Datum: Kenmerk:
Datum:
31 oktober 2022
Kenmerk:
Versie 2.0
Everspring
Verwerkersovereenkomst
Opgesteld door:
Flora Logistics BV / Everspring Leehove 91
2678 MB De Lier Nederland
Everspring
Verwerkersovereenkomst
Artikel 1 - Over deze Verwerkersovereenkomst
1. Deze Verwerkersovereenkomst ('Verwerkersovereenkomst') is een wettelijke overeenkomst die onlosmakelijk deel uitmaakt van en van toepassing is in aanvulling op de bestaande Flora Logistics Dienstenovereenkomst ('Dienstenovereenkomst'), die door en tussen de Klant als verwerkingsverantwoordelijke en Flora Logistics die de contractspartij van de Klant is als verwerkers is gesloten in verband met de levering van diensten, waaronder begrepen diverse gegevens verwerkende diensten.
2. Door de Dienstenovereenkomst te ondertekenen accepteert u de Verwerkersovereenkomst, welke door verwijzing daarin is opgenomen.
3. Deze Verwerkersovereenkomst bestaat uit:
a. de hoofdtekst van de Verwerkersovereenkomst;
b. Bijlage 1 - Beschrijving van de Beveiligingsmaatregelen van Flora Logistics;
Artikel 2 - Definities
1. De in deze Verwerkersovereenkomst gebruikte termen hebben dezelfde betekenis als de termen gebruikt in de Dienstenovereenkomst, tenzij uitdrukkelijk anders aangegeven. Als er tegenstrijdigheden of inconsistenties zijn tussen de Dienstenovereenkomst en deze Verwerkersovereenkomst, prevaleert deze Verwerkersovereenkomst.
Artikel 3 - Beschrijving van Persoonsgegevens
1. Bij het uitvoeren van de Diensten kan Flora Logistics toegang hebben tot informatie met betrekking tot geïdentificeerde of identificeerbare personen ('Persoonsgegevens') of deze informatie anderszins ontvangen of verwerken.
2. Afhankelijk van hoe de Klant de Diensten wenst te gebruiken, kan Flora Logistics de volgende soorten Persoonsgegevens verwerken:
a. Voor- en achternaam;
b. Contactinformatie (e-mailadres, woonadres, telefoonnummer);
c. Taal;
d. Geboortedatum;
e. IP-adres;
f. Geolocatiegegevens (met uitzondering van nationaliteit);
g. Door de overheid verstrekte identificatienummers (bijv. socialezekerheidsnummer);
h. Financiële informatie;
i. Bankrekeninggegevens;
3. Flora Logistics kan ook andere soorten Persoonsgegevens verwerken als de Klant ervoor gekozen heeft om zulke Persoonsgegevens te verzamelen en in te voeren in onze Diensten. De Diensten vereisen geen andere soorten Persoonsgegevens om naar behoren te functioneren. Flora Logistics wijst alle aansprakelijkheid voor schade of claims af in verband met de keuze van de Klant om niet-verplichte Persoonsgegevens in te voeren in de Diensten.
4. Er worden Persoonsgegevens over de volgende categorieën van personen verwerkt:
1. Eigenaren van bedrijven die zich inschrijven voor de Diensten van Flora Logistics.
2. Werknemers en andere personen die door de Klant zijn gemachtigd en toegang hebben tot de Diensten en deze gebruiken ("Eindgebruikers").
3. Personen van wie Persoonsgegevens worden verwerkt met gebruikmaking van de Diensten, met inbegrip van klanten en leveranciers van de Klant.
Artikel 4 - Doeleinden van de verwerking
1. Flora Logistics is een aanbieder van een softwareplatform voor kopers en verkopers van sierteeltproducten die actief zijn met e-commerce en aanverwante activiteiten.
2. Flora Logistics verwerkt Persoonsgegevens namens de Klant om deze diensten aan de Klant te leveren krachtens de Dienstenovereenkomst en eventuele aanvullende doeleinden in opdracht van de Klant bij het gebruik van de Diensten.
3. Wanneer Flora Logistics handelt als verwerker van de Persoonsgegevens, mag Flora Logistics Persoonsgegevens uitsluitend
verwerken namens de Klant en uitsluitend voor de in deze Verwerkersovereenkomst en de Dienstenovereenkomst vastgestelde doeleinden.
