End-to-end beveiliging

De back-end diensten van WeGroup worden volledig gehost op Microsoft Azure en bieden ingebouwde end-to-end beveiligings- en privacy functies. Ons team neemt extra proactieve maatregelen om een veilige infrastructuuromgeving te garanderen. Voor aanvullende, meer specifieke details met betrekking tot de beveiliging van Microsoft Azure verwijzen wij u naar
https://azure.microsoft.com/legal.

Infrastructuur beveiliging

Systemen worden beschermd door middel van key-based authenticatie en de toegang wordt beperkt door Role-Based Access Control (RBAC). RBAC zorgt ervoor dat alleen de gebruikers die toegang tot een systeem nodig hebben, kunnen inloggen. Wij beschouwen elk systeem dat klantgegevens bevat die wij verzamelen, of systemen die de gegevens bevatten die klanten bij ons opslaan, als het meest gevoelige. De toegang tot deze systemen is dus uiterst beperkt en wordt nauwlettend in de gaten gehouden.

Security beleid

WeGroup hanteert strenge beveiligingsnormen en -maatregelen in de hele organisatie. Elk teamlid wordt getraind en op de hoogte gehouden van de nieuwste beveiligingsprotocollen. Wij ondergaan regelmatig testen, trainingen en audits van onze praktijken en ons beleid.

Data center beveiliging

De infrastructuur van Microsoft Azure is beveiligd door middel van een verdediging in de diepte gelaagde aanpak. Toegang tot de beheersnetwerk infrastructuur wordt verleend via multi-factor authenticatie die de toegang tot de infrastructuur op netwerkniveau beperken op basis van de job functie, waarbij gebruik wordt gemaakt van het principe van least privilege. Alle toegang tot de ingangspunten wordt nauwlettend in de gaten gehouden en is onderworpen aan strenge controlemechanismen voor wijzigingen.

Applicatie beveiliging

Alle WeGroup webapplicatie communicatie wordt via HTTPS verstuurd, we gebruiken hoge industriële standaard algoritmen zoals aes256 en sha256. WeGroup houdt ook actief toezicht op de voortdurende beveiliging, prestaties en beschikbaarheid, 24 uur per dag, 7 dagen per week, 365 dagen per jaar.

Met betrekking tot privacy zijn wij lid van het Privacy Shield framework en kunt u ons volledige privacybeleid hier bekijken: https://wegroup.nl/privacy

Encryptie
Twee-Factor Authentificatie

1. Doel, reikwijdte en organisatie

Wat voor een document is dit, waarom bestaat het, waarop heeft het betrekking en wie is er verantwoordelijk voor?

Dit beleid definieert gedrags-, proces-, technische en governance controles met betrekking tot de beveiliging bij WeGroup die door alle personeelsleden moeten worden toegepast om de vertrouwelijkheid, integriteit en beschikbaarheid van de dienst en gegevens van WeGroup te garanderen (“Beleid”).

Al het personeel moet kennisnemen van de onderstaande regels en acties, en zich ermee vertrouwd maken. Dit Beleid bepaalt beveiligingsvereisten voor:

  • alle werknemers, aannemers, consultants van WeGroup en andere derden die diensten verlenen aan WeGroup (“personeel”),
  • het beheer van systemen, zowel hardware als software, ongeacht de locatie ervan, die worden gebruikt om namens WeGroup informatie te creëren, te onderhouden, op te slaan, te bekijken, te verwerken of te verzenden, met inbegrip van alle systemen die eigendom zijn van WeGroup, verbonden zijn met een door WeGroup beheerd netwerk of worden gebruikt voor de activiteiten van WeGroup, met inbegrip van systemen die eigendom zijn van derde dienstverleners, en
  • omstandigheden waarin WeGroup een wettelijke, contractuele of fiduciaire verplichting heeft om gegevens of middelen in haar bewaring te beschermen.

In geval van een conflict zijn de meer beperkende maatregelen van toepassing.

1.1. Beleid en evaluatie

Dit beleid is opgesteld in nauwe samenwerking met en goedgekeurd door leidinggevenden van WeGroup. Het wordt ten minste eenmaal per jaar herzien en zo nodig aangepast om te zorgen voor duidelijkheid, voldoende reikwijdte, aandacht voor de belangen van klanten en personeel, en algemene afstemming op het zich ontwikkelende veiligheidslandschap en de best practices van de sector.

