Technische en organisatorische maatregelen

Vtiger - Technische en organisatorische maatregelen (TOM's)

Dit document is een aanvulling op bijlage II: Technische en organisatorische maatregelen van het Addendum voor gegevensverwerking (DPA) tussen Vtiger en de klant onder Art 28 (Verwerker) AVG (Algemene Verordening Gegevensbescherming van de EU).

Vtiger implementeert technische en organisatorische maatregelen op grond van artikel 32 (Beveiliging van de verwerking) van de AVG. Deze maatregelen worden voortdurend verbeterd op basis van haalbaarheid en de nieuwste technologie, waaronder de actieve ISO 27001-certificering om de veiligheid en bescherming te verbeteren.

Bij Vtiger streven we ernaar verschillende beleidslijnen, normen en processen te handhaven en af ​​te dwingen om persoonlijke gegevens en andere gegevens waartoe onze werknemers toegang hebben, te beveiligen. Onze toewijding aan gegevensbescherming omvat onder meer het hebben van een gespecialiseerd team voor privacy en beveiliging, het bieden van gegevensbescherming aan externe partijen, het garanderen van consistente bescherming in de hele organisatie, strikte controle over onderaannemers en het uitvoeren van regelmatige audits en certificeringen. We werken deze maatregelen regelmatig bij om ervoor te zorgen dat ze in lijn zijn met de industrienormen.

De volgende beschrijving van technische en organisatorische maatregelen wordt, indien van toepassing, gedifferentieerd naar deze gegevenscategorieën.

1. Vertrouwelijkheid

1.1 Fysieke toegangscontrole

Er zijn maatregelen getroffen om te voorkomen dat onbevoegden toegang krijgen tot de gegevensverwerkingssystemen die worden gebruikt om persoonsgegevens te verwerken.

Technische maatregelen
  • Gesloten gebouw en kantoor
  • Biometrische toegang
  • Handmatig vergrendelingssysteem
  • Deuren met een automatisch sluitsysteem
  • Beveiligingspersoneel
  • Videobewaking van de ingang
  • Geen productieservers ter plaatse
Organisatorische maatregelen
  • Controlelijst voor belangrijke regelgeving
  • Ontvangst met beveiligingspersoneel
  • Bezoekers Boek
  • Medewerkers-/bezoekersbadge
  • Bezoeker vergezeld door medewerker
  • Informatiebeveiligingsbeleid
  • Werkinstructies Toegangscontrole

Hoewel Vtiger prioriteit geeft aan gegevensbeveiliging, is het belangrijk om het gedeelde verantwoordelijkheidsmodel in cloud computing te erkennen. Vtiger maakt gebruik van Cloud Service Providers (CSP's) zoals AWS, DigitalOcean en OV om cloudbronnen te leveren. Deze CSP's beveiligen de onderliggende infrastructuur en handhaven robuuste beveiligingscontroles. Meer details over hoe de beveiligingscontroles van de ISP zijn te vinden hier.

1.2 Logische toegangscontrole

Er zijn beveiligingsmaatregelen getroffen om ongeautoriseerde toegang tot gegevensverwerkingssystemen te voorkomen.

Technische maatregelen
  • Log in met een gebruikersnaam en een sterk wachtwoord
  • Firewall
  • Inbraakdetectiesystemen
  • Gebruik VPN voor externe toegang
  • Encryptie van schijven, apparaten/laptops/tablets
  • Twee-factor-authenticatie
  • Automatische desktop-/laptopvergrendeling
  • Antivirussoftware geïnstalleerd op apparaten en servers
  • De toegang wordt gemonitord en geregistreerd
  • Automatische accountvergrendeling bij mislukte aanmeldingen/authenticaties
  • Alle gebruiksactiviteiten en gegevenswijzigingen worden geregistreerd
Organisatorische maatregelen
  • Beheer van gebruikersrechten, inclusief op rollen gebaseerde autorisatie
  • Het aanmaken van gebruikersspecifieke profielen
  • Informatiebeveiligingsbeleid
  • Wachtwoordbeleid
  • Beleid voor mobiele apparaten
  • Werkinstructies: IT-beveiliging SOP en toegangscontrole medewerkers
  • Controle van werknemers
  • Training en bewustwording
  • Het De Minimis-principe

Vtiger-medewerkerstoegang en klantcontrole

Vtiger-medewerkers hebben alleen toegang tot Vtiger-producten en klantgegevens via beveiligde interfaces. Deze toegang wordt alleen verleend als klanten deze expliciet inschakelen in hun instellingen. Alle toegangsverzoeken worden zorgvuldig geregistreerd voor auditdoeleinden.

