Que requiert le contrôle A.3.30 ?
L'organisation doit diriger, surveiller et examiner les activités liées au développement du système de traitement externalisé des données personnelles.
Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe (A.3) aborde le fait que de nombreuses organisations externalisent tout ou partie de leur développement logiciel. Qu’elles fassent appel à des sous-traitants, des agences, des équipes offshore ou des fournisseurs de services gérés, l’organisation demeure responsable de s’assurer que les systèmes externalisés protègent les données personnelles au même niveau que les systèmes développés en interne. Les trois verbes – diriger, surveiller et examiner – définissent un cadre de contrôle complet.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.3.30) fournit les indications suivantes :
- Appliquer la protection de la vie privée dès la conception et par défaut — Les mêmes principes de protection des données dès la conception et par défaut (voir B.3.29) doivent être appliqués, le cas échéant, aux systèmes d'information externalisés.
Les directives sont volontairement concises car l'ensemble complet des principes de développement de A.3.29 Architecture système sécurisée Cela s'applique également aux travaux externalisés. Concrètement, les contrats de développement externalisé doivent inclure les principes d'ingénierie de sécurité de l'organisation, et cette dernière doit mettre en place des mécanismes de contrôle pour vérifier leur conformité tout au long du processus de développement.
Comment cela se traduit-il au regard du RGPD ?
La commande A.3.30 n'a pas de connexion directe GDPR Le mappage des articles figure à l'annexe D. Toutefois, il soutient indirectement plusieurs obligations du RGPD :
- Article 25 (1) — La protection des données dès la conception s'applique, que le développement soit réalisé en interne ou externalisé.
- Article 28 — Lorsqu'un développeur externe agit en tant que sous-traitant, les exigences de l'article 28 (contrats de sous-traitance, instructions, mesures de sécurité) s'appliquent
Le RGPD précise que l'externalisation n'entraîne pas le transfert de responsabilité. Le responsable du traitement ou le sous-traitant demeure responsable de la confidentialité et de la sécurité des systèmes mis en place pour son compte.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était couverte par la clause 6.11.2.7 (développement externalisé). L'édition 2025 conserve l'exigence fondamentale (A.3.30) et les recommandations de mise en œuvre (B.3.30) font désormais explicitement référence aux principes de protection des données dès la conception et par défaut (B.3.29). Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.3.30, les auditeurs recherchent généralement :
- Contrats de développement comportant des exigences en matière de protection de la vie privée — Contrats avec des développeurs externes incluant des exigences en matière de protection des données personnelles, des principes d'ingénierie sécurisée, des obligations de traitement des données et le droit à un audit
- Dossiers de direction et de surveillance — Preuves de la manière dont l'organisation communique les exigences en matière de confidentialité aux développeurs externes, y compris les spécifications, les lignes directrices et le matériel de formation fournis
- Activités de surveillance — Les enregistrements du suivi continu, tels que les revues de code, les tests de sécurité, les revues d'avancement et les contrôles de conformité effectués pendant la mission de développement
- Critères d'examen et d'acceptation — Processus d'examen documentés, y compris les tests d'acceptation axés sur la protection de la vie privée, la validation de l'examen de sécurité et la vérification que les livrables respectent les exigences en matière de protection des renseignements personnels.
- Gestion des données pendant le développement — Preuves que les développeurs externes n'utilisent pas de véritables données personnelles pour les tests (lien vers A.3.31 Informations sur les tests) et que tout accès aux données personnelles est correctement contrôlé et consigné
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.3.29 Architecture système sécurisée | Le développement externalisé doit respecter les mêmes principes d'ingénierie |
| A.3.10 Accords avec les fournisseurs | Les contrats d'externalisation du développement doivent inclure des clauses de protection des données personnelles. |
| A.3.27 Cycle de vie du développement sécurisé | Les développeurs externes doivent respecter les exigences du cycle de vie du développement logiciel (SDLC) de l'organisation. |
| A.3.31 Informations sur le test | Le développement externalisé ne doit pas utiliser de véritables informations personnelles identifiables (IPI) à des fins de test. |
| A.3.18 Accords de confidentialité | Les développeurs externes doivent signer des accords de confidentialité couvrant les données personnelles identifiables. |
À qui s'applique ce contrôle ?