1.2. Beveiligingsteam

Het beveiligingsteam van WeGroup ziet toe op de implementatie van dit Beleid, dat onder meer het volgende omvat:

  • aankoop, levering, onderhoud, buitengebruikstelling en herstel van bedrijfsinformatica middelen;
  • alle aspecten van de ontwikkeling en exploitatie van die dienst met betrekking tot veiligheid, privacy, toegang, betrouwbaarheid en duurzaamheid;
  • voortdurende risicobeoordeling, kwetsbaarheidsbeheer, incidentreactie en
  • veiligheidsgerelateerde personeelscontroles en - opleiding.

2. Personeel en kantooromgeving

Wat verwacht WeGroup van zijn personeel en de werkplek wat systemen en gegevens betreft?

WeGroup zet zich in om zijn klanten, personeel, partners en de onderneming te beschermen tegen al dan niet bewuste onwettige of schadelijke handelingen van individuen, in de context van zijn gevestigde arbeidscultuur van openheid, vertrouwen, maturiteit en integriteit. In deze afdeling wordt het verwachte personeelsgedrag beschreven dat van invloed is op de beveiliging en het aanvaardbare gebruik van informaticasystemen bij WeGroup. Deze regels zijn van kracht om ons personeel en WeGroup zelf te beschermen, omdat ongepast gebruik klanten en partners kan blootstellen aan risico’s zoals malware, virussen, compromittering van netwerksystemen en -diensten, en juridische kwesties.

2.1. Werkgedrag

De eerste verdedigingslinie bij gegevensbeveiliging is het geïnformeerde gedrag van het personeel, dat een belangrijke rol speelt bij het instaan voor de beveiliging van alle gegevens, ongeacht het formaat. Dergelijke gedragingen omvatten die welke in deze sectie worden opgesomd, evenals alle bijkomende vereisten die in het personeelshandboek worden gespecificeerd, specifieke beveiligingsprocessen en andere toepasselijke gedragscodes.

Opleiding

Alle werknemers en aannemers moeten het beveiligingsopleidingsprogramma van WeGroup volgen, dat ten minste tweemaal per jaar wordt aangeboden en als doel heeft alle gebruikers te informeren over de vereisten van dit Beleid.

Niet-erkende personen en bezoekers

Het volledige personeel is ervoor verantwoordelijk om positieve actie te ondernemen om de fysieke beveiliging in stand te houden. Spreek elke niet-erkende persoon die zich op een kantoorlocatie met beperkte toegang bevindt, aan. Elke aangesproken persoon die niet gepast reageert, moet onmiddellijk worden aangemeld bij het toezichthoudend personeel en het beveiligingsteam. Alle bezoekers van de kantoren van WeGroup moeten als zodanig geregistreerd zijn of vergezeld zijn van een werknemer van WeGroup.

Opgeruimde werkplek

Het personeel moet de werkplekken vrijhouden van gevoelig of vertrouwelijk materiaal en ervoor zorgen dat de werkplekken op het einde van elke werkdag vrij zijn van dergelijk materiaal.

Onbeheerde apparaten

Onbeheerde apparaten moeten vergrendeld zijn. Alle apparaten hebben een automatische schermblokkeerfunctie die automatisch na maximaal vijftien minuten inactiviteit wordt geactiveerd.

Gebruik van bedrijfsmiddelen

De systemen moeten worden gebruikt voor bedrijfsdoeleinden in het belang van het bedrijf, en van onze klanten en partners in het kader van de normale bedrijfsvoering. Het personeel moet zelf naar behoren beoordelen of het persoonlijk gebruik van systemen redelijk is. Alleen door WeGroup beheerde hardware en software mag worden aangesloten of geïnstalleerd op bedrijfsapparatuur of -netwerken en worden gebruikt om toegang te krijgen tot gegevens van WeGroup. Door WeGroup beheerde hardware en software omvat die welke eigendom zijn van WeGroup of die welke eigendom zijn van het personeel van WeGroup, maar die zijn ingeschreven in een apparaten beheersysteem van WeGroup. Alleen software die door WeGroup is goedgekeurd voor bedrijfsgebruik mag op bedrijfsapparatuur worden geïnstalleerd. Al het personeel moet de lijst met verboden activiteiten die in dit beleid zijn beschreven, lezen en begrijpen. Aanpassingen of configuratie wijzigingen zijn niet toegestaan zonder de uitdrukkelijke schriftelijke toestemming van het beveiligingsteam van WeGroup.