Artikel 5 - Verantwoordelijkheden met betrekking tot gegevensverwerking
a. Klant is de (‘verwerkingsverantwoordelijke’) van alle Persoonsgegevens die hij verzamelt door middel van de Diensten. Klant verzekert dat hij gerechtigd is tot het verwerken en doorgeven van de Persoonsgegevens aan Flora Logistics zodat Flora Logistics de Persoonsgegevens rechtmatig mag verwerken namens de Klant, zoals beoogd wordt met deze Verwerkersovereenkomst.
b. Flora Logistics handelt als een (‘verwerker’) van de door de Klant via het gebruik van de Diensten verzamelde Persoonsgegevens.
c. Klant erkent verleent Flora Logistics hierbij schriftelijk toestemming:
a. dat verbonden ondernemingen van Flora Logistics kunnen handelen als (‘subverwerkers’) van Flora Logistics; en
b. dat Flora Logistics subverwerkers kan inschakelen voor zover nodig om de Diensten uit te voeren. De lijst van Flora Logistics’s toegelaten subverwerkers bevindt zich op website van Flora Logistics (xxx.xxxxxxxxxxxxxx.xx), en Klant erkent dat deze subverwerkers van essentieel belang zijn voor het leveren van de Diensten. Flora Logistics zal de Klant informeren als het subverwerkers toevoegt, vervangt of wijzigt door voormelde lijst te actualiseren. Klant mag binnen 30 kalenderdagen na de wijziging bezwaar maken tegen de wijzigingen op gerechtvaardigde gronden en in overeenstemming met de principes van goede trouw, redelijkheid en eerlijkheid. Klant erkent dat als de Klant bezwaar maakt tegen het gebruik van een subverwerker door Flora Logistics, Flora Logistics niet verplicht zal zijn om aan Klant de Diensten te leveren waarvoor Flora Logistics die subverwerker gebruikt.
Artikel 6 - Gegevensverwerking
1. Flora Logistics zorgt ervoor dat alle verwerking eerlijk, rechtmatig en in overeenstemming gebeurt met de verplichtingen van deze Verwerkersovereenkomst evenals met toepasselijke AVG-wetgeving. In het bijzonder:
1. Instructies van de verwerkingsverantwoordelijke
Flora Logistics verwerkt Persoonsgegevens alleen op basis van de gedocumenteerde instructies van de Klant; als Flora Logistics verplicht is om bijkomend Persoonsgegevens te verwerken in overeenstemming met een toepasselijke wet of toepasselijk voorschrift, zal Flora Logistics de Klant van een dergelijke wettelijke verplichting op de hoogte stellen voorafgaand aan deze verwerking, tenzij een toepasselijke wet of toepasselijk voorschrift hem dat verbiedt te doen;
2. Zorgen voor passende bescherming
Flora Logistics zorgt voor passende bescherming van Persoonsgegevens tegen onopzettelijke of onrechtmatige vernietiging of onopzettelijk verlies, wijziging, ongeoorloofde openbaarmaking of toegang, met name indien bij de verwerking Persoonsgegevens worden verzonden via een netwerk, en tegen alle andere onrechtmatige vormen van verwerking;
3. Veiligheidswaarborgen
Flora Logistics voldoet aan de beveiligingsstandaard weergegeven in Bijlage 1, waarbij de stand van de techniek, de implementatiekosten en de aard, omvang, context en doeleinden van verwerking in aanmerking worden genomen;
4. Delen van informatie
Flora Logistics deelt geen Persoonsgegevens met een derde of onbevoegde personen, tenzij de Klant diens voorafgaande schriftelijke toestemming heeft gegeven voor een dergelijke mededeling en met inachtneming van de in artikel 6 van deze Verwerkersovereenkomst vastgelegde voorwaarden;
5. Vertrouwelijkheid
Flora Logistics bewaart Persoonsgegevens in strikte vertrouwelijkheid en verlangt van haar werknemers en alle andere onder haar zeggenschap staande personen die toegang zullen verkrijgen tot Persoonsgegevens of anderszins Persoonsgegevens zullen verwerken, dat zij zich houden aan dezelfde mate van vertrouwelijkheid in overeenstemming met de vereisten van deze Verwerkersovereenkomst (inclusief tijdens de duur van hun dienstverband of inhuur en daarna);
6. Verzoeken van betrokkenen
