Informatiebeveiligingsbeleid

Laatst bijgewerkt: 14 januari 2025

Dit beleid kan worden geraadpleegd in de overeenkomst tussen Encryption Consulting LLC of haar dochterondernemingen en gelieerde ondernemingen (gezamenlijk "Encryption Consulting") en de Klant die gebruikmaakt van de diensten van Encryption Consulting ("Overeenkomst") en dient als bindend beleid ter nakoming van de beveiligingsverplichtingen van Encryption Consulting. Dit beveiligingsbeleid vormt een integraal onderdeel van de Overeenkomst die het gebruik van de diensten van Encryption Consulting regelt.

Definities die hierin worden gebruikt maar niet gedefinieerd, hebben de betekenis die eraan wordt toegekend in de betreffende Overeenkomst of zoals vermeld in de Eindgebruikerslicentieovereenkomst van Encryption Consulting.

In dit beleid worden de beveiligings-, technische en organisatorische maatregelen beschreven die Encryption Consulting neemt.

Certificeringen en nalevingsprogramma's

De activiteiten, het beleid en de procedures van Encryption Consulting worden regelmatig gecontroleerd om te garanderen dat ze voldoen aan de vereiste normen als betrouwbare cybersecuritydienstverlener. Compliancecertificeringen en -attesten worden beoordeeld door onafhankelijke externe auditors, wat resulteert in certificeringen, auditrapporten of complianceverklaringen.

Encryption Consulting verzorgt certificeringen en beoordelingen voor naleving van ISO 27001, ISO 27701, SOC en PCI DSS. Voor certificeringsrapporten of vragen kunt u contact opnemen met: info@encryptionconsulting.com.

Betrokkenheid van het management en algemeen beveiligingsbeheer

De databeveiligingspraktijken van Encryption Consulting zijn gebaseerd op een volwassen controleomgeving, aangestuurd door proactief managementtoezicht en bestuurstoezicht. Verantwoordelijkheden zijn duidelijk gedefinieerd en gecommuniceerd binnen de organisatie.

Het management, inclusief de DPO en CISO, beoordeelt regelmatig de risico's en de naleving, met de nadruk op beveiliging en vertrouwelijkheid van gegevens. Het personeelsbeleid is erop gericht gekwalificeerde personen aan te nemen, voortdurende training te bieden en beveiligingsverantwoordelijkheden af ​​te dwingen via het bedrijfsbeleid.

HR-beveiligingsmaatregelen

Afhankelijk van de lokale wetgeving en beschikbaarheid worden er achtergrondcontroles en screeningsprocessen uitgevoerd voor werknemers en contractanten voordat toegang wordt verleend tot gevoelige systemen of gegevens.

Alle medewerkers zijn verplicht standaard vertrouwelijkheids- en gegevensbeschermingsovereenkomsten te ondertekenen voordat ze toegang krijgen tot klant- of bedrijfsgegevens. Deze overeenkomsten verbieden ongeautoriseerde openbaarmaking of misbruik van vertrouwelijke informatie.

Werknemers zijn onderworpen aan het interne beleid van Encryption Consulting, waaronder het beleid voor acceptabel gebruik (AUP) en de gedragscode.

Encryption Consulting zorgt voor bewustwording op het gebied van beveiliging door middel van regelmatige trainingsprogramma's, waaronder een jaarlijkse verplichte training over beveiligingsbewustzijn op het gebied van risico's, privacy, phishing en best practices voor beveiliging.

Werkstations worden beveiligd met standaardtechnologieën zoals firewalls, volledige schijfversleuteling, antivirussoftware, vergrendelschermen en MFA voor externe toegang.

Bij het niet naleven van het beveiligingsbeleid worden disciplinaire maatregelen genomen om verantwoording af te leggen en naleving te waarborgen.

Change Management

Encryption Consulting beschikt over een uitgebreid programma voor wijzigingsbeheer dat de typen wijzigingen, documentatie, peer reviews, goedkeuringen en noodwijzigingen regelt.

Er wordt uitsluitend gebruikgemaakt van geautoriseerde versiebeheersystemen. Alle wijzigingen worden gedocumenteerd, beoordeeld door onafhankelijke goedkeurders en getest in geïsoleerde omgevingen vóór implementatie.

Productie- en niet-productieomgevingen zijn strikt gescheiden. Release notes worden gepubliceerd voor elke grote en kleine release.

Toegangscontrole, gebruikers- en machtigingsbeheer

Encryption Consulting hanteert strikte toegangscontroles die zijn afgestemd op rolgebaseerde toegangsprincipes. De toegang is beperkt tot wat per functie noodzakelijk is, waarbij de rechten regelmatig worden gecontroleerd en goedgekeurd.