Verwijderbare opslag, geen back-ups, gebruik van cloudopslag

Het gebruik van verwijderbare media zoals USB-sticks is verboden. Het personeel mag bedrijfsapparaten niet zo configureren dat ze back-ups of kopieën van gegevens maken buiten het bedrijfsbeleid om. In plaats daarvan wordt van het personeel verwacht dat het in de eerste plaats “in de cloud” werkt en gegevens alleen kortstondig lokaal opslaat. Gegevens vanWeGroup moeten worden opgeslagen in door het bedrijf goedgekeurde veilige cloud opslag (bv. Google Docs) om ervoor te zorgen dat deze gegevens zelfs in het geval van verlies, diefstal of beschadiging van een bedrijfsapparaat onmiddellijk kunnen worden gerecupereerd op een vervangingsapparaat.

Verboden activiteiten

De volgende activiteiten zijn verboden. Onder bepaalde voorwaarden en met de uitdrukkelijke schriftelijke toestemming van het beveiligingsteam kan personeel worden vrijgesteld van bepaalde van deze beperkingen tijdens de uitoefening van hun legitieme functieverantwoordelijkheden (bv. geplande penetratietests, het is mogelijk dat systeembeheer personeel de netwerktoegang van een host moet uitschakelen als die host de productie diensten verstoort).

De onderstaande lijst is geenszins volledig, maar tracht een kader te bieden voor activiteiten die tot de categorie van onaanvaardbaar gebruik behoren.

  • Personeel van WeGroup mag in geen geval met gebruikmaking van middelen van WeGroup activiteiten verrichten die op grond van lokale, staats-, federale of internationale wetgeving onwettig zijn.
  • Het schenden van de rechten van personen of bedrijven welke beschermd zijn door auteursrechten, handelsgeheimen, octrooien of ander intellectuele eigendomsrechten, of soortgelijke wetten of voorschriften, met inbegrip van, maar niet beperkt tot het installeren of verspreiden van “onrechtmatig gekopieerde” of andere softwareproducten die niet op de juiste wijze in licentie zijn gegeven voorgebruik door WeGroup.
  • Het schenden of trachten te schenden van de gebruiksvoorwaarden of licentieovereenkomst van een door WeGroup gebruikt softwareproduct is strikt verboden.
  • Het onbevoegd kopiëren van auteursrechtelijk beschermd materiaal, met inbegrip van, maar niet beperkt tot, het digitaliseren en verspreiden van foto’s uit tijdschriften, boeken of andere auteursrechtelijk beschermde bronnen en auteursrechtelijk beschermde muziek, en het installeren van auteursrechtelijk beschermde software waarvoor WeGroup of de eindgebruiker geen actieve licentie heeft, is ten strengste verboden.
  • Het exporteren van software, technische informatie, versleutelingssoftware of -technologie kan leiden tot een schending van internationale of regionale export controlewetten. Voordat het desbetreffende materiaal wordt geëxporteerd, moet het ter zake bevoegde management worden geraadpleegd.
  • Het bekendmaken van het wachtwoord van uw account aan anderen of anderen toestaan uw account te gebruiken. Dit geldt zowel voor collega’s als voor familieleden en andere gezinsleden wanneer het werk thuis wordt verricht.
  • Het bedrieglijk aanbieden van producten, items of diensten die afkomstig zijn van om het even welk account van WeGroup.
  • Het uitdrukkelijk of impliciet afleggen van garantieverklaringen, tenzij dit deel uitmaakt van de normale functieverplichtingen en in dat geval alleen voor zover de garanties in overeenstemming zijn met de toegestane garanties van WeGroup.
  • Het binnenbrengen van kwaadaardige programma’s in het netwerk of op de server (bv. virussen, wormen, Trojaanse paarden, e-mailbommen enz.).
  • Het plegen van inbreuken op de beveiliging of het verstoren van de netwerkcommunicatie. Inbreuken op de beveiliging omvatten, maar zijn niet beperkt tot, het raadplegen van gegevens waarvan de werknemer niet de beoogde ontvanger is of het inloggen op een server of account waartoe de werknemer niet uitdrukkelijk toegang heeft gekregen. Voor de toepassing van deze afdeling omvat “verstoring” network sniffing, ping floods, packet spoofing, denial of service en vervalste routeringsinformatie voor kwaadwillige of onwettige doeleinden, maar ze is er niet toe beperkt.
  • Het uitvoeren van poortscanning of beveiligingsscanning, of andere dergelijke software die is ontworpen om computer-, software- of netwerkkwetsbaarheden te misbruiken of te vinden, behalve wanneer dit door of onder rechtstreeks toezicht van het beveiligingsteam gebeurt.
  • Het uitvoeren van om het even welke vorm van netwerkmonitoring waarbij gegevens worden onderschept die niet bestemd zijn voor de host van de werknemer, tenzij die activiteit deel uitmaakt van de normale functie/plicht van de werknemer.
  • Het omzeilen van de gebruikersauthenticatie of de beveiliging van een host, netwerk of account of het proberen in te breken in een informatiebron of een beveiligingsfunctie te omzeilen. Dit omvat het uitvoeren van programma’s voor het kraken van wachtwoorden of sniffer programma's, en het proberen te omzeilen van bestands-of andere bronrechten.
  • Het proberen om de dienst aan een andere gebruiker te verstoren of te weigeren.
  • Het verstrekken van informatie over of lijsten van personeel van WeGroup aan partijen buiten WeGroup.
  • Het installeren van software die enige vorm van malware, spyware of adware installeert of omvat, zoals die is gedefinieerd door het beveiligingsteam.
  • Het doen crashen van eeninformatiesysteem. Het opzettelijk doen crashen van een informatiesysteem is strikt verboden. Het is mogelijk dat gebruikers zich niet realiseren dat ze een systeemcrash hebben veroorzaakt, maar als wordt aangetoond dat de crash is ontstaan als gevolg van een handeling van de gebruiker, kan een herhaling van de handeling door die gebruiker als een opzettelijke handeling worden beschouwd.
  • Pogingen om technologieën te ondermijnen die worden gebruikt voor systeemconfiguratie van door het bedrijf beheerde apparaten (bv. MDM) of vrijwillig voor bedrijfsdoeleinden gebruikte persoonlijke apparaten (bv. werkprofielen op mobiele telefoons).