Flora Logistics neemt passende maatregelen om de Klant te ondersteunen bij het voldoen aan diens verplichtingen als verwerkingsverantwoordelijke bij het beantwoorden van verzoeken van individuele betrokkenen om hun rechten uit hoofde van toepasselijke gegevensbeschermingswet uit te oefenen. Daarnaast zal Flora Logistics de Klant onverwijld informeren als het een verzoek ontvangt van een individu met betrekking tot Persoonsgegevens, met inbegrip van maar niet beperkt tot verzoeken om toegang tot de informatie, verzoeken om rectificatie van de informatie, verzoeken om Persoonsgegevens te blokkeren, uit te wissen of over te dragen, en zal niet reageren op dergelijke verzoeken tenzij het daartoe uitdrukkelijk gemachtigd is door de Klant of tenzij het daartoe verplicht is op grond van een toepasselijke gegevensbeschermingswet of een wet van de Europese Unie of een lidstaat die op Flora Logistics van toepassing is. Daarnaast zorgt Flora Logistics ervoor dat het technische en organisatorische maatregelen doorvoert om de Klant te ondersteunen bij het voldoen aan zijn verplichting om te reageren op dergelijke verzoeken van een individu met betrekking tot verwerkte Persoonsgegevens. Flora Logistics zal op tijdige en deugdelijke wijze verzoeken om inlichtingen en vragen van de Klant in verband met de verwerking van Persoonsgegevens uit hoofde van deze Verwerkersovereenkomst afhandelen en andere redelijke bijstand en ondersteuning bieden;
7. Ondersteuning bij naleving door Klant
Flora Logistics zal de Klant ondersteunen bij de zorg voor naleving van de verplichtingen ten aanzien van beveiligingsmaatregelen en het uitvoeren van gegevensbeschermingseffectbeoordelingen, indien nodig ingevolge artikel 32-36 van de Algemene Verordening Gegevensbescherming (AVG). Flora Logistics zal de Klant bijstaan en ondersteuning verlenen in geval van een onderzoek door een gegevensbeschermingsautoriteit of vergelijkbare autoriteit, voor zover dat onderzoek betrekking heeft op de verwerking van Persoonsgegevens uit hoofde van deze Verwerkersovereenkomst. Flora Logistics zal de Klant onverwijld informeren als naar het oordeel van Flora Logistics een door de Klant gegeven instructie, of een toepasselijke wet- en regelgeving schendt, waaronder gegevensbeschermingswetten, of als een wijziging in de toepasselijke wet- en regelgeving waarschijnlijk een aanzienlijk negatief effect zal hebben op het vermogen van Flora Logistics om te voldoen aan haar verplichtingen uit hoofde van deze Verwerkersovereenkomst; Flora Logistics zal gerechtigd zijn om de uitvoering van de betreffende instructie op te schorten totdat deze wordt bevestigd of gewijzigd door de Klant. Flora Logistics kan weigeren om een instructie die duidelijk onrechtmatig is uit te voeren;
8. Verzoeken om openbaarmaking
Voor zover toegestaan door toepasselijk recht, zal Flora Logistics de Klant op de hoogte stellen van elk verzoek dat Flora Logistics ontvangt van een overheidsinstantie om Persoonsgegevens die verwerkt zijn in het kader van de Dienstenovereenkomst te openbaren of om deel te nemen aan een onderzoek waarbij die Persoonsgegevens betrokken zijn. Flora Logistics zal zich redelijkerwijs inspannen om de omvang van een dergelijk ontvangen verzoek te verkleinen en zal alleen de specifiek gevraagde Persoonsgegevens verstrekken;
9. Datalek
Flora Logistics zal de Klant onverwijld (en in ieder geval binnen achtenveertig (48) uur) nadat het daarvan kennis heeft gekregen, informeren over feiten die bij Flora Logistics bekend zijn over een daadwerkelijk(e), onopzettelijk(e) of ongeoorloofd(e) toegang, openbaarmaking of gebruik, of onopzettelijk(e) of ongeoorloofd(e) verlies, beschadiging of vernietiging van Persoonsgegevens door een huidige of voormalige werknemer, opdrachtnemer of agent van Flora Logistics of door een andere persoon of derde; Flora Logistics zal volledige medewerking verlenen aan de Klant in geval van een onopzettelijk(e) of ongeoorloofd(e) toegang, openbaarmaking of gebruik, of onopzettelijk(e) of ongeoorloofd(e) verlies, beschadiging of vernietiging van Persoonsgegevens door een huidige of voormalige werknemer, opdrachtnemer of agent van Flora Logistics of door een andere persoon of derde, teneinde de ongeoorloofde openbaarmaking of het ongeoorloofde gebruik te beperken, de Persoonsgegevens terug te krijgen en de Klant te ondersteunen bij het melden aan de bevoegde toezichthouders en getroffen personen als de Klant daarom verzoekt;
Artikel 7 - Verdere gegevensverwerking
1. Flora Logistics mag de uitvoering van een deel van de Diensten alleen uitbesteden aan derden als subverwerkers (met inbegrip van gelieerde ondernemingen van Flora Logistics buiten de EER, Zwitserland en het VK) als Flora Logistics ervoor zorgt dat deze subverwerkers schriftelijk gebonden zijn aan dezelfde verplichtingen en aan de Klant dezelfde rechten als opgenomen in deze Verwerkersovereenkomst worden toegekend met betrekking tot deze subverwerkers.
