Vtiger - Technische en organisatorische maatregelen (TOM's)
Dit document is een aanvulling op bijlage II: Technische en organisatorische maatregelen van het Addendum voor gegevensverwerking (DPA) tussen Vtiger en de klant onder Art 28 (Verwerker) AVG (Algemene Verordening Gegevensbescherming van de EU).
Vtiger implementeert technische en organisatorische maatregelen op grond van artikel 32 (Beveiliging van de verwerking) van de AVG. Deze maatregelen worden voortdurend verbeterd op basis van haalbaarheid en de nieuwste technologie, waaronder de actieve ISO 27001-certificering om de veiligheid en bescherming te verbeteren.
Bij Vtiger streven we ernaar verschillende beleidslijnen, normen en processen te handhaven en af te dwingen om persoonlijke gegevens en andere gegevens waartoe onze werknemers toegang hebben, te beveiligen. Onze toewijding aan gegevensbescherming omvat onder meer het hebben van een gespecialiseerd team voor privacy en beveiliging, het bieden van gegevensbescherming aan externe partijen, het garanderen van consistente bescherming in de hele organisatie, strikte controle over onderaannemers en het uitvoeren van regelmatige audits en certificeringen. We werken deze maatregelen regelmatig bij om ervoor te zorgen dat ze in lijn zijn met de industrienormen.
De volgende beschrijving van technische en organisatorische maatregelen wordt, indien van toepassing, gedifferentieerd naar deze gegevenscategorieën.
1. Vertrouwelijkheid
1.1 Fysieke toegangscontrole
Er zijn maatregelen getroffen om te voorkomen dat onbevoegden toegang krijgen tot de gegevensverwerkingssystemen die worden gebruikt om persoonsgegevens te verwerken.
Technische maatregelen
Gesloten gebouw en kantoor
Biometrische toegang
Handmatig vergrendelingssysteem
Deuren met een automatisch sluitsysteem
Beveiligingspersoneel
Videobewaking van de ingang
Geen productieservers ter plaatse
Organisatorische maatregelen
Controlelijst voor belangrijke regelgeving
Ontvangst met beveiligingspersoneel
Bezoekers Boek
Medewerkers-/bezoekersbadge
Bezoeker vergezeld door medewerker
Informatiebeveiligingsbeleid
Werkinstructies Toegangscontrole
Hoewel Vtiger prioriteit geeft aan gegevensbeveiliging, is het belangrijk om het gedeelde verantwoordelijkheidsmodel in cloud computing te erkennen. Vtiger maakt gebruik van Cloud Service Providers (CSP's) zoals AWS, DigitalOcean en OV om cloudbronnen te leveren. Deze CSP's beveiligen de onderliggende infrastructuur en handhaven robuuste beveiligingscontroles. Meer details over hoe de beveiligingscontroles van de ISP zijn te vinden hier.
1.2 Logische toegangscontrole
Er zijn beveiligingsmaatregelen getroffen om ongeautoriseerde toegang tot gegevensverwerkingssystemen te voorkomen.
Technische maatregelen
Log in met een gebruikersnaam en een sterk wachtwoord
Firewall
Inbraakdetectiesystemen
Gebruik VPN voor externe toegang
Encryptie van schijven, apparaten/laptops/tablets
Twee-factor-authenticatie
Automatische desktop-/laptopvergrendeling
Antivirussoftware geïnstalleerd op apparaten en servers
De toegang wordt gemonitord en geregistreerd
Automatische accountvergrendeling bij mislukte aanmeldingen/authenticaties
Alle gebruiksactiviteiten en gegevenswijzigingen worden geregistreerd
Organisatorische maatregelen
Beheer van gebruikersrechten, inclusief op rollen gebaseerde autorisatie
Het aanmaken van gebruikersspecifieke profielen
Informatiebeveiligingsbeleid
Wachtwoordbeleid
Beleid voor mobiele apparaten
Werkinstructies: IT-beveiliging SOP en toegangscontrole medewerkers
Controle van werknemers
Training en bewustwording
Het De Minimis-principe
Vtiger-medewerkerstoegang en klantcontrole
Vtiger-medewerkers hebben alleen toegang tot Vtiger-producten en klantgegevens via beveiligde interfaces. Deze toegang wordt alleen verleend als klanten deze expliciet inschakelen in hun instellingen. Alle toegangsverzoeken worden zorgvuldig geregistreerd voor auditdoeleinden.
