Technische maatregelen. ● Voorzieningen om systemen up to date te houden (virusbeveiliging) ● Unieke inlogcode en wachtwoord (regelmatig aanpassen) ● Beveiligde internetverbinding ● Gebruikersbeheer (vertrouwelijkheid garanderen): beheer gebruikers, toegangscodes, bepalen rollen en toegang en rechten op basis van de opdracht Subverwerkers De verwerker schakelt volgende subverwerkers in:
Technische maatregelen. De belangrijkste technische maatregelen zijn servers binnen de EU en SSL-certificaten (ook wel: TLS- certificaten). Alle servers van Prindustry staan binnen de EU grenzen en voldoen aan de AVG wetgeving. Alle webshops en brandportals hebben een geldig SSL-certificaat. Door gebruik te maken van een SSL- certificaat worden alle gegevens versleuteld verzonden. De SSL-certificaten worden op periodieke basis gevalideerd. De SSL/TLS-certificaten kennen allen een verloopdatum. Voor ieder SSL-certificaat wordt bijgehouden door Prindustry tot wanneer dit certificaat geldig is (in de “Masterlijst”, beschikbaar op Google Drive). Support houdt in een agenda bij wanneer welk certificaat vervangen moet worden (om te voorkomen dat een verlopen certificaat in gebruik is) en voert de vervanging van de certificaten uit. Wanneer een certificaat vervangen is, legt de support medewerker de nieuwe verloopdatum vast in de Masterlijst en neemt de nieuwe vervangdatum op in genoemde agenda. Dit valt onder cryptografische beheersmaatregelen. Authenticatiegegevens worden opgeslagen in de database en in back-ups. Back-ups worden opgeslagen in een beschermde omgeving in het datacenter. Alle interne processen bij Prindustry zijn gestandaardiseerd, zodat er een beheersbare organisatie, betrouwbaarheid en efficiëntie is.
Technische maatregelen. Verwerker neemt de volgende technische maatregelen ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige verwerking: • HTTPS encryptie voor web-services • SSL Certificaten • Persoonlijke login met wachtwoorden voor medewerkers • Firewall(s) voor het Internet • Session Border Controller voor de MyConnect (Telepo) dienst • AntiVirus software op de PC’s en Servers • Regelmatige back-up’s van gegevens binnen de systemen. • Géén back-ups buiten het vaste (bekabelde en beveiligde) netwerk • Uitgebreide logging van gebeurtenissen op de systemen.
Technische maatregelen. Enige overdracht en opslag van persoonsgegevens, vervat in de toepassing, dient op een veilige manier te gebeuren: • De persoonsgegevens worden via een beveiligde verbinding (https, VPN, IPSEC, FTPS) ter beschikking gesteld. • De persoonsgegevens worden opgeslagen in een Europees datacenter die ISO9001:2008 is gecertificeerd • Een back-up van de persoonsgegevens wordt ook via een beveiligde verbinding doorgegeven. Daarnaast wordt de back-up procedure van de leverancier gedocumenteerd. • Data opslag gebeurt versleuteld, minstens voor de wachtwoorden.
Technische maatregelen. D-basics B.V. beoordeelt doorlopend of de door d-basics B.V. ontwikkelde software en de door d-basics B.V. gebruikte infrastructuur voldoende waarborgen biedt voor een adequate verwerking van persoonsgegevens. Voorbeelden van maatregelen die in dit kader zijn genomen zijn: • SSL certificaten De verbinding met alle online omgevingen van d-basics B.V. is versleuteld met behulp van SSL certificaten. Verder verstuurt de d-basics data extractie software de uit het boekhoudpakket geïmporteerde informatie via een versleutelde verbinding naar ontvanger, dit op voorwaarde dat ontvanger de technische voorzieningen heeft getroffen die nodig zijn om zo’n versleutelde verbinding op te bouwen. • Pentesten Om de veiligheid van door d-basics B.V. ontwikkelde producten te controleren worden periodiek ‘pentesten’ uitgevoerd. • Back-ups D-basics b.v. maakt dagelijks back-ups van alle de door d-basics B.V. gebruikte servers en de daarop verzamelde gegevens. Deze back-ups zijn versleuteld en worden op verschillende locaties bewaard. • Actief netwerkbeheer D-basics b.v. voert een actief netwerkbeheer dat gericht is op het minimaliseren van risico’s. Dit bestaat o.a. uit het consequent installeren van updates, gebruik van firewalls, meerdere vormen van bescherming tegen cyberrisico’s en dagelijks uitgevoerde netwerkscans. • Data in Europa De door d-basics B.V. verzamelde informatie wordt opgeslagen op eigen servers van d-basics B.V. en in de Europese Azure omgeving van Microsoft voor zover het de gegevens in d-basics Portal betreft. D-basics B.V. beoordeelt doorlopend of Software – met de hierboven genoemde voorzieningen - de informatie die wordt geïmporteerd en verstuurd op een veilige manier opslaat en verwerkt. Verder dringt d-basics B.V. er bij ontvangers steeds op aan dat de voorzieningen zijn getroffen die het mogelijk maken data bestanden via een beveiligde verbinding te versturen. Hoewel er alles aan wordt gedaan om persoonsgegevens op een verantwoordelijke manier te behandelen heeft d-basics B.V. zich momenteel nog niet formeel geconformeerd aan een Information Security Management System. Dit vraagstuk zal beoordeeld worden zodra d-basics B.V. de ontwikkeling van het nieuwe backoffice systeem (d-basics Portal) heeft voltooid en dit systeem in gebruik is genomen. Bij de ontwikkeling van dit nieuwe backoffice systeem wordt rekening gehouden met een in de toekomst beoogde (ISO27001) certificering van d-basics B.V.