2.2. Configuratie, eigendom en privacy van personeelssystemen

Gecentraliseerde systeemconfiguratie

Personeelsapparaten en de softwareconfiguratie ervan kunnen door leden van het beveiligingsteam op afstand via configuratie- handhavingstechnologie worden beheerd. Dergelijke technologie kan worden gebruikt voor doeleinden zoals het controleren/installeren/verwijderen van softwaretoepassingen of systeemdiensten, het beheren van netwerkconfiguratie, het handhaven van wachtwoordbeleid, het versleutelen van schijven, het kopiëren van gegevensbestanden naar/van apparaten van werknemers en elke andere ingreep die is toegestaan om ervoor te zorgen dat apparaten van werknemers overeenstemmen met dit beleid.

Eigendomsvoorbehoud

Alle softwareprogramma’s, gegevens en documentatie die door personeel worden gegenereerd of verstrekt tijdens het leveren van diensten aan WeGroup of ten behoeve van WeGroup zijn eigendom van WeGroup, tenzij zij anderszins onder een contractuele overeenkomst vallen.

Privacy van het personeel

Hoewel het netwerkbeheer van WeGroup in een redelijk niveau van privacy wil voorzien, dienen gebruikers zich ervan bewust te zijn dat de gegevens die zij aanmaken op de bedrijfssystemen eigendom blijven vanWeGroup. Gelet op de noodzaak om het netwerk van WeGroup te beschermen, heeft het management niet de bedoeling de privacy te garanderen van de persoonlijke informatie van het personeel die op een netwerkapparaat van WeGroup is opgeslagen. Het personeel moet zelf naar behoren beoordelen of het persoonlijke gebruik, zoals het gewoon surfen op het web of persoonlijk e-mailverkeer, redelijk is. In geval van onzekerheid dient het personeel het beveiligingsteam of zijn manager te raadplegen.

Het personeel moet alle elektronische communicatie structureren met inachtneming van het feit dat de inhoud kan worden gecontroleerd en dat alle elektronische communicatie door anderen kan worden doorgestuurd, onderschept, afgedrukt of opgeslagen.

WeGroup behoudt zich het recht voor om naar eigen goeddunken bestanden of elektronische communicatie van het personeel te controleren voor zover dat nodig is om ervoor te zorgen dat alle elektronische media en diensten in overeenstemming met alle toepasselijke wetten en voorschriften en met het bedrijfsbeleid worden gebruikt.

