Loi sur la résilience opérationnelle numérique (DORA)
Le Digital Operational Resilience Act (DORA) est un règlement de l'Union européenne (UE) qui crée un cadre de gestion des risques des technologies de l'information et de la communication (TIC) contraignant et complet pour le secteur financier de l'UE. DORA s'applique à toutes les institutions financières et à tous les fournisseurs de services TIC (collectivement, IF) dans l'UE. Les institutions financières ont jusqu'au 17 janvier 2025 pour se conformer à la DORA avant le début de son application.
La plateforme Distributed Cloud (XC) de F5 aide les institutions financières à se conformer à DORA. Des services tels que XC DDoS Mitigation, XC WAF, XC API Security et XC Bot Defense aident les institutions financières à détecter, enregistrer et atténuer les cybermenaces et les activités anormales sur leurs applications Web et mobiles ainsi que sur leurs données et leur infrastructure réseau. La plateforme Cloud distribuée permet également aux institutions financières de surveiller, d’auditer et de rendre compte de leurs activités de gestion des risques liés aux TIC et de se conformer aux exigences de gouvernance et de surveillance de DORA. En tirant parti de la plateforme cloud distribuée F5, les institutions financières peuvent atteindre une résilience opérationnelle, protéger leurs clients et leur réputation et éviter les sanctions réglementaires face aux cybermenaces croissantes et aux perturbations des TIC.
FAQ
Quelles mesures de sécurité spécifiques F5 prévoit-il pour les données personnelles ?
F5 et ses services accordent la priorité à la protection des données personnelles et respectent les normes les plus élevées en matière de confidentialité des données. Les contrôles techniques et organisationnels qui protègent les données personnelles collectées par F5 sont répertoriés dans les contrats de service spécifiques (par exemple, les conditions spécifiques au service applicables aux services fournis en vertu de notre contrat de services aux utilisateurs finaux) et dans le rapport SOC2 Type II de F5. F5 Global Support est certifié ISO 27001 et F5 Distributed Cloud Services est certifié ISO 27001 avec une extension ISO 27017 et ISO 27018. F5 est également conforme à la norme PCI-DSS en tant que fournisseur de services de niveau 1 pour les services cloud distribués F5. Des certifications de sécurité supplémentaires s'appliquent à des services F5 et à du matériel F5 spécifiques. Retrouvez des informations plus détaillées sur les pratiques de sécurité des données sur https://www.f5.com/company/policies/privacy-notice .
Comment F5 et ses clients répondent-ils aux exigences du chapitre V du RGPD et aux exigences similaires prévues par la législation britannique et suisse concernant les transferts de données personnelles vers les États-Unis et d'autres pays ?
Les clients dont le siège social principal se trouve en Europe, au Moyen-Orient ou en Afrique (collectivement, EMEA) reçoivent des services via des contrats avec F5 Networks, Ltd. F5 Networks, dont le siège social est situé au Royaume-Uni et est constitué en société conformément aux lois de ce pays, est le centre des opérations de F5 dans la région EMEA. Les autorités européennes et suisses ont reconnu que les lois britanniques assurent la protection des données personnelles, satisfaisant pleinement aux exigences du chapitre V du RGPD et de la législation suisse équivalente.
Les clients dont le siège social se trouve dans la région Asie-Pacifique (APAC) concluent un contrat avec F5 Networks Singapore Pte Ltd. à Singapour. Tous les autres clients (y compris ceux dont le siège social est en Amérique du Nord) ont un contrat avec F5, Inc. aux États-Unis. Pour tous les services F5, l' addendum sur la protection des données (DPA) , tel que complété par les conditions spécifiques au service , comprend les clauses contractuelles types et les dispositions qui s'appliquent à tous les transferts légalement applicables à F5. Ces clauses contractuelles types sont accompagnées de l'addenda relatif au transfert international de données publié par le gouvernement britannique pour les transferts au Royaume-Uni, ainsi que d'un texte supplémentaire publié par le Commissaire fédéral suisse à la protection des données et à la transparence pour les transferts suisses. Pour les services concernés, F5 maintient également une certification dans le cadre du protocole UE-États-Unis. Cadre de protection des données, l'extension britannique au cadre UE-États-Unis Cadre de protection des données et relations Suisse-États-Unis Cadre de confidentialité des données.
F5 est-il certifié selon le Data Privacy Framework ?
Oui. Pour les services concernés, F5 maintient une certification dans le cadre du réseau UE-États-Unis. Cadre de confidentialité des données, extension britannique du cadre UE-États-Unis Cadre de protection des données et accord entre la Suisse et les États-Unis Cadre de confidentialité des données.
Les États-Unis... L'article 702 de la loi sur la surveillance du renseignement étranger (« FISA ») et le décret exécutif (EO) 12333 évoqués dans la décision Schrems II affectent-ils le F5 ?
Non. Ces deux dispositions juridiques américaines, qui étaient au centre de l’arrêt Schrems II , n’affectent pas F5. En tout état de cause, en raison des améliorations apportées à la législation américaine suite à la décision Schrems II , la Commission européenne a déterminé dans sa décision d'exécution du 10 juillet 2023 conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil le niveau adéquat de protection des données à caractère personnel dans le cadre de l'accord UE-États-Unis. Cadre de protection des données selon lequel les préoccupations antérieures concernant ces dispositions ont été résolues. Le Comité européen de la protection des données (CEPD) a analysé la décision de la Commission européenne et a noté (dans sa note d'information sur les transferts de données au titre du RGPD vers les États-Unis après l'adoption de la décision d'adéquation le 10 juillet 2023 ) que « toutes les garanties qui ont été mises en place par le gouvernement américain dans le domaine de la sécurité nationale (y compris le mécanisme de recours) s'appliquent à toutes les données transférées vers les États-Unis, quel que soit l'outil de transfert utilisé » (c'est-à-dire indépendamment du fait que les données soient transférées aux États-Unis via le cadre de confidentialité des données, les clauses contractuelles types ou un autre outil de transfert).