Artikel 8 - Bewaren en verwijderen
1. Flora Logistics verwerkt Persoonsgegevens zolang als redelijkerwijs nodig is om de Diensten te leveren. De bewaartermijn kan langer zijn als Flora Logistics op basis van toepasselijk recht of om haar bedrijf te beheren verplicht is om Persoonsgegevens langer te bewaren.
2. Op verzoek van de Klant zal Flora Logistics onmiddellijk ophouden Persoonsgegevens te verwerken en zal ze onverwijld al deze Persoonsgegevens retourneren of wissen, in overeenstemming met de instructies die door de Klant kunnen worden gegeven op dat moment, tenzij Flora Logistics verplicht is om de Persoonsgegevens op te slaan op grond van toepasselijke wet of regelgeving die op haar van toepassing is of tenzij uitdrukkelijk anderszins is overeengekomen met de Klant. De in dit artikel genoemde verplichtingen zullen van kracht blijven niettegenstaande beëindiging of afloop van deze Verwerkersovereenkomst.
Artikel 9 - Audit en naleving
1. Flora Logistics zal aan de Klant alle informatie beschikbaar stellen die nodig is om nakoming aan te tonen van haar verplichtingen betreffende de verwerking van Persoonsgegevens die aan Flora Logistics in haar rol als gegevensverwerker zijn verstrekt.
2. Flora Logistics zal de verwerkingssystemen, voorzieningen en ondersteunende documentatie met betrekking tot de verwerking van Persoonsgegevens beschikbaar stellen voor een audit door de Klant of een door de Klant geselecteerde gekwalificeerde, onafhankelijke beoordelaar, en het zal alle ondersteuning geven die de Klant redelijkerwijs kan verlangen voor de audit, doch niet meer dan één keer in een periode van 12 maanden. Als de audit aantoont dat Flora Logistics inbreuk heeft gemaakt op een verplichting uit hoofde van de Verwerkersovereenkomst, zal Flora Logistics deze inbreuk onmiddellijk herstellen;
3. In geval van inspectie of audits door een bevoegde overheidsinstantie met betrekking tot de verwerking van Persoonsgegevens, zal Flora Logistics zijn relevante verwerkingssystemen, voorzieningen en ondersteunende documentatie beschikbaar stellen aan de betreffende bevoegde overheidsinstantie voor een inspectie of audit indien dit nodig is ter naleving van toepasselijke wetten. In geval van een inspectie of audit, zal elke partij alle redelijke ondersteuning verlenen aan de andere partij bij het reageren op die inspectie of audit. Als een bevoegde overheidsinstantie oordeelt dat de verwerking van Persoonsgegevens uit hoofde van deze Verwerkersovereenkomst onrechtmatig is, zullen de partijen onmiddellijk actie ondernemen om te zorgen voor toekomstige naleving van toepasselijke gegevensbeschermingswetgeving. In plaats van inspecties en controles ter plaatse, kan Flora Logistics de Klant verwijzen naar een gelijkwaardige controle door onafhankelijke derden (zoals neutrale auditors inzake gegevensbescherming), naleving van goedgekeurde gedragsregels (art. 40 AVG) of passende gegevensbescherming of ICT-beveiligingscertificeringen ingevolge art. 42 AVG. Dit is met name van toepassing als bedrijfsgeheimen van Flora Logistics of Persoonsgegevens van derden in gevaar zouden komen door de controles;
4. Tenzij het Flora Logistics wettelijk verboden is om een dergelijke mededeling te doen, zal Flora Logistics de Klant onverwijld informeren als:
a. het een vraag om inlichtingen, een dagvaarding of een verzoek om inspectie of audit van een bevoegde overheidsinstantie ontvangt met betrekking tot de verwerking van Persoonsgegevens waarop deze Verwerkersovereenkomst van toepassing is, voor zover het de gegevens van de Klant betreft; of
b. het voornemens is om Persoonsgegevens te mee te delen aan een bevoegde overheidsinstantie.