WeGroup behoudt zich het recht voor om netwerken en systemen periodiek te controleren om de naleving van dit beleid te garanderen.Om veiligheidsredenen en met het oog op netwerkonderhoud mogen gemachtigde personen binnen WeGroup apparatuur, systemen en netwerkverkeer steeds controleren.

2.3. Human Resources praktijken

Achtergrond controles

Elke werknemer kan vóór de datum waarop hij begint te werken aan een achtergrondcontrole worden onderworpen. De gevolgen van het problematische resultaat van een achtergrondcontrole kunnen variëren van een beperking van de beveiligingsvoorrechten, tot de intrekking van een werkaanbieding of tot ontslag.

Opleiding

Het beveiligingsteam organiseert minstens eenmaal per jaar voor alle personeelsleden een bedrijfsbreed programma over beveiligingsbewustzijn. Het programma omvat beveiligingsbewustzijn,-beleidslijnen, -processen en -training om ervoor te zorgen dat het personeel voldoende geïnformeerd is om aan zijn verplichtingen te voldoen. De personen die het meest verantwoordelijk zijn voor het in stand houden van de beveiliging bij WeGroup, waaronder het beveiligingsteam zelf en het belangrijkste ingenieurs-/operationeel personeel, krijgen een meer technische bijscholing.

Vertrek

Wanneer een personeelslid wordt ontslagen of ontslag neemt, coördineert het beveiligingsteam samen met de personeelsafdeling de uitvoering van een gestandaardiseerde vertrekprocedure om ervoor te zorgen dat alle accounts, inlog gegevens en toegangsrechten van vertrekkende werknemers naar behoren worden uitgeschakeld.

2.4. Fysieke kantooromgeving

De toegang tot de kantoren van WeGroup wordt geregeld door een elektronisch controlesysteem dat voorziet in toegang op basis van identiteitserkenning, programmeerbare controle over de toegangstijd en gebruiksaudits. Onder normale bedrijfsomstandigheden zijn alle deuren steeds vergrendeld. Het beveiligingsteam kan toestemming verlenen om deuren voor korte tijd te ontgrendelen om tegemoet te komen aan soepelere fysieke toegangsnoden. Internet beveiligingscamera’s zijn opgesteld om tijd gestempelde beelden van het binnenkomen/het buitengaan te maken die off-site worden opgeslagen.

2.5. Kantoor netwerk

Apparaten krijgen via bekabeld ethernet en WPA2-wifi toegang tot het internet. Netwerkschakelaars en routers moeten in een vergrendelde netwerkkast worden geplaatst waar alleen het beveiligingsteam toegang toe heeft. De leidinggevenden van WeGroup en het beveiligingsteam kunnen individuele personen geval per geval, indien nodig toegang geven tot de netwerkkast. Er moet een netwerk firewall worden geïnstalleerd die al het WAN-verkeer blokkeert. WAN-toegankelijke netwerkdiensten mogen niet worden gehost binnen de kantooromgeving.

3. Identiteits- en toegangsbeheer voor het personeel

Hoe definieert, controleert en handhaaft WeGroup de gebruikersidentiteit en de toegangsrechten van personeel?

3.1. Gebruikersaccounts en authenticatie

Iedereen die toegang heeft tot een door WeGroup beheerd systeem doet dat via een G Suite-gebruikersaccount die zijn/haar systeemidentiteit aangeeft. Dergelijke gebruikersaccounts moeten beschikken over een unieke gebruikersnaam, een sterk wachtwoord van ten minste 8 tekens en een twee-factor authenticatie mechanisme (2FA).

Inloggen op systeem van WeGroup

Het personeel mag uitsluitend inloggen vanaf door WeGroup beheerde apparaten. De authenticatie wordt uitgevoerd door het account beheersysteem van Google, waarvan de gegevens worden vermeld op https://gsuite.google.com/security. WeGroup maakt gebruik van de faciliteiten van G Suite om kwaadwillige pogingen tot authenticatie op te sporen. Herhaaldelijke mislukte pogingen tot authenticatie kunnen leiden tot de blokkering of intrekking van de inbreuk maken de gebruikersaccount.