A.3.30 est un contrôle partagé Cela s'applique aussi bien aux responsables du traitement qu'aux sous-traitants de données personnelles. Toute organisation qui externalise le développement de systèmes de traitement de données personnelles doit diriger, contrôler et examiner les activités de développement externalisées. Cette obligation s'applique aux contrats d'externalisation complète, aux prestataires individuels, aux agences de développement et à toute autre prestation de développement par un tiers.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour la supervision du développement externalisé ?
ISMS.en ligne fournit des outils pratiques pour la gestion des relations de développement externalisé :
- Gestion des fournisseurs — Suivez vos fournisseurs de développement externalisés grâce à un système centralisé regroupant les documents contractuels, l'état de conformité, les évaluations des risques et les calendriers de révision.
- Communication des exigences — Partagez les exigences de confidentialité et les principes d'ingénierie sécurisée avec les développeurs externes via la plateforme, avec suivi des accusés de réception
- Flux de travail d'examen — Créer des flux de travail structurés pour les revues de code, les évaluations de sécurité et les tests d'acceptation avec suivi de la validation
- Évaluations des risques — Effectuer des évaluations des risques spécifiques aux scénarios de développement externalisé, notamment les risques liés à l'accès aux données, à la qualité du code et aux sous-traitants
- La piste de vérification — Conserver une trace d'audit complète de toutes les activités de surveillance, des communications et des résultats d'examen à des fins de preuve de conformité
Questions fréquentes
Que doit contenir un contrat de développement externalisé ?
Le contrat doit inclure : les exigences en matière de protection des données personnelles et les principes d’ingénierie de sécurité de l’organisation ; les obligations relatives au traitement des données (y compris les restrictions concernant l’utilisation de données personnelles réelles à des fins de test) ; les obligations de confidentialité ; le droit d’auditer le code et les pratiques de sécurité ; les exigences en matière de tests de sécurité ; les obligations de notification des incidents ; les dispositions relatives à la propriété intellectuelle et à la propriété du code ; et les exigences en matière de destruction des données à la fin de la mission. Si le développeur a accès à des données personnelles, le contrat doit également respecter les exigences du sous-traitant prévues à l’article 28 du RGPD.
Comment les organisations doivent-elles surveiller le développement externalisé ?
La surveillance doit inclure : des revues de code régulières axées sur la gestion des données personnelles ; des tests de sécurité (SAST, DAST, tests d’intrusion) à des étapes clés définies ; des revues d’avancement incluant la conformité aux exigences de confidentialité ; la vérification que les environnements de test ne contiennent pas de données personnelles réelles ; l’examen des journaux d’accès pour tout environnement de développement contenant des données personnelles ; et une évaluation périodique des pratiques de sécurité du développeur. Le niveau de surveillance doit être proportionné à la sensibilité des données personnelles et à la criticité du système.
Ce contrôle s'applique-t-il à l'utilisation de composants open source ?
Le point A.3.30 couvre spécifiquement les relations de développement externalisé où un tiers développe des systèmes pour le compte de l'organisation. Les composants open source relèvent plus naturellement de cette catégorie. A.3.28 Sécurité des applications (Exigences de sécurité des applications) : l’organisation doit évaluer la conformité des composants tiers en matière de sécurité. Toutefois, si une organisation mandate un tiers pour développer ou personnaliser un composant open source destiné au traitement des données personnelles, cette mission relève du champ d’application de la section A.3.30.
Les plateformes SaaS peuvent trouver des conseils personnalisés dans notre guide pour les plateformes SaaS.
Documentez ce contrôle dans votre Déclaration d'applicabilité.