5. Flora Logistics zal zorgen dat elke werknemer, agent, onafhankelijke opdrachtnemer of enige andere persoon die betrokken is bij de levering van de Diensten en die toegang heeft tot Persoonsgegevens van Klant, voldoet aan alle wet- en regelgeving inzake gegevensbescherming en privacy (inclusief alle wetgevende en/of regelgevende wijzigingen of opvolgers daarvan) die van toepassing is op Flora Logistics.
Artikel 10 - Gegevensdoorgiftes
1. Klant machtigt Flora Logistics om opdracht te geven tot verwerking in een derde land, waaronder door subverwerkers, als aan de specifieke vereisten van artikel 44-49 AVG wordt voldaan. Klant wordt geacht expliciete toestemming te hebben verleend voor verwerking in een derde land met betrekking tot de verwerkingsactiviteiten uitgevoerd door Flora Logistics en haar subverwerkers, zoals hier vermeld: xxx.xxxxxxxxxxxxxx.xx/xxxxxxx/xxxxxxxxxx.
Artikel 11 - Vragen omtrent gegevensbescherming
1. Klant kan te allen tijde contact opnemen met Flora Logistics via xxxx@xxxxxxxxxxxxxx.xx met al diens vragen en suggesties omtrent gegevensbescherming.
Artikel 12 - Algemene bepalingen
1. Geen retentierecht
Partijen komen overeen dat de Klant geen retentierecht heeft met betrekking tot de te verwerken gegevens en de gerelateerde opslagmedia.
2. Wijzigingen
Alle wijzigingen van of aanvullingen op deze Verwerkersovereenkomst moeten schriftelijk geschieden. Hetzelfde geldt voor een eventuele afstanddoening van een recht of verplichting uit hoofde van deze Verwerkersovereenkomst. De rangorde van afzonderlijke contractuele overeenkomsten zal daardoor niet beïnvloed worden. Flora Logistics behoudt zich het recht voor om deze Verwerkersovereenkomst te allen tijde te wijzigen met werking voor de toekomst. Wijzigingen zullen alleen worden aangebracht als er sprake is van de volgende objectieve redenen:
a. als de wijziging helpt om de Verwerkersovereenkomst in overeenstemming te brengen met toepasselijk recht, in het bijzonder als de toepasselijke juridische situatie verandert;
b. als de wijziging Flora Logistics in staat stelt om verplichte gerechtelijke of bestuurlijke besluiten na te leven;
c. als de wijziging een weerspiegeling is van details van een nieuwe of geactualiseerde Flora Logistics Service of van nieuwe of bijgewerkte technische of organisatorische processen en niet de bestaande contractuele relatie met de Klant ten nadele van de Klant beïnvloedt;
d. als de wijziging louter in het voordeel van de Klant is.
3. Scheidbaarheid
Als een bepaling van deze Overeenkomst ongeldig of praktisch onuitvoerbaar is of wordt, geheel dan wel gedeeltelijk, zal dit de geldigheid van de resterende bepalingen onverlet laten.
4. Looptijd
Deze Verwerkersovereenkomst treedt in werking op de Ingangsdatum en eindigt op de datum waarop de Dienstenovereenkomst verlopen is of beëindigd wordt.
Bijlage 1
Beveiligingsmaatregelen van Flora Logistics
Flora Logistics heeft passende en voldoende technische en organisatorische maatregelen genomen ter beveiliging van de Persoonsgegevens ter voorkoming van een inbreuk die per ongeluk of op onrechtmatige wijze leidt tot het verlies, de vernietiging, de wijziging of de ongeoorloofde openbaarmaking van of de ongeoorloofde toegang tot Persoonsgegevens, met name waar de verwerking een verzending van Persoonsgegevens over een netwerk betreft, alsmede tegen alle andere onrechtmatige vormen van gegevensverwerking.