Inloggen op systeem van derden

Indien mogelijk, moeten systemen van derden aldus worden geconfigureerd dat zij de authenticatie delegeren aan het G Suite-account-authenticatiesysteem van WeGroup (zoals hierboven beschreven), zodat authenticatie controles worden samengevoegd tot een enkel gebruikersaccountsysteem dat centraal door het beveiligingsteam wordt beheerd.Indien authenticatie via G Suite niet mogelijk is, moeten unieke, sterke wachtwoorden worden aangemaakt en opgeslagen in het doorWeGroup goedgekeurde wachtwoord beheersysteem. Wachtwoorden moeten gepaard gaan met twee-factor authenticatie/MFA-authenticatie.

Intrekking en controle van gebruikersaccounts

Gebruikersaccounts worden onmiddellijk na het vertrekvan personeel ingetrokken (dat wil zeggen uitgeschakeld maar niet verwijderd). Bovendien worden alle gebruikersaccounts ten minste eenmaal per kwartaal gecontroleerd en worden alle inactieve gebruikersaccounts ingetrokken.

3.2. Toegangsbeheer

WeGroup past het least privilege-principe toe en elke actie die door een gebruikersaccount wordt ondernomen, is onderworpen aan toegangscontrole.

Rolgebaseerde toegangscontrole

WeGroup gebruikt een rolgebaseerd toegangscontrolemodel (RBAC) met behulp van door Google geleverde faciliteiten zoals organisatie-eenheden, gebruikersaccounts, gebruikersgroepen en gedeelde controles.

Webbrowsers en extenties

WeGroup kan het gebruik van (een) bepaalde webbrowser(s) eisen voor normaal zakelijk gebruik en voor toegang tot bedrijfsgegevens zoals e-mail. Voor bepaalde specifieke rollen, zoals softwareontwikkeling en webdesign, vereisen andere dan de hierboven genoemde functieactiviteiten het gebruik van verschillende browsers en deze rollen kunnen verschillende browsers gebruiken voor zover dat nodig is voor die activiteiten. Elke browser die toegang heeft tot bedrijfsgegevens zoals e-mail, is onderworpen aan een op een witte lijst gebaseerde beperking waarop browserextensies geïnstalleerd kunnen worden.

Beheerstoegang

De toegang tot beheershandelingen is strikt beperkt tot leden van het beveiligingsteam en nog verder beperkt op basis van de functie en het least privilege-principe.

Regelmatige herziening

Het toegang controlebeleid wordt regelmatig herzien metals doel de toegangsrechten te beperken of te verfijnen waar dat mogelijk is.Wijzigingen in de functie van het personeel leiden ook tot een herziening van de toegangsrechten.

3.3. Ontslag

Bij vrijwillig of gedwongen ontslag van het personeel volgt het beveiligingsteam de vertrekprocedure voor het personeel van WeGroup.Deze procedure omvat de intrekking, vóór de laatste dag van tewerkstelling, van de betrokken gebruikersaccount en de terugvordering van apparatuur die eigendom is van de onderneming, kantoorsleutels of toegangskaarten en alle andere bedrijfsapparatuur en -eigendom.

4. Herkomst van Technologie

Hoe bouwt, implementeert, configureert en onderhoudt WeGroup technologie om haar beveiligingsdoelstellingen na te komen?

4.1. Software ontwikkeling

WeGroup slaat broncode op in haar zelf-gehoste git service. De beveiligings- en ontwikkelingsteams verrichten codebeoordelingen en voeren een statische code-analysetool uit op elke code commit. De beoordelaars moeten de naleving controleren van de conventies en stijl van WeGroup, potentiële bugs, potentiële prestatieproblemen en of de commit beperkt is tot het beoogde doel ervan.

Beveiligingsbeoordelingen moeten worden uitgevoerd voor elke code commit die betrekking heeft op beveiligingsgevoelige modules. Deze modules omvatten die welke rechtstreeks betrekking hebben op authenticatie, autorisatie, toegangscontrole, auditing en versleuteling.

Alle belangrijke onderdelen van geïntegreerde open-source-software bibliotheken en -instrumenten moeten worden beoordeeld op deugdelijkheid, stabiliteit, prestaties, veiligheid en onderhoudbaarheid.

De beveiligings- en ontwikkelingsteams stellen een formeel software vrijgave proces vast en houden zich daaraan.