Wachtwoordbeleid stelt eisen aan de complexiteit en geschiedenis, vooral in systemen die toegang hebben tot klantgegevens.

Extra beveiliging omvat onder meer encryptie van laptops, beperkte beheerdersrechten en afgedwongen MFA voor systemen die gevoelige gegevens verwerken.

Toegang tot productiesysteem

Productieomgevingen worden beveiligd met strenge controles, waaronder afgedwongen MFA en beperkte toegang voor geautoriseerd personeel.

Administratieve handelingen met betrekking tot broncodebeheer, back-ups en databases worden streng gecontroleerd en beheerd.

Fysieke toegang en bezoekers

Toegang tot het kantoor is beperkt tot geautoriseerd personeel met beveiligde toegangsmethoden. Beveiligingsmaatregelen omvatten alarmsystemen en bemande toegangspunten.

Bezoekers worden te allen tijde begeleid en mogen zich geen toegang verschaffen tot interne netwerken of apparatuur.

Encryption Consulting maakt gebruik van grote cloudproviders (AWS, GCP, Azure) voor het hosten van infrastructuur en vertrouwt daarbij op hun gecertificeerde fysieke en operationele controles (bijv. ISO 27001, SOC2, enz.). Datacenters zijn voorzien van redundantie, bewaking en toegangscontrole, waaronder biometrie en logging.

Netwerk- en infrastructuurbeveiliging

Encryption Consulting onderhoudt veilige basisconfiguraties en zorgt voor handhaving via geautomatiseerde tools. Alle gegevens tijdens verzending en opslag zijn versleuteld.

Klantgegevens worden nooit gebruikt in testomgevingen. Eindpunten worden beschermd met EDR, patchmanagement en geharde systeemconfiguraties.

Voor communicatie wordt HTTPS met TLS 1.2 of hoger gebruikt. Alle opgeslagen klantgegevens worden beschermd via gelaagde encryptiemechanismen.

Voor meer informatie verwijzen wij u naar de documentatie over encryptiemethodologie van Encryption Consulting.

Risicobeoordeling en kwetsbaarheidsbeheer

Encryption Consulting implementeert een formeel risicomanagementprogramma waarmee interne en externe bedreigingen worden geïdentificeerd en beperkt.

De aanpak van beveiligingsrisico's wordt jaarlijks beoordeeld en goedgekeurd als onderdeel van de naleving van ISO 27001.

Applicatiebeveiliging wordt gehandhaafd via regelmatige externe penetratietests, interne scans en veilige SDLC-praktijken. Hoge en kritieke kwetsbaarheden worden snel opgelost conform het beleid, met hertests om de herstelmaatregelen te bevestigen.

Tijdsbestek voor reactie op kwetsbaarheden:

• kritisch: Zo snel mogelijk, niet meer dan 1 week
• Hoge: ≤ 1 maand
• Medium: ≤ 3 maanden
• Laag: ≤ 3 maanden

Klanten worden via elektronische middelen op de hoogte gesteld van kwetsbaarheden die gevolgen hebben voor diensten of gegevens, overeenkomstig de Overeenkomst.

Penetratietests

Encryption Consulting voert periodiek externe penetratietests uit voor webapplicaties.

Samenvattingen of testresultaten kunnen op schriftelijk verzoek en onder voorbehoud van een geheimhoudingsovereenkomst worden gedeeld.

Indien vereist door de regelgeving (bijvoorbeeld DORA voor financiële instellingen), zal Encryption Consulting deelnemen aan door de klant geïnitieerde penetratietests indien dit door de toezichthouders wordt verplicht gesteld.

Logging en monitoring

Encryption Consulting registreert kritieke systeemactiviteiten met zowel handmatige als geautomatiseerde methoden. Logs bevatten gebruikersactiviteit, tijdstempels, resultaten en systeeminteracties.

Loggegevens zijn beschermd tegen manipulatie, worden minimaal 12 maanden (of langer indien nodig) bewaard en worden bewaakt met behulp van gecentraliseerde SIEM- en inbraakdetectie-/preventiesystemen.

De toegang tot logboeken wordt streng gecontroleerd en beheerdersacties zijn beperkt om verwijdering of wijziging te voorkomen.

Incidentrespons en melding van inbreuken

Encryption Consulting hanteert een uitgebreid incidentresponsplan dat detectie, onderzoek, beheersing, melding en evaluatie na het incident omvat. (Opmerking: Ga hier verder met het vervolg van dit gedeelte.)