Veiligheidsbeleid
Bij Finance Active nemen we informatiebeveiliging zeer serieus. Wij zijn er trots op om zoveel mogelijk betrokken te zijn bij de uitdaging om de gegevens die onze klanten ons toevertrouwen te beschermen. Wij willen daarom onze benadering van veiligheid verduidelijken.
Samenvatting:
Hoe wordt onze informatiebeveiligingsaanpak vormgegeven?
Hoe wordt de vertrouwelijkheid van gebruikersgegevens gewaarborgd?
Hoe wordt het beveiligingsniveau van ons informatiesysteem gecontroleerd?
Hoe zijn medewerkers op de hoogte van ons veiligheidsbeleid?
Wat zijn onze verplichtingen met betrekking tot de beschikbaarheid van onze applicaties?
Wat wordt er gedaan om de toegang tot onze applicaties te beveiligen?
Welke technologieën gebruiken we voor gegevensversleuteling?
Hoe beschermen we onszelf tegen malware en kwetsbaarheden?
Wat wordt er gedaan om ons computernetwerk te beschermen?
Hoe wordt de fysieke veiligheid van onze infrastructuur gegarandeerd?
Hoe wordt onze informatiebeveiligingsaanpak vormgegeven?
We hebben een beveiligingsbeleid voor informatiesystemen gedefinieerd en een informatiebeveiligingsbeheersysteem dat is afgestemd op de ISO/IEC 27001-norm. Bovendien is er een classificatie van informatie geïmplementeerd op basis van het vertrouwelijkheidsniveau. Met het doel een aangepast en afgemeten antwoord te formuleren op de risico's die verband houden met de gemanipuleerde informatie, worden alle documenten die we produceren volgens deze schaal geclassificeerd. Op elk vertrouwelijkheidsniveau wordt gedurende de gehele levenscyclus van de informatiedrager een set beveiligingsmaatregelen toegepast. We zorgen er ook voor dat er in alle fases van onze projecten rekening wordt gehouden met de veiligheid van ons informatiesysteem, vanaf de ontwerp- en specificatiefase van het systeem tot de buitengebruikstelling ervan.
Hoe wordt de vertrouwelijkheid van gebruikersgegevens gewaarborgd?
Wij leggen strenge controles op op de toegang van onze medewerkers tot de gegevens die u ons toevertrouwt. Wij zorgen ervoor dat deze gegevens niet toegankelijk zijn voor iemand die er geen legitieme toegang toe heeft. Voor de werking van onze dienstverlening is het echter noodzakelijk dat bepaalde medewerkers toegang hebben tot systemen waarin klantgegevens worden opgeslagen en verwerkt. Om bijvoorbeeld een probleem dat u tegenkomt te kunnen analyseren, moet ons ondersteuningsteam mogelijk toegang krijgen tot uw gegevens. Al onze medewerkers zijn verplicht onze veiligheidsregels na te leven en ons bedrijf behandelt deze kwesties met de grootste aandacht: het gebruik van generieke accounts is verboden en er wordt regelmatig een beoordeling van de toegangsrechten van de medewerkers uitgevoerd om ervoor te zorgen dat de veranderingsprocessen goed hebben gewerkt bij een wijziging in de situatie van ons personeel.
Hoe wordt het beveiligingsniveau van ons informatiesysteem gecontroleerd?
Om het beste beveiligingsniveau te garanderen, vragen wij regelmatig gekwalificeerde dienstverleners om auditmissies uit te voeren op ons informatiesysteem. Op een niet-uitputtende manier worden deze missies uitgevoerd om de naleving van de ISO/IEC 27001-norm op onze gecertificeerde perimeter te controleren, of om black box- en grijze box-penetratietests uit te voeren op onze SaaS-systemen.
De ISO/IEC 27001-gecertificeerde perimeter van Finance Active
De ISO/IEC 27001-norm definieert de vereisten voor het opzetten van een Information Security Management System (ISMS). Het ISMS identificeert beveiligingsmaatregelen om de bescherming van Finance Active activa te garanderen. Het doel is om de functies en informatie van diefstal, verlies of wijziging, en computersystemen te beschermen tegen inbraak of rampen.
Finance Active is gecertificeerd volgens de ISO/IEC 27001-norm op de volgende gebieden:
Softwareversie, integratie, ondersteuning en levering in SaaS-modus van de Fairways-oplossingen voor schuldenbeheer, garanties en valutarisico.
Finance Active doet er alles aan om uw privacy te beschermen. Voor de bescherming van persoonsgegevens heeft Finance Active een Data Protection Officer (DPO) aangesteld die ervoor zorgt dat de veiligheid van persoonsgegevens wordt gerespecteerd en dat processen voldoen aan de Europese wetgeving (waaronder AVG). De gegevens die wij verzamelen worden voornamelijk gebruikt door de diensten van Finance Active en worden in geen geval overgedragen aan een derde partij, behalve voor de strenge eisen van de contractuitvoering. Alle door Finance Active geselecteerde leveranciers voldoen aan de regelgeving inzake de bescherming van persoonsgegevens.
Subverwerker | Doel | Plaats |
|---|---|---|
Equinix | Hosten | Frankrijk |
Autorisatie0 | Gebruikersverificatie | EU |
Zendesk | Beheer van ondersteuningsaanvragen | EU |
Verkoopsteam | CRM | EU |
Microsoft (Office 365) | Collaboratieve bedrijfs-IT | EU |
Amazon-webservices | Back-upretentie | EU |
Hoe zijn medewerkers op de hoogte van ons veiligheidsbeleid?