Vtiger beperkt de toegang van medewerkers tot specifiek personeel op basis van behoefte, en zorgt ervoor dat alleen geautoriseerde personen om legitieme redenen klantgegevens kunnen bekijken. De klantapplicatie is toegankelijk voor:
Het bieden van klantenondersteuning
Het oplossen van technische problemen die klanten ervaren
Het identificeren van en reageren op potentiële veiligheidsbedreigingen
1.3 Autorisatiecontrole
Er zijn maatregelen getroffen om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot het gegevensverwerkingssysteem. Persoonlijke gegevens kunnen tijdens de verwerking, het gebruik en de opslag niet zonder de juiste toestemming worden gelezen, gekopieerd, gewijzigd of verwijderd.
Technische maatregelen
Fysieke verwijdering van gegevensdragers/apparaten
SSH-gecodeerde toegang
Gecertificeerde SSL-codering
Vernietig bestanden en papieren die niet langer in gebruik zijn
Automatische verwijdering van back-ups uit het archief na de bewaarperiode of op verzoek van de klant
Registratie van toegangen tot applicaties, met name bij het invoeren, wijzigen en verwijderen van gegevens
Organisatorische maatregelen
Informatiebeveiligingsbeleid
Minimaliseer de beheerdersrollen
Beheer van gebruikersrechten door beheerders
Werkinstructies voor het omgaan met de informatie en middelen
1.4 Scheidingscontrole
Er worden maatregelen geïmplementeerd voor strikte gegevensscheidingspraktijken om ervoor te zorgen dat gegevens die voor verschillende doeleinden worden verzameld, geïsoleerd blijven. Dit omvat logische scheiding, waarbij gegevens worden gecategoriseerd en opgeslagen in verschillende secties binnen het systeem, en mogelijk fysieke scheiding, waarbij gegevens op geheel andere hardware worden opgeslagen.
Clientapplicatie en gegevens zijn logisch gescheiden
Staging van de ontwikkel-, test- en productieomgeving
Organisatorische maatregelen
Informatiebeveiligingsbeleid
Gegevensbeschermingsbeleid
Controle via autorisatieconcept
Werkinstructie voor: Operationele veiligheid en, Beveiliging bij softwareontwikkeling en testen
1.5 Encryptiecontrole
Er worden maatregelen geïmplementeerd om de gegevens tijdens het transport en in rust te beschermen met behulp van geavanceerde methodologie.
Technische maatregelen
Gegevensversleuteling tijdens het transport (in beweging)
Implementeerde Transport Layer Security (TLS 1.2 en hoger) en Secure Sockets Layer (SSL) protocollen voor alle gegevensoverdracht.
Deze protocollen coderen gegevens terwijl deze tussen systemen worden verzonden, waardoor deze onleesbaar worden voor iedereen die deze onderschept.
Gegevensversleuteling in rust (opgeslagen)
Opslagschijven: gecodeerd met codering op schijfniveau
Gevoelige gegevens: gecodeerd met AES-256 (256-bit Advanced Encryption Standard)
Sleutelbeheer: AWS Key Management Service (KMS)
Back-ups: gecodeerd met AES-256 bij AWS S3
Gegevensmaskering: klantspecifieke details worden verhuld.
Organisatorische maatregelen
Sleutelrotatie: Regelmatige rotatie van encryptiesleutels die worden gebruikt voor gegevens en back-ups om het risico dat gepaard gaat met een gecompromitteerde sleutel te minimaliseren.
Toegangscontrole: Beperk de toegang tot encryptiesleutels tot een beperkt aantal geautoriseerd personeel met een strikte 'need-to-know'-basis.
Auditing: houd gedetailleerde logboeken voor sleutelgebruik bij om de toegang te controleren en eventuele afwijkingen te identificeren.
2. Integriteit
2.1 Overdrachtscontrole
Er zijn maatregelen getroffen om ongeoorloofde toegang tot persoonlijke gegevens tijdens elektronische verzending of opslag op gegevensopslagapparaten te voorkomen, zodat deze niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd.