Vtiger beperkt de toegang van medewerkers tot specifiek personeel op basis van behoefte, en zorgt ervoor dat alleen geautoriseerde personen om legitieme redenen klantgegevens kunnen bekijken. De klantapplicatie is toegankelijk voor:

1.3 Autorisatiecontrole

Er zijn maatregelen getroffen om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot het gegevensverwerkingssysteem. Persoonlijke gegevens kunnen tijdens de verwerking, het gebruik en de opslag niet zonder de juiste toestemming worden gelezen, gekopieerd, gewijzigd of verwijderd.

Technische maatregelen
  • Fysieke verwijdering van gegevensdragers/apparaten
  • SSH-gecodeerde toegang
  • Gecertificeerde SSL-codering
  • Vernietig bestanden en papieren die niet langer in gebruik zijn
  • Automatische verwijdering van back-ups uit het archief na de bewaarperiode of op verzoek van de klant
  • Registratie van toegangen tot applicaties, met name bij het invoeren, wijzigen en verwijderen van gegevens
Organisatorische maatregelen
  • Informatiebeveiligingsbeleid
  • Minimaliseer de beheerdersrollen
  • Beheer van gebruikersrechten door beheerders
  • Werkinstructies voor het omgaan met de informatie en middelen

1.4 Scheidingscontrole

Er worden maatregelen geïmplementeerd voor strikte gegevensscheidingspraktijken om ervoor te zorgen dat gegevens die voor verschillende doeleinden worden verzameld, geïsoleerd blijven. Dit omvat logische scheiding, waarbij gegevens worden gecategoriseerd en opgeslagen in verschillende secties binnen het systeem, en mogelijk fysieke scheiding, waarbij gegevens op geheel andere hardware worden opgeslagen.

Technische maatregelen
  • Fysieke scheiding (systemen/databases/datadragers)
  • Multi-tenancy van relevante applicaties
  • Clientapplicatie en gegevens zijn logisch gescheiden
  • Staging van de ontwikkel-, test- en productieomgeving
Organisatorische maatregelen
  • Informatiebeveiligingsbeleid
  • Gegevensbeschermingsbeleid
  • Controle via autorisatieconcept
  • Werkinstructie voor: Operationele veiligheid en, Beveiliging bij softwareontwikkeling en testen

1.5 Encryptiecontrole

Er worden maatregelen geïmplementeerd om de gegevens tijdens het transport en in rust te beschermen met behulp van geavanceerde methodologie.

Technische maatregelen

Gegevensversleuteling tijdens het transport (in beweging)

  • Implementeerde Transport Layer Security (TLS 1.2 en hoger) en Secure Sockets Layer (SSL) protocollen voor alle gegevensoverdracht.
  • Deze protocollen coderen gegevens terwijl deze tussen systemen worden verzonden, waardoor deze onleesbaar worden voor iedereen die deze onderschept.

Gegevensversleuteling in rust (opgeslagen)

  • Opslagschijven: gecodeerd met codering op schijfniveau
  • Gevoelige gegevens: gecodeerd met AES-256 (256-bit Advanced Encryption Standard)
  • Sleutelbeheer: AWS Key Management Service (KMS)
  • Back-ups: gecodeerd met AES-256 bij AWS S3
  • Gegevensmaskering: klantspecifieke details worden verhuld.
Organisatorische maatregelen
  • Sleutelrotatie: Regelmatige rotatie van encryptiesleutels die worden gebruikt voor gegevens en back-ups om het risico dat gepaard gaat met een gecompromitteerde sleutel te minimaliseren.
  • Toegangscontrole: Beperk de toegang tot encryptiesleutels tot een beperkt aantal geautoriseerd personeel met een strikte 'need-to-know'-basis.
  • Auditing: houd gedetailleerde logboeken voor sleutelgebruik bij om de toegang te controleren en eventuele afwijkingen te identificeren.

2. Integriteit

2.1 Overdrachtscontrole

Er zijn maatregelen getroffen om ongeoorloofde toegang tot persoonlijke gegevens tijdens elektronische verzending of opslag op gegevensopslagapparaten te voorkomen, zodat deze niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd.