Technische maatregelen. Back-up systeem • Gebruik van Uninteruptable Power Supply • Maatregelen i.g.v. van brand-, inbraak-, of waterschade, of fysieke/technische incidenten • Afzonderlijk wifi netwerk voor bezoekers en medewerkers • VPN • Authentificatiesysteem • Wachtwoord beleid • User-ID beleid • Patching • Anti-virus • Firewall • Netwerkbeveiliging • Toezicht, nazicht en onderhoud van de systemen
Technische maatregelen. Ingeval van hosting door AWS: • Op de netwerkomgeving waarbinnen gegevens worden verwerkt is strikte beveiliging toegepast waarbij verkeersstromen worden gescheiden en maatregelen zijn geïmplementeerd tegen misbruik en aanvallen, door AWS maar tevens door framework Laravel. • De omgeving waarbinnen persoonsgegevens worden verwerkt wordt gemonitord op beschikbaarheid, veiligheid en integriteit; • De applicatie infrastructuur waarbinnen persoonsgegevens worden verwerkt wordt op basis van een gestandaardiseerd operations managementproces, beveiligingscontrole en acceptatietraject ingericht; • Wijzigingen in applicaties en onderliggende systemen worden getest op kwetsbaarheden voordat deze in productie worden genomen; • Op alle onderdelen van de applicatie infrastructuur worden periodiek de laatste ( beveiligings-) patches geïnstalleerd op basis van patchmanagement en actuele interne en externe beveiligingsadviezen, een en ander conform de voorwaarden van AWS; • Periodiek vinden penetratietests en kwetsbaarheid assessments plaats • Procedure continuïteitsbeheer: maatregelen ten aanzien van continuïteit van informatiebeveiliging bij dreiging of optreden van brand, waterschade, straling, lucht verontreiniging en/ of andere calamiteiten worden onder verantwoordelijkheid van AWS ondernomen; • Voor meer informatie: https:// aws. amazon. com/ ec 2/ sla/ • Wachtwoorden zijn onderhevig aan crypto grafische opslag en toegangsmaatregelen • Er wordt standaard voor inlogprocessen gebruik gemaakt van versleutelde verbindingen, ook voor de connecties die via het IoT- netwerk van AWS worden gelegd • De uitwisseling van persoonsgegevens tussen de klant en Dewi Software vindt versleuteld plaats. Dit is eveneens van toepassing op de communicatie tussen lokaal geïnstalleerde Dewi Software randapparatuur en de Dewi Software cloud omgeving; • Uitwisseling van persoonsgegevens met derden in opdracht van de klant vindt versleuteld plaats; • Crypto grafische maatregelen worden toegepast bij elke vorm van transport van persoonsgegevens; • Toegang tot het netwerk van Dewi wordt mogelijk gemaakt via een versleutelde VPN- tunnel, met een 2 factor authenticatie. Login door externe, onbevoegde personen is niet mogelijk; • Het kantoornetwerk van Xxxx wordt continu gecheckt op virussen en malware, met professionele antivirussoftware van een gerenommeerd merk; • Gevoelige informatie, zoals wachtwoorden, gebruikersnamen, bepaalde bestanden, etc.) worden opgeslagen op de ftp- server, met SFTP- ...
Technische maatregelen wachtwoordenbeleid Dubbele authenticatie, voor zover dit noodzakelijk en mogelijk is Back-up-en herstelprocedures Up-to-date virusscanner Beveiligde USB-sticks Zakelijke mobiele telefoons en laptops beveiligd met wachtwoord en/of vingerafdruk Veilige wijze van het opslaan van gegevensbestanden Voor het versturen en laten aanleveren van bestanden/documenten is Nextens portal geïmplementeerd Clean desk policy Privacy screens medewerkers Sub-verwerkersovereenkomsten met derden gegevens worden niet verkocht aan derden Geheimhoudingsverklaringen in (arbeids)contracten
Technische maatregelen. 1. Het document managementsysteem (M-Files) is opgesplitst in klanten- en personeelsinformatie. De toegang tot deze documenten wordt bepaald door middel van de afdeling en de functie. Dit is tevens het recordmanagementsysteem dat bepaalt of documenten gearchiveerd of vernietigd moeten worden.
Technische maatregelen. 1. Verbindingen met websites worden door middel van een SSL-certificaat beveiligd