Beveiliging
- 1. Beschikbaarheid
- 2. Beveiligingsmaatregelen
- Informatiebeveiliging- en privacybeleid
- Certificering
- Personeel
- Informatiebeveiliging- en privacybeleid
- Security incidents & response
- Versleuteling van gegevens in transit
- Patchmanagement / Netwerk- en systeembeveiliging
- Wachtwoordbeleid en -opslag
- Access management
- Fysieke toegangsbeveiliging
- Logging
- Applicatieontwikkeling – beveiligingsprincipes
- Bekendmaking van kwetsbaarheden (vulnerability disclosure)
Jouw gegevens zijn veilig!
Crossuite wil zijn klanten slimmer helpen werken. Dat kan enkel als onze software een veilige, betrouwbare plek is voor jouw data. Daarom is veiligheid voor ons dan ook een absolute topprioriteit. Op deze pagina vind je onze belangrijkste maatregelen om de veiligheid en beschikbaarheid van jouw gegevens te garanderen.
1. Beschikbaarheid
Is Crossuite altijd beschikbaar?
Crossuite heeft jaarlijks een uptime of beschikbaarheid van 99,7% en we houden dit continu in het oog voor zowel onze tool als onze website. Bij downtime of een noodgeval ontvangt ons team meldingen in real-time, zodat we snel kunnen optreden.
Wat als bepaalde functies niet (goed) werken?
Mocht er zich toch een technische storing voordoen, houden we je voortdurend op de hoogte via onze statuspagina en via meldingen in de Crossuite-applicatie. We doen er alles aan om je goed te informeren over de status van het probleem en om dit zo snel mogelijk op te lossen.
2. Beveiligingsmaatregelen
Informatiebeveiliging- en privacybeleid
Er is een informatiebeveiligings- en privacybeleid dat voldoet aan de GDPR en eventuele richtsnoeren van de overheid en aansluit op de standaarden voor informatiebeveiliging ISO 27001 en NEN 7510. Dit beleid is intern gecommuniceerd en concreet geïmplementeerd door middel van gedocumenteerde procedures.
Certificering
Er is een managementsysteem voor informatiebeveiliging ( ISMS). Dit managementsysteem is opgezet en ingericht conform de standaarden voor informatiebeveiliging ISO 27001 en NEN 7510. Het systeem is gecertificeerd door de onafhankelijke auditpartij Dekra.
Personeel
Medewerkers worden geïnformeerd over hun verantwoordelijkheden m.b.t. privacy en informatiebeveiliging en er wordt erop toegezien dat zij hun verplichtingen nakomen. Medewerkers die toegang hebben tot klant/patiëntgegevens zijn gebonden aan geheimhouding.
Contractmanagement (Sub)verwerkers
Met iedere toegestane (Sub)Verwerker wordt een verwerkersovereenkomst gesloten, die de (Sub)Verwerker contractueel verplicht tot nakoming van dezelfde verplichtingen in verband met de Verwerking als in de verwerkersovereenkomst.
Security incident & response
Er is een gedocumenteerd security incident response plan dat geschikt is om datalekken te detecteren, op te lossen en te melden, in overeenstemming met de verplichtingen in de verwerkersovereenkomst.
Versleuteling van gegevens in transit
Al het internetverkeer naar Crossuite verloopt via een SSL-versleutelde verbinding (Secure Socket Layer of veilige en beschermde overdracht van gegevens via het internet), en we aanvaarden enkel verkeer via poort 443.
Bij je eerste bezoek aan onze website verstuurt Crossuite een Strict Transport Security Header (HSTS) naar je browser. Daardoor is je verbinding voortaan volledig beveiligd via HTTPS of het veiligste internetprotocol. Zélfs als je op een niet-versleutelde link naar onze website klikt die specifiek begint met ‘https://’.
Patchmanagement / Netwerk- en systeembeveiliging
Er wordt periodiek beoordeeld of er kwetsbaarheden binnen de gebruikte applicaties, systemen en netwerken zijn. Patches en updates voor gevonden kwetsbaarheden worden doorgevoerd.
Crossuite maakt gebruik van Amazon Web Services (AWS) om data op te slaan. Deze servers ondergaan periodieke evaluaties zodat ze aan de nieuwste standaarden voldoen. Doordat we AWS als ons datacentrum gebruiken, is onze infrastructuur geaccrediteerd voor:
- ISO 27001
- SOC 1 en SOC 2/SSAE 16/ISAE 3402 (voorheen SAS 70 Type II)
- PCI Level 1
- C5 Operational Security
- ENS High
- IT-Grundschutz
Meer informatie over de beveiliging van AWS kan je hier terugvinden.
Wachtwoordbeleid en -opslag
Om je Crossuite-account aan te maken, moet je een sterk wachtwoord kiezen van ten minste 6 tekens. We slaan geen gebruikerswachtwoorden op in tekstvorm: we bewaren enkel niet-ontcijferbare wachtwoord-hashes die versleuteld werden met Bcrypt Op die manier beschermen we gebruikers tegen rainbow table-aanvallen en pogingen om de syntax voor versleuteling te ontcijferen.
Als een gebruiker meerdere keren (5x) een foutief wachtwoord ingeeft, vergrendelen we dit account om ‘brute force’-aanvallen (manier om wachtwoorden te kraken via uitvoerige pogingen) te vermijden.
De gebruiker kan dan enkel opnieuw inloggen door een nieuw wachtwoord aan te vragen.
Om je account verder te beveiligen is er ook een Two-Factor Authentication (een extra beschermingslaag die enkel de gebruiker bezit) via email, google Authenticator of sms.
Ons team gebruikt sterke, unieke wachtwoorden voor Crossuite-accounts en gebruikt Two-Factor Authentication voor elk apparaat en elke service. We moedigen onze medewerkers ook aan om password managers zoals LastPass te gebruiken om sterke wachtwoorden te genereren en op een veilige plaats te bewaren.
We versleutelen ook lokale harde schijven en schakelen automatische schermbeveiliging in.
Access management
De admin-functies van onze applicatie zijn slechts toegankelijk voor een selecte groep.
Gebruikerstoegang wordt tijdig ingetrokken of gewijzigd bij enige verandering in de status van personeel, leveranciers,Klanten, zakelijke partners of derden.
Fysieke toegangsbeveiliging
Er zijn passende maatregelen (zoals sloten, alarmsystemen) genomen om de ruimtes waarin de Persoonsgegevens kunnen worden Verwerkt, te beveiligen tegen onbevoegde toegang.
Logging
Er vindt logging plaats waarmee inzicht wordt verkregen in welke gebruikers wanneer zijn ingelogd, om na te kunnen gaan welke verwerkingen van Persoonsgegevens door welke gebruiker zijn uitgevoerd.
Applicatieontwikkeling – beveiligingsprincipes
Om alle veiligheidsnormen en -standaarden te respecteren, hanteren we strikte code reviews voor elke wijziging of toevoeging aan onze applicatie.
Bekendmaking van kwetsbaarheden (vulnerability disclosure)
Al sinds de lancering van Crossuite sporen we gebruikers actief aan om problemen in onze applicatie snel te melden, en zo de veiligheid en betrouwbaarheid van ons platform te helpen waarborgen. Alle meldingen behandelen en beantwoorden we zo snel mogelijk.