Guide sur la sécurité des fournisseurs de cloud à Oshawa

Ce guide explique comment les exigences de sécurité des fournisseurs pour l'hébergement cloud s'appliquent aux fournisseurs travaillant avec la Ville d'Oshawa, Ontario. Il couvre ce que les cadres d'approvisionnement municipal et de protection de la vie privée exigent généralement, comment structurer les clauses contractuelles pour la résidence et l'accès aux données, les contrôles techniques recommandés, la réponse aux incidents et les droits d'audit, ainsi que les lois et politiques applicables. Utilisez-le comme liste de contrôle pratique lors de la soumission d'offres, de la négociation ou de l'exploitation de services cloud traitant des documents municipaux, des renseignements personnels régis par la loi provinciale ou fédérale, ou des infrastructures intégrées aux systèmes municipaux.

Exigences clés pour les fournisseurs cloud

Les fournisseurs doivent s'attendre à remplir des contrôles et obligations contractuelles incluant la classification des données, le chiffrement en transit et au repos, les contrôles d'accès, la consignation et la conservation, la gestion des sous-traitants et la notification des incidents. De nombreux accords municipaux exigent également le respect des lois sur la vie privée applicables et la capacité à supporter des audits et des tests de sécurité.

• Inclure des clauses sur la propriété des données, les usages permis et la suppression ou restitution sécurisée des données à la fin du contrat.
• Exiger le contrôle d'accès basé sur les rôles, l'authentification multifactorielle pour les comptes privilégiés et le principe du moindre privilège.
• Fournir des journaux, des preuves de non-altération et des calendriers de conservation compatibles avec la tenue de dossiers municipaux.
• Permettre des évaluations de sécurité programmées et déclenchées par incident, sous réserve des portées et préavis convenus.
• Maintenir des assurances et des indemnisations adéquates comme l'exige le document d'approvisionnement.

Cadre juridique et sources officielles

Les fournisseurs municipaux doivent tenir compte des lois provinciales sur la vie privée et des textes municipaux et fédéraux applicables. La Loi sur les municipalités et la loi provinciale sur la protection de la vie privée définissent les pouvoirs municipaux sur les dossiers et les obligations qui affectent la sous-traitance et l'hébergement cloud. Pour les obligations fédérales en matière de renseignements personnels liées aux activités commerciales, la LPRPDE peut s'appliquer en fonction des renseignements traités et de la nature du service.MFIPPA^[1] LPRPDE^[2] Municipal Act, 2001^[3]

Amendes et application

La ville applique les conditions contractuelles et la loi applicable par des recours contractuels, des processus administratifs et, lorsque autorisé, par des mesures statutaires. Les montants d'amendes monétaires pour les violations de la sécurité cloud ne sont pas habituellement précisés dans les arrêtés municipaux; les montants et pénalités sont souvent établis par les recours contractuels ou en vertu des lois provinciales/fédérales et sont non spécifiés sur les pages citées lorsqu'un montant précis est recherché.

• Amendes monétaires : non spécifiées sur les pages citées; les fournisseurs doivent s'attendre à des dommages contractuels et à des obligations statutaires en vertu de la loi sur la vie privée applicable.
• Escalade : la première infraction, les infractions répétées ou continues entraînent généralement des recours contractuels progressifs jusqu'à la résiliation et des actions en justice; les plages spécifiques ne sont pas spécifiées sur les pages citées.
• Sanctions non monétaires : ordres de remédiation, suspension ou résiliation des services, mesures injonctives ou judiciaires et obligations de notification des personnes concernées.
• Organisme d'application et inspections : les administrateurs de contrat, les services informatiques, les services juridiques et d'approvisionnement de la Ville d'Oshawa et les régulateurs provinciaux compétents appliquent les obligations; les plaintes et contrôles de conformité passent par ces bureaux.
• Appels et révision : résolution des différends contractuels, révisions administratives ou procédures judiciaires prévues dans le contrat ou la loi applicable; les délais précis ne sont pas spécifiés sur les pages citées.

Demandes et formulaires

Lorsqu'un processus municipal exige des formulaires (par exemple les demandes d'accès aux dossiers en vertu de la loi provinciale), le bureau compétent publie le formulaire et les instructions de soumission. Pour les demandes statutaires, consultez la page MFIPPA pour les détails du processus; les formulaires spécifiques de la Ville d'Oshawa sont publiés par la Ville et doivent être utilisés lorsque requis. Si aucun formulaire n'est requis, la page officielle le précisera.

• Demandes d'accès : vérifiez le bureau municipal FOI/Protection de la vie privée pour le formulaire officiel.
• Soumissions d'approvisionnement : utilisez les formulaires de soumission et d'assurance inclus dans la RFP ou le contrat.

Contrôles opérationnels et audit

Les contrôles concrets incluent des droits d'audit contractuels, des rapports programmés, la gestion des clés de chiffrement, la séparation des environnements production/test et une réponse aux incidents documentée avec des délais SLA. Les fournisseurs doivent conserver des preuves de conformité (journaux, rapports, certificats) pour répondre aux demandes d'audit et aux assureurs.

• Délais de notification des incidents : notification immédiate suivie d'un rapport écrit dans un nombre de jours précisé; les délais exacts sont normalement fixés dans les contrats.
• Droits d'audit : définir la portée, la fréquence et les exigences de préavis pour les évaluations et inspections de sécurité.
• Preuves : conserver journaux, enregistrements d'accès et historiques de changements pour démontrer la conformité.

FAQ

Qui applique les obligations de sécurité cloud pour les fournisseurs municipaux ?

L'administrateur de contrat de la Ville, les services informatiques, les services juridiques et d'approvisionnement appliquent les obligations contractuelles; les régulateurs provinciaux de la vie privée appliquent les obligations statutaires.

Existe-t-il des amendes fixes pour les violations de sécurité cloud dans les arrêtés municipaux ?

Les montants monétaires sont généralement fixés dans les contrats ou les lois applicables; les montants précis ne sont pas spécifiés sur les pages citées.

Que dois-je inclure dans une RFP pour l'hébergement cloud ?

Inclure la classification des données, le chiffrement, le contrôle d'accès, les règles de sous-traitance, les droits d'audit, la notification des incidents, la résidence des données et la gestion des données en cas de résiliation.

How-To

1. Examiner les documents d'approvisionnement et identifier les clauses de sécurité requises et les références statutaires.
2. Cartographier les flux de données et classifier les données pour déterminer les protections juridiques applicables.
3. Mettre en œuvre les contrôles : chiffrement, MFA, RBAC, journalisation et séparation des environnements.
4. Convenir des droits d'audit contractuels et des SLA de notification d'incident avec la Ville.
5. Maintenir les assurances requises et être prêt à démontrer la conformité sur demande.

Points clés

• Considérez les contrats municipaux et les lois sur la vie privée comme les principaux moteurs des exigences.
• Négociez les droits d'audit, de rapport et de résiliation avant signature.

Help and Support / Resources

• Ville d'Oshawa - Contact
• Ville d'Oshawa - Approvisionnement
• Ville d'Oshawa - Application des arrêtés
• Municipal Act, 2001

1. [1] Municipal Freedom of Information and Protection of Privacy Act (MFIPPA) - Government of Ontario
2. [2] Personal Information Protection and Electronic Documents Act (PIPEDA) - Justice Laws
3. [3] Municipal Act, 2001 - Government of Ontario