– L’établissement assujetti s’assure que des procédures encadrent ses différentes opérations informatiques, à la fois pour la gestion de la production et la sécurité informatique, et que les règles posées par ces procédures sont assorties de contrôles. Cela s’applique notamment aux bases de données, terminaux de paiement, composants logiciels de base qui gèrent les services fournis par l’établissement et aux équipements de télécommunication.
L’établissement assujetti s’assure que les prestations de services informatiques externalisées répondent aux mêmes conditions.
L’établissement assujetti veille à ce que ces contrôles répondent efficacement à la gestion du risque informatique