Technische maatregelen
Gebruik van VPN
Registratie van toegangen en opvragingen
Levering via gecodeerde verbindingen zoals SFTP, HTTPS en beveiligde cloudwinkels
Organisatorische maatregelen
Overzicht van reguliere ophaal- en verzendprocessen
Zorgvuldige selectie van transportpersoneel en voertuigen
Persoonlijke overdracht met protocol
Informatiebeveiligingsbeleid
Gegevensbeschermingsbeleid
2.2 Invoercontrole
Er zijn maatregelen genomen om te verifiëren en te beoordelen wie persoonlijke gegevens heeft ingevoerd, gewijzigd of verwijderd uit gegevensverwerkingssystemen. Logboekregistratie regelt de invoer op verschillende niveaus, zoals het besturingssysteem, het netwerk, de firewall, de database en de applicatie.
Technische maatregelen
Technische registratie van het invoeren, wijzigen en verwijderen van gegevens
Handmatige of geautomatiseerde controle van de logs (volgens strikte interne specificaties)
Organisatorische maatregelen
Overzicht van welke programma's gebruikt kunnen worden om welke gegevens in te voeren, te wijzigen of te verwijderen
Traceerbaarheid van gegevensinvoer, wijziging en verwijdering via individuele gebruikersnamen
Toekenning van rechten om gegevens in te voeren, te wijzigen en te verwijderen op basis van een autorisatieconcept
Duidelijke verantwoordelijkheden voor verwijderingen
Informatiebeveiligingsbeleid
3. Beschikbaarheid en veerkracht
3.1 Beschikbaarheidscontrole
Er zijn maatregelen getroffen om persoonlijke gegevens te beschermen tegen onopzettelijke vernietiging of verlies (bijvoorbeeld UPS, airconditioning, brandbeveiliging, gegevensback-ups, beveiligde opslag van gegevensmedia).
Technische maatregelen
Een uptime van minimaal 99.9% (exclusief gepland onderhoud in weekendnachten).
Continue beschikbaarheid van gegevens
Brand- en rookdetectiesystemen
Brandblusser serverruimte
Bewaking van temperatuur en vochtigheid in de serverruimte
Airconditioning in de serverruimte
UPS-systeem en nooddieselgeneratoren
Beschermende stekkerdozen in de serverruimte
RAID-systeem / spiegelen van harde schijf
Serverruimte voor videobewaking
Organisatorische maatregelen
Back-upconcept
Het bestaan van een noodplan
Externe back-upopslag
Scheiding van besturingssysteem en gegevenspartities indien nodig
3.2 Controle van de herstelbaarheid
Er zijn maatregelen getroffen om de toegang tot persoonsgegevens snel te herstellen in geval van een fysiek of technisch incident.
Technische maatregelen
Back-upmonitoring en -rapportage
Herstelbaarheid vanuit automatiseringstools
Back-upconcept volgens kriticiteit en klantspecificaties
Organisatorische maatregelen
Ramp herstel plan
Controle over het back-upproces
Regelmatig testen van gegevensherstel en loggen van resultaten
Bewaar back-upmedia op een veilige plaats buiten de serverruimte
Het bestaan van een noodplan
4. Procedures voor regelmatige beoordeling, beoordeling en evaluatie
4.1 Gegevensbeschermingsbeheer (DPM)
Data Protection Management (DPM) omvat een alomvattende strategie en reeks praktijken voor het beveiligen, beheren en beveiligen van gevoelige informatie gedurende de gehele levenscyclus ervan. Dit omvat onder meer het controleren van de toegang, het voorkomen van ongeautoriseerd gebruik en het garanderen van gegevensherstel in geval van incidenten.
Technische maatregelen
Centrale documentatie van alle regelgeving inzake gegevensbescherming met toegang voor medewerkers
Veiligheidscertificering volgens ISO 27001
Minimaal jaarlijks wordt de effectiviteit van de TOM’s beoordeeld en worden de TOM’s geactualiseerd
Organisatorische maatregelen
Er wordt een functionaris voor de gegevensbescherming (DPO) aangesteld.
Alle personeelsleden zijn opgeleid en zijn verplicht tot geheimhouding en geheimhouding van gegevens. Zij krijgen minimaal jaarlijks een regelmatige bewustwordingstraining.
