent des informations telles que le nom, le numéro de sécurité sociale, le numéro de permis de conduire, le numéro de passeport et les numéros de comptes financiers, conformément à la LPRPDE au Canada, au GDPR dans l'Union européenne, au Data Protection Act (DPA) au Royaume-Uni et au California Consumer Privacy Act (CCPA), qui réglemente la collecte, l'utilisation et la divulgation d'informations personnelles. 

Les informations sensibles désignent certains types d'informations à caractère personnel qui nécessitent un niveau de protection plus élevé en raison de leur caractère sensible. Les informations sensibles peuvent inclure, sans s'y limiter, les types d'informations suivants :

1. Informations d'identification personnelle : Il s'agit d'informations telles que le nom, l'adresse, le numéro de téléphone et l'adresse électronique d'une personne, ainsi que des données biométriques telles que les empreintes digitales et les données de reconnaissance faciale.

2. Informations financières : Il s'agit d'informations telles que les numéros de comptes bancaires, les numéros de cartes de crédit et l'historique des transactions financières.

3. Informations sur la santé : Il s'agit des informations relatives à la santé physique ou mentale d'une personne, y compris les dossiers médicaux et les informations relatives à l'assurance.

4. Communication personnelle : Il s'agit des informations contenues dans les courriels personnels, les textes et autres formes de communication.

5. La propriété intellectuelle : Il s'agit des informations exclusives, des secrets commerciaux et d'autres formes de propriété intellectuelle.

Afin de protéger les informations sensibles conformément à la norme ISO 27002:2022, il est important de mettre en œuvre des garanties et des contrôles appropriés pour s'assurer que les informations ne sont accessibles qu'aux personnes autorisées et qu'elles ne sont pas divulguées ou utilisées à mauvais escient de quelque manière que ce soit. Il peut s'agir de mesures telles que le cryptage, le stockage sécurisé, les contrôles d'accès et la formation des employés aux meilleures pratiques en matière de sécurité de l'information.