4.2. Configuratie- en veranderingsbeheer

De beveiligings- en ontwikkelingsteams van WeGroup documenteren de configuratie van alle gebruikte systemen en diensten, ongeacht of ze door WeGroup dan wel door derden worden gehost. De beste praktijken uit de sector en leverancier specifieke richtsnoeren moeten worden geïdentificeerd en in systeemconfiguraties worden opgenomen. Alle configuraties worden tenminste jaarlijks herzien. Alle wijzigingen aan configuraties moeten door aangewezen personen worden goedgekeurd en tijdig worden gedocumenteerd.

Systeemconfiguraties moeten de volgende controles opeen risico gebaseerde manier en in overeenstemming met de rest van dit beleid uitvoeren:

  • data-at-rest-beschermingsversleuteling
  • data-in-transit-bescherming van vertrouwelijkheid, authenticiteit en integriteit van inkomende en uitgaande gegevens
  • gegevens- en bestandsintegriteit
  • malware opsporing en -bestrijding
  • registratie van gebeurtenis logs
  • authenticatie van gebruikers met beheersrechten
  • handhaving van toegangscontrole
  • verwijdering of uitschakeling van onnodige software en configuraties
  • toewijzing van voldoende hardware middelen voor de ondersteuning van belastingsniveaus die ten minste twaalf maanden in de toekomst worden verwacht.

4.3. Diensten van derden

Voor elke dienst van een derde waarvan WeGroup gebruikmaakt, zal het beveiligingsteam de dienst en de leverancier jaarlijks evalueren om zich ervan te vergewissen dat beveiligingsprocedures van de leverancier in overeenstemming zijn met die van WeGroup voor de soort en de gevoeligheid van de gegevens die in het kader van de dienst zullen worden opgeslagen.

5. Gegevensclassificatie en-verwerking

Hoe beheert WeGroup gegevensclassificaties en gegevensverwerking?

5.1. Gegevens classificatie

WeGroup handhaaft de volgende klassen van en verwerkingsregels voor klantgegevens. Voor elke gegevensklasse moeten de beveiligings- en ontwikkelingsteams van WeGroup specifieke informatiesystemen in Microsoft Azure verstrekken en inzetten voor het opslaan en verwerken van gegevens van die klasse en alleen gegevens van die klasse, tenzij uitdrukkelijk anders vermeld in afdeling 5. Voor alle klassen van klantgegevens kunnen de desbetreffende systemen gegevensitems opslaan en verwerken die nodig zijn om de gegevens van elke klant goed gesegmenteerd te houden, zoals klant identificatoren van WeGroup.

Gegevens met betrekking tot gebruikersaccounts van klanten

Dit zijn gegevens die betrekking hebben op de loginaccounts voor de klanten webinterface www.wegroup.nl, die door de klantenvertegenwoordigers van WeGroup worden gebruikt. Die gegevens worden at-rest versleuteld om de gegevens te beschermen in geval van ongeoorloofde toegangspogingen. Gebruiker accountgegevens moeten zodanig worden gehasht dat de wachtwoorden in gewone tekst niet kunnen worden achterhaald.

Contactgegevens van klanten

Dit zijn contactgegevens van klanten en vertegenwoordigers van WeGroup.

Gegevens met betrekking tot klantvoorkeuren

Dit zijn contactgegevens van klanten en vertegenwoordigers van WeGroup.

Geregistreerde gegevens van klanten

Dit zijn gegevens met betrekking tot de klant specifieke voorkeuren en configuraties van de dienst van WeGroup die door klantenvertegenwoordigers worden aangemaakt.

Transactiemetagegevens over klantgebeurtenissen

Dit zijn metagegevens overtransacties die zijn uitgevoerd op alle andere klassen van klantgegevens.Daaronder zijn begrepen organisatie- en gebruikersidentificatoren van klanten, standaard syslog-gegevens met betrekking tot gebruikers van de klant en gevallen van klantcontactgegevens en gegevens over klantvoorkeuren. Deze klasse omvat geen geregistreerde gegevens van klanten.

Klantcontactgegevens, gegevens over klantvoorkeuren entransactiemetagegevens over klantgebeurtenissen kunnen worden opgeslagen en verwerkt in systemen die worden gehost in andere omgevingen dan Microsoft Azure, zoals goedgekeurd door het beveiligingsteam.

5.2. Toegang van werknemers van WeGroup tot klantgegevens

Werknemers van WeGroup hebben alleen onder de volgende voorwaarden toegang tot klantgegevens:

  • van beheerde apparaten;
  • voor incident respons, klantenondersteuning of functietests;
  • niet langer dan nodig om het doelvan de toegang te verwezenlijken;
  • op een controleerbare manier.