Technische maatregelen
  • Gebruik van VPN
  • Registratie van toegangen en opvragingen
  • Levering via gecodeerde verbindingen zoals SFTP, HTTPS en beveiligde cloudwinkels
Organisatorische maatregelen
  • Overzicht van reguliere ophaal- en verzendprocessen
  • Zorgvuldige selectie van transportpersoneel en voertuigen
  • Persoonlijke overdracht met protocol
  • Informatiebeveiligingsbeleid
  • Gegevensbeschermingsbeleid

2.2 Invoercontrole

Er zijn maatregelen genomen om te verifiëren en te beoordelen wie persoonlijke gegevens heeft ingevoerd, gewijzigd of verwijderd uit gegevensverwerkingssystemen. Logboekregistratie regelt de invoer op verschillende niveaus, zoals het besturingssysteem, het netwerk, de firewall, de database en de applicatie.

Technische maatregelen
  • Technische registratie van het invoeren, wijzigen en verwijderen van gegevens
  • Handmatige of geautomatiseerde controle van de logs (volgens strikte interne specificaties)
Organisatorische maatregelen
  • Overzicht van welke programma's gebruikt kunnen worden om welke gegevens in te voeren, te wijzigen of te verwijderen
  • Traceerbaarheid van gegevensinvoer, wijziging en verwijdering via individuele gebruikersnamen
  • Toekenning van rechten om gegevens in te voeren, te wijzigen en te verwijderen op basis van een autorisatieconcept
  • Duidelijke verantwoordelijkheden voor verwijderingen
  • Informatiebeveiligingsbeleid

3. Beschikbaarheid en veerkracht

3.1 Beschikbaarheidscontrole

Er zijn maatregelen getroffen om persoonlijke gegevens te beschermen tegen onopzettelijke vernietiging of verlies (bijvoorbeeld UPS, airconditioning, brandbeveiliging, gegevensback-ups, beveiligde opslag van gegevensmedia).

Technische maatregelen
  • Een uptime van minimaal 99.9% (exclusief gepland onderhoud in weekendnachten).
  • Continue beschikbaarheid van gegevens
  • Brand- en rookdetectiesystemen
  • Brandblusser serverruimte
  • Bewaking van temperatuur en vochtigheid in de serverruimte
  • Airconditioning in de serverruimte
  • UPS-systeem en nooddieselgeneratoren
  • Beschermende stekkerdozen in de serverruimte
  • RAID-systeem / spiegelen van harde schijf
  • Serverruimte voor videobewaking
Organisatorische maatregelen
  • Back-upconcept
  • Het bestaan ​​van een noodplan
  • Externe back-upopslag
  • Scheiding van besturingssysteem en gegevenspartities indien nodig

3.2 Controle van de herstelbaarheid

Er zijn maatregelen getroffen om de toegang tot persoonsgegevens snel te herstellen in geval van een fysiek of technisch incident.

Technische maatregelen
  • Back-upmonitoring en -rapportage
  • Herstelbaarheid vanuit automatiseringstools
  • Back-upconcept volgens kriticiteit en klantspecificaties
Organisatorische maatregelen
  • Ramp herstel plan
  • Controle over het back-upproces
  • Regelmatig testen van gegevensherstel en loggen van resultaten
  • Bewaar back-upmedia op een veilige plaats buiten de serverruimte
  • Het bestaan ​​van een noodplan

4. Procedures voor regelmatige beoordeling, beoordeling en evaluatie

4.1 Gegevensbeschermingsbeheer (DPM)

Data Protection Management (DPM) omvat een alomvattende strategie en reeks praktijken voor het beveiligen, beheren en beveiligen van gevoelige informatie gedurende de gehele levenscyclus ervan. Dit omvat onder meer het controleren van de toegang, het voorkomen van ongeautoriseerd gebruik en het garanderen van gegevensherstel in geval van incidenten.

