Skip to content

Beveiligingsverklaring van de Welliba Group

Een belangrijk aandachtspunt en commitment van de Welliba Group is de bescherming van klant- en gebruikersgegevens.

 

Organisatorische beveiliging

Informatiebeveiligingsprogramma
We hebben een informatiebeveiligingsprogramma geïmplementeerd dat binnen de hele organisatie bekend is. Ons informatiebeveiligingsprogramma volgt de criteria die uiteengezet werden in het SOC 2-kader. SOC 2 is een alom bekende procedure voor controle op informatiebeveiliging van het American Institute of Certified Public Accountants.  

Controle door derden
Onze organisatie ondergaat onafhankelijke beoordelingen van derden om onze maatregelen ten behoeve van de veiligheid en naleving te toetsen.

Penetratietesten door derden
We voeren ten minste eenmaal per jaar een onafhankelijke penetratietest uit door derden, om te waarborgen dat de beveiliging van onze services niet gecompromitteerd is.

Rollen en verantwoordelijkheden
De rollen en verantwoordelijkheden met betrekking tot ons informatiebeveiligingsprogramma en de beschermingsmaatregelen van onze klant- en gebruikersgegevens zijn duidelijk omschreven en gedocumenteerd. Onze teamleden worden geacht al onze beveiligingsbeleidslijnen door te nemen en te accepteren.

Training in beveiligingsbewustzijn
Onze teamleden zijn verplicht om een training voor medewerkers in beveiligingsbewustzijn te volgen, waarin de standaardpraktijken binnen de sector, evenals informatiebeveiligingsonderwerpen als phishing en wachtwoordbeheer aan bod komen.

Vertrouwelijkheid
Alle teamleden dienen voorafgaand aan hun eerste werkdag een geheimhoudingsverklaring te ondertekenen en op te volgen, die voldoet aan de normen binnen de sector.


Cloudbeveiliging

Beveiliging van de cloudinfrastructuur
Al onze services worden gehost met Microsoft Azure. Zij hanteren een robuust beveiligingsprogramma met meerdere certificeringen. Voor meer informatie over de beveiligingsprocedures van onze provider verwijzen we je naar Azure Security.

Beveiliging van datahosting
Al onze gegevens worden gehost op de databases van Microsoft Azure. Deze databases bevinden zich allemaal in Nederland. Raadpleeg de bovenstaande link voor documentatie over specifieke leveranciers voor meer informatie.

Versleuteling van opgeslagen gegevens
Alle opgeslagen databases zijn versleuteld.

Versleuteling tijdens overdracht
Onze applicaties worden tijdens de overdracht alleen met TLS/SSL versleuteld.

Scannen op zwakke plekken
We voeren scans uit om zwakke plekken te identificeren en houden actief toezicht op dreigingen.

Registratie en toezicht
We houden actief toezicht op verschillende cloudservices en leggen al onze bevindingen vast.

Bedrijfscontinuïteit en herstel na rampspoed
We gebruiken de back-upservices van onze datahost om het risico op gegevensverlies bij hardwarestoringen te verkleinen. We gebruiken controlediensten die het team waarschuwen wanneer een storing gevolgen kan hebben voor onze gebruikers.

Respons bij noodgevallen
We beschikken over een proces voor het afhandelen van informatiebeveiligingsincidenten, met inbegrip van escalatieprocedures, snelle beperking van nadelige gevolgen en communicatierichtlijnen.

 

Toegangsbeveiliging

Toestemmingen en authenticatie
De toegang tot de cloudinfrastructuur en andere gevoelige tools is beperkt tot bevoegde medewerkers die deze nodig hebben voor hun functie. 

Waar dit beschikbaar is hanteren we Single Sign-on (SSO), dubbele authenticatie (2FA) en beleidsregels voor sterke wachtwoorden om de toegang tot cloudservices te beschermen.

Toegangscontrole volgens 'least privilege'
We volgen het 'least privilege'-principe met betrekking tot identiteits- en toegangscontrole. Dat wil zeggen dat we de toegangsrechten tot het minimum beperken.

Driemaandelijkse toegangscontroles
Elke drie maanden beoordelen we de toegangsrechten van alle teamleden met toegang tot gevoelige systemen.

Wachtwoordvereisten
Alle teamleden zijn verplicht om de minimale vereisten en complexiteit voor wachtwoorden na te leven.

Wachtwoordmanagers
Alle door het bedrijf uitgegeven laptops gebruiken een wachtwoordmanager waarmee teamleden wachtwoorden kunnen beheren en complexe wachtwoorden kunnen handhaven.

 

Leveranciers- en risicobeheer

Jaarlijkse risicobeoordelingen
We ondergaan ten minste eenmaal per jaar een risicobeoordeling om potentiële dreigingen op te sporen, met inbegrip van fraudebestrijding.  


Beheer van leveranciersrisico's

Voordat we een nieuwe leverancier goedkeuren, bepalen we eerst wat de risico's zijn en voeren we een gepaste beoordeling uit.


Contact


Als je vragen, opmerkingen of bezorgdheden hebt, of je wilt een potentieel beveiligingsprobleem melden, neem dan contact op met security@welliba.com

July 2023

V.2