Flora Logistics heeft een vaste informatiebeveiligingsorganisatie die beheerd wordt door het Flora Logistics-beveiligingsteam en geleid wordt door de Chief Technology Officer. Flora Logistics heeft beleidsregels en procedures vastgesteld, en handhaaft deze, om standaarden voor logische toegang tot de productie-omgevingen van Flora Logistics toe te passen. De beleidsregels identificeren ook functionele verantwoordelijkheden voor het beheer van logische toegang en beveiliging. De beleidsregels in verband met informatiebeveiliging worden jaarlijks door het beveiligingsmanagement herzien en goedgekeurd en worden gebruikt om Flora Logistics te helpen bij het voldoen aan de servicebeloftes die we doen aan de Klant.
De volgende beschrijving biedt een overzicht van de technische en organisatorische beveiligingsmaatregelen die zijn ingevoerd. Deze maatregelen omvatten, maar zijn niet beperkt tot de hierna opgesomde maatregelen. Voor meer gedetailleerde informatie over de meest geavanceerde maatregelen kunt u rechtstreeks contact met ons opnemen.
Gegevensbescherming
Flora Logistics verwerkt Persoonsgegevens als een gegevensverwerker, uitsluitend ten behoeve van het leveren van de Diensten in overeenstemming met gedocumenteerde instructies van de Klant (mits deze instructies in verhouding staan tot de functionaliteiten van de Diensten) en zoals kan worden overeengekomen met de Klant.
Flora Logistics implementeert en onderhoudt gepaste technische en organisatorische maatregelen om Persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging, beschadiging, diefstal, wijziging of openbaarmaking.
Flora Logistics zorgt ervoor dat de werknemers die toegang hebben tot Persoonsgegevens gebonden zijn aan geheimhoudingsverplichtingen die hun mogelijkheden om de Persoonsgegevens openbaar te maken beperken.
Flora Logistics past de begrippen 'least privilege' (minimale autorisatie) en 'need to know' toe, waarbij het alleen toegang toestaat die gebruikers nodig hebben om hun taken uit te voeren. Gebruikersaccounts worden aangemaakt met minimale toegangsrechten. Toegang tot informatie waarvoor meer dan minimale autorisatie nodig is, moet passende en afzonderlijke goedkeuring verkrijgen.
Flora Logistics past Multi-Factor Authentication toe op alle kritieke applicaties en infrastructuur.
1. In transit:
Flora Logistics maakt HTTPS-codering beschikbaar op alle inlog interfaces en op elke website van Klanten die wordt gehost op de Producten van Flora Logistics. De HTTPS-implementatie van Flora Logistics maakt gebruik van standaard algoritmen en beveiligingscertificaten.
2. In rust:
Flora Logistics slaat gebruikerswachtwoorden op volgens de standaard beveiligingspraktijken in de industrie. Flora Logistics past encryptie toe in rust op andere gevoelige velden die specifiek door Flora Logistics worden geïdentificeerd.
Preventie van ongeautoriseerde toegang tot producten
1. Verwerking door derden:
Flora Logistics host haar services op externe hosting infrastructuur in de vorm van datacenters en Infrastructure-as-a- Service (IaaS). Daarnaast onderhoudt Flora Logistics contractuele relaties met leveranciers om de service te leveren in overeenstemming met onze gegevensverwerking overeenkomst. Flora Logistics vertrouwt op contractuele overeenkomsten, privacybeleid en leveranciers compliance-programma's om gegevens te beschermen die door deze leveranciers worden verwerkt of opgeslagen.
2. Fysieke en omgevingsbeveiliging:
Flora Logistics host haar productinfrastructuur met multi-tenant, uitbestede infrastructuur providers. De fysieke en omgeving beveiligingscontroles van onze infrastructuuraanbieders worden gecontroleerd op onder meer SOC 2 Type II, ISO 27001 en PCI DSS-conformiteit.
3. Authenticatie:
Flora Logistics heeft een uniform wachtwoordbeleid voor haar producten geïmplementeerd. Alle gebruikers die via elke interface met de producten moeten communiceren, moeten zich verifiëren voordat ze toegang krijgen tot niet-openbare klantgegevens.