Technische maatregelen
  • Centrale documentatie van alle regelgeving inzake gegevensbescherming met toegang voor medewerkers
  • Veiligheidscertificering volgens ISO 27001
  • Minimaal jaarlijks wordt de effectiviteit van de TOM’s beoordeeld en worden de TOM’s geactualiseerd
Organisatorische maatregelen
  • Er wordt een functionaris voor de gegevensbescherming (DPO) aangesteld.
  • Alle personeelsleden zijn opgeleid en zijn verplicht tot geheimhouding en geheimhouding van gegevens. Zij krijgen minimaal jaarlijks een regelmatige bewustwordingstraining.
  • Waar nodig worden Data Protection Impact Assessments (DPIA’s) uitgevoerd.
  • Er zijn processen opgezet om te voldoen aan de informatieverplichtingen volgens artikel 13 en 14 van de AVG.
  • Er bestaat een geformaliseerd proces voor het afhandelen van verzoeken om informatie van betrokkenen.
  • Gegevensbeschermingsaspecten zijn geïntegreerd in ons bedrijfsrisicobeheer.
  • Belangrijke onderdelen van het bedrijf, waaronder de datacenteractiviteiten, zijn ISO 27001-gecertificeerd en er worden jaarlijkse monitoringaudits uitgevoerd.

4.2 Incidentresponsbeheer

Er zijn maatregelen getroffen ter ondersteuning van de reactie op beveiligingsinbreuken en het proces van datalekken.

Technische maatregelen
  • Gebruik van firewall en regelmatige updates
  • Gebruik van spamfilter en regelmatige updates
  • Gebruik van virusscanner en regelmatige updates
  • Inbraakdetectiesysteem (IDS) voor klantsystemen op bestelling
  • Inbraakpreventiesysteem (IPS) voor klantsystemen op bestelling
Organisatorische maatregelen
  • Een gedocumenteerd proces voor het identificeren en melden van beveiligingsincidenten en datalekken, inclusief rapportageverplichtingen aan toezichthoudende autoriteiten
  • De standaardprocedure voor het afhandelen van beveiligingsincidenten waarbij de Data Protection Officer (DPO) betrokken is
  • Het documenteren van beveiligingsincidenten en datalekken met behulp van het interne ticketingsysteem
  • Het standaardproces voor het opvolgen van beveiligingsincidenten en datalekken
  • Beleid voor melding van inbreuken

4.3 Gegevensbescherming door ontwerp en door standaardinstellingen

Er zijn maatregelen getroffen om te voldoen aan de beginselen van gegevensbescherming door ontwerp en door standaardinstellingen overeenkomstig artikel 25 AVG.

Technische maatregelen
  • Goedkeuring van applicaties van derden: Goedkeuring van teamleiders en IT-operationsmanagers is vereist voor alle applicaties van derden die bij de ontwikkeling worden gebruikt.
  • Veilige downloadbron: Stel downloads van ontwikkeltools alleen verplicht vanaf veilige bronnen, zoals servers van fabrikanten.
  • Single Sign-On (SSO): Implementeer waar mogelijk SSO voor applicaties van derden om de toegang centraal te beheren.
  • Minder veilige applicaties uitschakelen: Schakel minder veilige applicaties van derden standaard uit via beheerdersconfiguraties.
Organisatorische maatregelen
  • Privacybewust ontwerp: Stimuleer productontwikkeling die de hoeveelheid gegevens die gebruikers moeten invoeren minimaliseert. Vermijd onnodige gegevensvelden of maak ze optioneel.
  • Standaardprivacyinstellingen: selecteer standaard privacyvriendelijke instellingen om prioriteit te geven aan de bescherming van gebruikersgegevens.
  • PbD: Gegevensbeschermingsbeleid (inclusief principes "privacy by design / by default")

4.4 Orderbeheer (outsourcing, onderaannemers en orderverwerking)

Er zijn maatregelen genomen om ervoor te zorgen dat persoonsgegevens die namens de klant worden verwerkt, alleen worden verwerkt volgens de instructies van de klant.

Technische maatregelen
  • Monitoring van toegang op afstand door externe partijen, bijvoorbeeld in het kader van ondersteuning op afstand
  • Dienovereenkomstig toezicht houden op onderaannemers.
Organisatorische maatregelen
  • Verwerk de gegevens volgens de instructies van de klant
  • Werkinstructies maken voor leveranciersbeheer en leveranciersevaluatie
  • Houd u aan de voorschriften met betrekking tot het inschakelen van extra onderaannemers
  • Selecteer zorgvuldig subverwerkers, waarbij de nadruk vooral ligt op gegevensbescherming en beveiliging
  • Sluit noodzakelijke gegevensverwerkingsovereenkomsten af, zoals verwerking in opdracht of EU-standaardcontractbepalingen
  • Zorg ervoor dat de werknemers van de contractant de gegevens geheimhouden en zich houden aan het informatiebeveiligingsbeleid
  • Zorg ervoor dat u gegevens vernietigt nadat het contract is beëindigd.