Waar nodig worden Data Protection Impact Assessments (DPIA’s) uitgevoerd.
Er zijn processen opgezet om te voldoen aan de informatieverplichtingen volgens artikel 13 en 14 van de AVG.
Er bestaat een geformaliseerd proces voor het afhandelen van verzoeken om informatie van betrokkenen.
Gegevensbeschermingsaspecten zijn geïntegreerd in ons bedrijfsrisicobeheer.
Belangrijke onderdelen van het bedrijf, waaronder de datacenteractiviteiten, zijn ISO 27001-gecertificeerd en er worden jaarlijkse monitoringaudits uitgevoerd.
4.2 Incidentresponsbeheer
Er zijn maatregelen getroffen ter ondersteuning van de reactie op beveiligingsinbreuken en het proces van datalekken.
Technische maatregelen
Gebruik van firewall en regelmatige updates
Gebruik van spamfilter en regelmatige updates
Gebruik van virusscanner en regelmatige updates
Inbraakdetectiesysteem (IDS) voor klantsystemen op bestelling
Inbraakpreventiesysteem (IPS) voor klantsystemen op bestelling
Organisatorische maatregelen
Een gedocumenteerd proces voor het identificeren en melden van beveiligingsincidenten en datalekken, inclusief rapportageverplichtingen aan toezichthoudende autoriteiten
De standaardprocedure voor het afhandelen van beveiligingsincidenten waarbij de Data Protection Officer (DPO) betrokken is
Het documenteren van beveiligingsincidenten en datalekken met behulp van het interne ticketingsysteem
Het standaardproces voor het opvolgen van beveiligingsincidenten en datalekken
Beleid voor melding van inbreuken
4.3 Gegevensbescherming door ontwerp en door standaardinstellingen
Er zijn maatregelen getroffen om te voldoen aan de beginselen van gegevensbescherming door ontwerp en door standaardinstellingen overeenkomstig artikel 25 AVG.
Technische maatregelen
Goedkeuring van applicaties van derden: Goedkeuring van teamleiders en IT-operationsmanagers is vereist voor alle applicaties van derden die bij de ontwikkeling worden gebruikt.
Veilige downloadbron: Stel downloads van ontwikkeltools alleen verplicht vanaf veilige bronnen, zoals servers van fabrikanten.
Single Sign-On (SSO): Implementeer waar mogelijk SSO voor applicaties van derden om de toegang centraal te beheren.
Minder veilige applicaties uitschakelen: Schakel minder veilige applicaties van derden standaard uit via beheerdersconfiguraties.
Organisatorische maatregelen
Privacybewust ontwerp: Stimuleer productontwikkeling die de hoeveelheid gegevens die gebruikers moeten invoeren minimaliseert. Vermijd onnodige gegevensvelden of maak ze optioneel.
Standaardprivacyinstellingen: selecteer standaard privacyvriendelijke instellingen om prioriteit te geven aan de bescherming van gebruikersgegevens.
PbD: Gegevensbeschermingsbeleid (inclusief principes "privacy by design / by default")
4.4 Orderbeheer (outsourcing, onderaannemers en orderverwerking)
Er zijn maatregelen genomen om ervoor te zorgen dat persoonsgegevens die namens de klant worden verwerkt, alleen worden verwerkt volgens de instructies van de klant.
Technische maatregelen
Monitoring van toegang op afstand door externe partijen, bijvoorbeeld in het kader van ondersteuning op afstand
Dienovereenkomstig toezicht houden op onderaannemers.
Organisatorische maatregelen
Verwerk de gegevens volgens de instructies van de klant
Werkinstructies maken voor leveranciersbeheer en leveranciersevaluatie
Houd u aan de voorschriften met betrekking tot het inschakelen van extra onderaannemers
Selecteer zorgvuldig subverwerkers, waarbij de nadruk vooral ligt op gegevensbescherming en beveiliging
Sluit noodzakelijke gegevensverwerkingsovereenkomsten af, zoals verwerking in opdracht of EU-standaardcontractbepalingen
Zorg ervoor dat de werknemers van de contractant de gegevens geheimhouden en zich houden aan het informatiebeveiligingsbeleid
Zorg ervoor dat u gegevens vernietigt nadat het contract is beëindigd.