Al onze medewerkers nemen tijdens hun activiteiten namens de organisatie deel aan bewustmakings- en opleidingsacties die zijn aangepast aan hun profiel en missies. Hierdoor kunnen we garanderen dat goede beveiligingspraktijken over de verschillende teams worden verspreid.
Wat zijn onze verplichtingen met betrekking tot de beschikbaarheid van onze applicaties?
Onze strategie om de beschikbaarheid van onze applicaties en de gegevens van onze klanten te garanderen, is gebaseerd op een reeks complementaire elementen:
Verdeling van de productie- en back-upservers in twee datacentra die beantwoorden aan goede bedrijfsbeheerpraktijken
Duplicatie van gegevens op deze twee datacenters
Gebruik van hardwaretolerante opslag
Regelmatige back-up van het informatiesysteem:
Dagelijkse back-up gedurende 2 weken bewaard
Wekelijkse back-up gedurende 2 maanden bewaard
Maandelijkse back-up gedurende 2 jaar bewaard
Jaarlijkse back-up gedurende 10 jaar bewaard
Behalve in gevallen van overmacht, ons:
Recovery Point Objective, d.w.z. de maximale beoogde periode waarin gegevens verloren kunnen gaan, is 24 uur
Recovery Time Objective, d.w.z. de beoogde tijdsduur waarin onze applicatie hersteld moet worden, is 4 werkuren
Wat wordt er gedaan om de toegang tot onze applicaties te beveiligen?
Alle toegang tot applicaties en diensten aangeboden door Finance Active is onderworpen aan gebruikersauthenticatie. Wij delegeren het beheer van de gebruikersauthenticatie aan gespecialiseerde leveranciers die de volgende standaarden implementeren:
Autorisatiedelegatie: OAuth 2.0 (RFC 6749 en RFC 6750)
Veilige uitwisseling van autorisatietokens: JSON Web Tokens (RFC 7519)
Op applicatieniveau wordt bij elk verzoek een verificatie van de gebruikersauthenticatie en toegangsrechten tot gegevens uitgevoerd. Gebruikers hebben alleen toegang tot hun ruimte en gegevens vanuit de ruimte waaraan hun account is gekoppeld.
Welke technologieën gebruiken we voor gegevensversleuteling?
De uitwisselingen tussen de gebruikerswerkstations en onze applicaties worden volledig gecodeerd van uw browser naar onze servers met behulp van HyperText Transfer Protocol Secure (RFC 2818).
De cryptografische suites zijn implementaties die worden erkend als marktstandaarden, en de authenticatie van onze internetgerichte diensten is gebaseerd op certificaten die zijn ondertekend door een erkende openbare certificeringsinstantie.
Hoe beschermen we onszelf tegen malware en kwetsbaarheden?
De besturingssystemen en software die we gebruiken, worden stevig onderhouden door hun uitgever, een actieve community (voor open source software) of een serviceprovider. Om het aanvalsoppervlak te verkleinen, worden alleen de noodzakelijke diensten en applicaties op onze servers geïnstalleerd. Daarnaast worden er systematisch grote updates en beveiligingsupdates ingezet.
We monitoren ook de identificatie van nieuwe kwetsbaarheden door de releasestromen van verschillende CERT's te volgen, zoals CERT-FR of CERT-US, en we zorgen ervoor dat alle machines binnen ons informatiesysteem worden beschermd door een systeem voor preventie van malware (antivirus, enz.) goed onderhouden.
Wat wordt er gedaan om ons computernetwerk te beschermen?
Ons computernetwerk is gesegmenteerd volgens gebieden van homogene beveiliging. Er wordt een filtering van de inkomende en uitgaande stromen van elk gebied uitgevoerd. Elke verbinding tussen ons netwerk en een extern netwerk (netwerk van derden, internet, enz.) is gecodeerd en verloopt via een speciale infrastructuur, inclusief de juiste beveiligingselementen (firewalls, enz.).
Hoe wordt de fysieke veiligheid van onze infrastructuur gegarandeerd?
Datacentrum
Onze servers worden gehost in state-of-the-art Europese datacenters voor fysieke beveiliging en toegangscontrole. Wij zorgen ervoor dat:
De bedrijven die zijn geselecteerd voor het hosten van onze servers zijn ISO/IEC 27001-gecertificeerd.
De organisatie in koude gangen/warme gangen wordt gerespecteerd.
Het autonome branddetectie- en blussysteem is aanwezig.
De redundantie van de voeding is aanwezig.
De fysieke toegangscontrole en filtering worden uitgevoerd.
Er wordt gebruik gemaakt van meervoudige toegangscontrole.
Fysieke toegangscontrole in de gebouwen van Finance Active
De levering van fysieke toegang tot onze gebouwen volgt een proces om de identiteit van de persoon te garanderen. Toegangsbadges zijn persoonlijk en niet overdraagbaar. Personeel anders dan het personeel dat uitdrukkelijk bevoegd is maar wel wordt opgeroepen om in te grijpen op gevoelige gebieden (onderhoud of reparatie van gebouwen, niet-computerapparatuur, bezoekers, enz.), komt systematisch en dwingend tussenbeide onder toezicht.
De toegang tot het pand is onderworpen aan videobewaking en buiten de werkuren wordt het pand bewaakt.