10. Firm infrastructure (copyrights, CISSP, GDPR)

Firm Infrastructure - includes activities such as finance, legal, quality management, etc.

10.1. Copyrights

10.2. CISSP

10.2.1. Business Continuity Plan

When business is disrupted, it can cost money. Lost revenues plus extra expenses means reduced profits. Insurance does not cover all costs and cannot replace customers that defect to the competition. A business continuity plan to continue business is essential. Development of a business continuity plan includes four steps:

  • Conduct a business impact analysis to identify time-sensitive or critical business functions and processes and the resources that support them.
  • Identify, document, and implement to recover critical business functions and processes.
  • Organize a business continuity team and compile a business continuity plan to manage a business disruption.
  • Conduct training for the business continuity team and testing and exercises to evaluate recovery strategies and the plan.
  • Source Official website of the Department of Homeland Security : https://www.ready.gov/business/implementation/continuity

10.2.2. Disaster Recovery Plan

An information technology disaster recovery plan (IT DRP) should be developed in conjunction with the business continuity plan. Priorities and recovery time objectives for information technology should be developed during the business impact analysis. Technology recovery strategies should be developed to restore hardware, applications and data in time to meet the needs of the business recovery.

Source Official website of the Department of Homeland Security : https://www.ready.gov/business/implementation/IT

10.3. GDPR - Règlement général sur la protection des données

Le règlement no 2016/679, dit règlement général sur la protection des données (RGPD, ou encore GDPR, de l’anglais General Data Protection Regulation), est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel1. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne.

Après quatre années de négociations législatives, ce règlement a été définitivement adopté par le Parlement européen le 14 avril 2016. Ses dispositions sont directement applicables dans l’ensemble des 28 États membres de l’Union européenne à compter du 25 mai 2018.

Ce règlement remplace la directive sur la protection des données personnelles adoptée en 1995 (article 94 du règlement) ; contrairement aux directives, les règlements n’impliquent pas que les États membres adoptent une loi de transposition pour être applicables2.

Les principaux objectifs du RGPD sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l’augmentation du pouvoir des autorités de régulation.

10.3.1. PROCESS

  • Describe the project
  • Ensure that a clear consent is described and the user clicks on the checkbox (sentence is in the active voice + describe with precision the kind of treatment)
  • Describe the treatments of personal data
  • Describe the sub contracts such as Microsoft AppInsight, Google Analytics, Insurance, Bank

10.3.2. DATA MODEL

How to store the consent?

How to build the audit trail? - application name - which operation has been triggered? - who performed the operation - list the dossiers that have been exported (csv format) - Current dateTime - url used to generate the log