F5 n'a jamais reçu de demande d'accès aux données ni aucun autre type de directive en vertu de la norme FISA 702. De nombreux services F5 ne sont pas le type de services éligibles pour être ciblés par une directive FISA 702. De plus, pour presque tous les clients des services F5, F5 ne traite pas le type de données pouvant être ciblées. avec une directive FISA 702, qui s'applique aux données sur la prolifération des armes de destruction massive, aux plans d'attaques de puissances étrangères contre les États-Unis, aux renseignements sur les activités clandestines d'espions étrangers ou à d'autres « informations de renseignement étranger » au sens de la FISA.
F5 ne peut pas non plus recevoir d’ordre de production de données client en vertu de l’EO 12333, car il n’existe pas d’ordre EO 12333. L'EO 12333 attribue certaines responsabilités au sein de la communauté du renseignement des États-Unis, mais n'impose aucune obligation au secteur privé. F5 crypte les données en transit et utilise des mesures de sécurité supplémentaires pour se protéger contre les activités d'interception théoriques qui concernaient le tribunal Schrems II avant la détermination d'adéquation de la Commission européenne de 2023 évoquée ci-dessus.
Comment les États-Unis... La loi Clarifying Lawful Overseas Use of Data (« CLOUD ») de 2018 affecte-t-elle la capacité du gouvernement américain à exiger l’accès aux données ?
Le CLOUD Act n’a pas donné au gouvernement américain de nouveaux pouvoirs pour exiger des données des entreprises qui font des affaires aux États-Unis. Le gouvernement américain n’émet pas d’« ordres CLOUD Act » et F5 n’en a jamais reçu. Le CLOUD Act a clarifié le fait que lorsque le gouvernement américain suit une procédure légale existante appropriée (comme l'obtention d'une ordonnance d'un juge d'un tribunal de district fédéral) pour ordonner à une entreprise de fournir des données spécifiées en sa possession, sous sa garde ou son contrôle, l'emplacement des données ne peut pas être la base de la contestation de l'ordonnance par l'entreprise (bien qu'un conflit avec les lois en vigueur à cet endroit puisse toujours l'être). Le CLOUD Act est en vigueur depuis avant la décision Schrems II de 2020. À la suite de la décision Schrems II , les États-Unis ont apporté diverses améliorations à leurs règles et pratiques concernant l’accès du gouvernement aux données. La Commission européenne a ensuite évalué ces améliorations et déterminé que la législation américaine applicable aux demandes de données du gouvernement américain offre désormais un niveau de protection adéquat au sens du RGPD. Voir la décision d'exécution du 10 juillet 2023 conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil relatif au niveau adéquat de protection des données à caractère personnel dans le cadre de l'accord UE-États-Unis Cadre de confidentialité des données . Le Comité européen de la protection des données (CEPD) a analysé cette décision et a noté (dans sa note d'information sur les transferts de données au titre du RGPD vers les États-Unis après l'adoption de la décision d'adéquation le 10 juillet 2023 ) que « toutes les garanties qui ont été mises en place par le gouvernement américain dans le domaine de la sécurité nationale (y compris le mécanisme de recours) s'appliquent à toutes les données transférées vers les États-Unis, quel que soit l'outil de transfert utilisé » (c'est-à-dire indépendamment du fait que les données soient transférées aux États-Unis via le cadre de confidentialité des données, les clauses contractuelles types ou un autre outil de transfert).
Comment les clients peuvent-ils s’assurer que les mécanismes de transfert de données transfrontaliers appropriés sont en place avec F5 ?
Chaque contrat client pour les services de F5 (le contrat de services aux utilisateurs finaux (EUSA) ) comprend des conditions spécifiques au service qui intègrent et complètent l'addendum de protection des données (DPA) de F5, qui comprend les clauses contractuelles types avec un langage supplémentaire pertinent pour les transferts soumis au droit britannique ou suisse. Dans certains cas, le client et F5 auront un contrat différent qui intègre ces mêmes protections, comme le contrat pour des services de support F5 spécifiques. Les clients peuvent également se référer à https://www.dataprivacyframework.gov/list , qui montre que F5 a obtenu la certification dans le cadre du protocole UE-États-Unis Cadre de protection des données, l'extension britannique au cadre UE-États-Unis Cadre de protection des données et relations Suisse-États-Unis Cadre de confidentialité des données.
Comment F5 et ses clients gèrent-ils les transferts de données personnelles soumis à la loi britannique sur la protection des données ?
Pour les transferts vers des entités F5 dans des « pays tiers », y compris le Royaume-Uni, F5 et ses clients s'appuient sur l'addendum sur le transfert international de données aux clauses contractuelles types de la Commission européenne, qui est disponible sur le site Web du Commissaire à l'information du Royaume-Uni et est incorporé par référence dans le DPA de F5 pour les transferts pertinents régis par le droit britannique. De plus, pour certains services, F5 est certifié dans le cadre de l'extension britannique à l'UE-États-Unis. Cadre de confidentialité des données.
