AU-14 - Vérification des sessions (PaF-)
Énoncés :
a. Permettre et mettre en oeuvre la capacité pour les [Affectation : utilisatrices et utilisateurs ou rôles définis par l’organisation] de [Sélection (un choix ou plus) : enregistrer; afficher; écouter; journaliser] le contenu d’une session d’utilisatrice ou utilisateur pour des [Affectation : circonstances définies par l’organisation]
b. Les activités de vérification des sessions sont mises au point, intégrées et utilisées après consultation avec des conseillères et conseillers juridiques, conformément aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables
Les vérifications de session peuvent comprendre la surveillance des frappes et des sites Web consultés de même que l’enregistrement de l’information ou des transferts de dossiers. La capacité de vérification des sessions est mise en oeuvre avec la journalisation d’événements et peut impliquer l’application d’une technologie spécialisée de saisie des sessions. Les organisations réfléchissent à la façon dont la vérification peut révéler de l’information au sujet des personnes, ce qui donnerait lieu à des risques d’atteinte à la vie privée, et comment atténuer de tels risques. Étant donné que la vérification des sessions peut avoir une incidence sur le rendement du système et du réseau, les organisations activent la capacité en fonction de situations bien définies (par exemple, l’organisation se méfie d’une personne en particulier). Les organisations consultent une conseillère ou un conseiller juridique et des responsables de la protection de la vie privée pour s’assurer que les obligations juridiques, de protection des renseignements personnels, ou les droits reconnus par la Charte, y compris l’utilisation de renseignements personnels, sont traités de manière adéquate.