4. Autorisatie:
Klantgegevens worden opgeslagen in multi-tenant opslagsystemen die voor klanten toegankelijk zijn uitsluitend via gebruikersinterfaces en de API. Klanten hebben geen directe toegang tot de onderliggende applicatie-infrastructuur. Het autorisatiemodel in elk product van Flora Logistics is ontworpen om ervoor te zorgen dat alleen de daartoe aangewezen personen toegang hebben tot relevante functies, weergaven en aanpassingsmogelijkheden. Autorisatie voor gegevenssets wordt uitgevoerd door de machtigingen van de gebruiker te valideren ten opzichte van de kenmerken die aan elke dataset zijn gekoppeld.
Preventie van ongeautoriseerd gebruik van het product
1. Toegangscontroles:
Toegangscontrolemechanismen voor het netwerk zijn ontworpen om te voorkomen dat netwerkverkeer door ongeautoriseerde protocollen de product infrastructuur zou bereiken. De geïmplementeerde technische maatregelen verschillen per infrastructuuraanbieders en omvatten Virtual Private Cloud (VPC)-implementaties, toewijzing van beveiligingsgroepen en traditionele firewallregels.
2. Indringerdetectie en -preventie:
Flora Logistics heeft een WAF-oplossing (Web Application Firewall) geïmplementeerd om bepaalde gehoste Producten en andere voor internet toegankelijke applicaties te beschermen die door Flora Logistics worden geïdentificeerd. De WAF is ontworpen om aanvallen op openbaar beschikbare services te identificeren en te voorkomen.
3. Scannen op kwetsbaarheden:
Flora Logistics scant haar code, infrastructuur en webdiensten regelmatig op bekende kwetsbaarheden en verhelpt ze tijdig. Flora Logistics is geabonneerd op nieuwsoverzichten voor toepasselijke leveranciersfouten en monitort de websites van leveranciers en andere relevante kanalen actief op nieuwe patches.
Beperkingen van privilege en autorisatie vereisten
1. Product toegang:
Een deel van de werknemers van Flora Logistics heeft via gecontroleerde interfaces toegang tot de producten en tot klantgegevens. Het verlenen van toegang aan een groep van medewerkers is bedoeld om effectieve ondersteuning te bieden, mogelijke problemen op te lossen, beveiligingsincidenten te detecteren en erop te reageren en gegevensbeveiliging te implementeren. Aan werknemers kan toegang worden verleend op grond van hun functie of door indiening van een goedgekeurd verzoek. Inlogsessies bij gegevensopslag- of verwerkingssystemen worden geregistreerd.
2. Database toegang:
Klantgegevens zijn alleen toegankelijk voor daartoe bevoegde medewerkers. Directe database toegang is beperkt en toegangsrechten zijn vastgesteld en nageleefd.
Incident Management Control
1. Detectie:
Flora Logistics heeft haar infrastructuur ontworpen om uitgebreide informatie over het systeem, ontvangen dataverkeer, systeemverificatie en andere verzoeken te loggen. Interne systemen verzamelen gegevens en waarschuwen bevoegde medewerkers over kwaadwillende, onbedoelde of abnormale activiteiten. Het personeel van Flora Logistics, inclusief het beveiligingsteam en support, zal reageren op gekende incidenten.
2. Respons en tracking:
Flora Logistics houdt een register bij van gekende beveiligingsincidenten met beschrijvingen, data en tijden van relevante activiteiten en incidenten. Verdachte en bevestigde beveiligingsincidenten worden onderzocht door beveiliging, operations of support en passende stappen worden geïdentificeerd en gedocumenteerd. Voor alle bevestigde incidenten neemt Flora Logistics passende maatregelen om schade aan producten en klanten of ongeautoriseerde openbaarmaking te minimaliseren.
3. Communicatie:
Als Flora Logistics kennis krijgt van onrechtmatige toegang tot klantgegevens die zijn opgeslagen in haar producten, zal Flora Logistics, indien en voor zover zij dit nodig acht of hiertoe verplicht is: de betrokken Klanten informeren over het incident; een beschrijving delen van de stappen die Flora Logistics neemt om het incident op te lossen; status-updates met deze Klanten delen. Kennisgeving van eventuele incidenten wordt aan een of meer contactpersonen van de Klant geleverd in een vorm die door Flora Logistics wordt geselecteerd, mogelijk via e-mail of telefoon.