Common use of Certification Clause in Contracts

Certification. Le Fournisseur garantit que lui et ses Entités et/ou ses sous-traitants engagés dans le traitement des Données donnent l’assurance de leur gestion de la sécurité de l’information, notamment par l’obtention de certifications pertinentes fondées sur des normes reconnues (certification ISO 27001 dans une version récente, rapports indépendants ISAE3402 type II ou SOC 2, etc.) et qu’ils resteront conformes à ces standards pendant toute la durée du Contrat. Le Fournisseur fournira au Client des copies des certificats ou des rapports d’audit y relatifs avant tout traitement de Données relatifs à ce Contrat et/ou Contrat Spécifique. Le Fournisseur, ses Entités et sous-traitants doivent faire réaliser, chaque année et à leurs frais, par un tiers indépendant, des tests de pénétration sur les infrastructures exposées aux risques externes suivant des méthodologies usuelles dans l’industrie (p.ex. OWASP et OSSTMM) et doivent fournir au Client les résultats de ces tests dans les trente (30) jours à compter de leur réception. Le Fournisseur, ses Entités et sous-traitants devront entreprendre sans délai et à leurs frais les corrections nécessaires pour tout manquement constaté.

Certification. Le Fournisseur garantit que lui et ses Entités et/ou ses sous-traitants engagés dans le traitement des Données donnent l’assurance de leur gestion de la sécurité de l’informationsont certifiés ou audités ISO 27001:2013, notamment par l’obtention de certifications pertinentes fondées sur des normes reconnues (certification ISO 27001 dans une version récente, rapports indépendants ISAE3402 type II ou SOC 2, etc.) 27701 et qu’ils resteront conformes à ces standards pendant toute la durée du Contrat. Le Fournisseur fournira au Client des copies des certificats ou des rapports d’audit y relatifs avant tout traitement de Données relatifs à ce Contrat et/ou Contrat Spécifique. Le Fournisseur, ses Entités et sous-traitants doivent faire réaliser, chaque année et à leurs frais, par un tiers indépendant, des tests de pénétration sur les infrastructures exposées aux risques externes suivant des méthodologies usuelles dans l’industrie (p.ex. OWASP et OSSTMM) et doivent fournir au Client les résultats de ces tests dans les trente (30) jours à compter de leur réception. Le Fournisseur, ses Entités et sous-traitants devront entreprendre sans délai et à leurs frais les corrections nécessaires pour tout manquement constaté.