5.3. Toegang voor klanten

WeGroup voorziet webgebruiker interfaces (UI’s), applicatieprogrammering-interfaces(API’s) en gegevensexport faciliteiten om klanten toegang te geven tot hun gegevens.

5.4. Uitzonderlijke gevallen

Het beveiligingsteam kan samen met het uitvoerend management nooduitzonderingen op een van bovenstaande regels goedkeuren, als reactie op veiligheidsincidenten, storingen in de dienst of belangrijke wijzigingen in de werkomgeving van WeGroup, wanneer wordt aangenomen dat dergelijke uitzonderingen de beveiliging en missie van WeGroup, klanten vanWeGroup en bezoekers van de websites van klanten van WeGroup ten goede zullen komen en beschermen.

6. Beheer van kwetsbaarheden en incidenten

Hoe detecteert WeGroup kwetsbaarheden en beveiligingsincidenten en hoe reageert ze daar op?

6.1. Detectie van en reactie op kwetsbaarheden

De beveiligings- en ontwikkelingsteams van WeGroup nemen alle volgende maatregelen om kwetsbaarheden op te sporen die zich in de informatiesystemen van WeGroup kunnen voordoen:

  • kruiscontrole van kwetsbaarheidsdatabases met alle systemen en softwarepakketten die kritische diensten van WeGroup ondersteunen;
  • geautomatiseerde broncode scanners op elke code commit; source code scanners on every code commit.
  • codebeoordelingen van elke veiligheidsgevoelige code commit;
  • scannen op kwetsbaarheden bij diensten van WeGroup;
  • jaarlijkse penetratietests door een onafhankelijke leverancier.

Het beveiligingsteam van WeGroup beoordeelt de ernst van elke vastgestelde kwetsbaarheid met name wat de waarschijnlijkheid en de potentiële impact van een exploitering betreft, en ontwikkelt dan overeenkomstige strategieën en schema’s voor de beperking ervan. Geschikte beperkende maatregelen zijn onder meer de volledige sanering of het uitvoeren van compenserende controles.

6.2. Detectie van en reactie op incidenten

Het beveiligingsteam van WeGroup zal alle volgende maatregelen nemen om beveiligingsincidenten op te sporen:

  • voortdurend controleren van netwerkverkeer en workloads van Microsoft Azure op kwaadwillige of ongeoorloofde activiteiten;
  • voortdurend controleren van logs om potentieel kwaadwillige of ongeoorloofde activiteiten op te sporen;
  • beoordelen van de oorzaken van elke storing in de dienstverlening;
  • reageren op meldingen van werknemers, aannemers of externe partijen met betrekking tot potentiële incidenten.

Het beveiligingsteam van WeGroup zal bepalen of elke indicator representatief is voor een daadwerkelijk veiligheidsincident. De ernst, de omvang en de grondoorzaak van elk incident moeten worden beoordeeld en elk incident moet worden opgelost op een manier en binnen een tijdsbestek die in verhouding staat tot de ernst en de omvang.

Indien een gegevensinbreuk met betrekking tot een klant is ontdekt, zal WeGroup de communicatie met de klant verzorgen over de ernst, omvang, grondoorzaak en oplossing van de inbreuk.

7. Bedrijfscontinuïteit en rampenplan

Hoe zal WeGroup gebeurtenissen die de verwachte activiteiten kunnen verstoren, voorkomen en ervan herstellen?

Diensten van WeGroup die in Microsoft Azure worden gehost, zullen zo worden geconfigureerd dat zij bestand zijn tegen langdurige storingen in een beschikbaarheidszone en -regio. De infrastructuur en gegevens vanWeGroup worden in meerdere geografische regio’s gerepliceerd om dit niveau van beschikbaarheid te garanderen. WeGroup streeft naar een Data Recovery PointObjective (RPO, gegevensherstelpunt-doelstelling) van bijna nul voor minstens 7dagen en tot 24 uur na 7 dagen.

Vragen over security of compliancy?

Het beveiligen van de gegevens van onze klanten is een absolute topprioriteit bij WeGroup. Ons doel is om een veilige omgeving te bieden en tegelijkertijd rekening te houden met de prestaties van de applicaties en de algemene gebruikerservaring.