Decos Trust Center

“Trust but verify”. Een beroemde uitspraak van de voormalige Amerikaanse president Ronald Reagan die ons heeft geleerd dat het belangrijk is om te controleren of alle gemaakte afspraken ook zijn uitgevoerd.

In ons Decos Trust Center leest u welke maatregelen Decos heeft genomen om u te verzekeren dat wij veilig en in overeenstemming met privacy- en wettelijke vereisten met uw gegevens omgaan.
 

Compliancy

Het naleven van (inter)nationale en branche specifieke standaarden en/of afspraken is Decos niet vreemd.

Zo zijn wij al geruime tijd gecertificeerd voor de internationale standaard ISO/IEC 27001:2022. Deze standaard is een wereldwijd erkende norm op het gebied van informatiebeveiliging. Ons actuele ISO27001:2022 certificaat vindt u hier. De bijbehorende verklaring van toepasselijkheid is op aanvraag beschikbaar. Decos is natuurlijk ook bekend met de Baseline Informatiebeveiliging Overheid (BIO).

Naast ISO27001, zijn wij ook gecertificeerd voor ISO9001:2015 (kwaliteitsmanagement) en ISO20000-1:2018 (IT-servicemanagement). Gezien wij als Decos kosten maken om deze certificaten te behalen, vragen wij een bijdrage voor het inzien van het ISO20000-certificaat.

De ISO-standaard ISO 16175-1:2020 is van toepassing op ons product JOIN Zaak en Document. Dit product is ook gecertificeerd voor (de inmiddels ingetrokken) norm NEN 2082:2008.

Tevens voldoen wij aan de SOC2 categorie van het Service Organization Controls (SOC) framework. Een SOC2 audit meet de effectiviteit van een Cloud Service Provider (CSP) gebaseerd op de American Institute of Certified Public Accountants (AICPA) Trust Service Principles and Criteria. Dit levert eerst een SOC2-type1 rapport (opzet / bestaan) op en na een vast afgesproken periode (vaak 3, 6 of 12 maanden) een SOC2-type2 rapport (werking).

Decos heeft een ISAE3000 - SOC2 type 2-rapport over de periode 1 januari 2022 t/m 30 juni 2022. Een gepersonaliseerd rapport kunt u opvragen bij uw accountmanager. Hieraan zijn kosten verbonden. Wij verwachten eind 2023 een nieuw rapport over de periode 1 juli 2022 t/m 30 september 2023.

Voor onze producten waar wij een DigiD-aansluiting voor aanbieden, voldoen wij ook aan de door Logius gestelde norm. Decos wordt hiervoor geaudit door een erkende auditor die aan Norea verbonden is. Een actueel assurance rapport van deze audit is voor onze (toekomstige) DigiD klanten beschikbaar.

Een ander voorbeeld van standaarden die wij volgen is de 'Pas toe of leg uit'-verplichting van het Forum Standaardisatie. Niet alles van deze lijst is op Decos van toepassing. 
 

Security

Decos beheert gegevens en systemen van verschillende lokale en regionale overheden. Het is voor ons dan ook een standaard gegeven dat onze klanten hun gegevens en systemen beschermt willen zien met behulp van de meest up to date technieken en standaarden. 

Vanwege de verschillende eisen in de Algemene Verordening Gegevensbescherming (AVG) heeft Decos ervoor gekozen dat alle systemen en data binnen de Europese Economische Ruimte (EER) blijven. Wij maken hiervoor gebruik van de Microsoft datacenters West- en Noord-Europa en een datacenter van Amazon. De Microsoft datacenters zijn fysiek in Nederland en Ierland. Het gekozen Amazon datacenter bevindt zich in Ierland.

Microsoft zelf is gecertificeerd volgens veel standaarden die in de verschillende industrieën vereist worden of nodig zijn. Deze kunt u hier vinden. Ook Amazon beschikt over deze certificeringen. Deze kunt u hier vinden.

De eigen Decos beheersdoelstellingen en -maatregelen zijn onder andere gebaseerd op de eerdergenoemde industriestandaard ISO27001:2022 en de OWASP Top10.
 

Back-up & disaster recovery

We nemen de beschikbaarheid en beheer van gegevens serieus en hebben hiervoor een geautomatiseerd proces. Om uw gegevens te beveiligen voeren wij elke 5 minuten een databaseback-up uit. Dit wordt gecombineerd met dagelijkse volledige en differentiële back-ups. Alle andere bronnen volgen een dagelijkse volledige back-up en waar mogelijk maken we gebruik van snapshot-technologie.

Productie back-ups worden opgeslagen op ten minste twee verschillende binnen de EER. Dit stelt ons in staat om uw gegevens en diensten te herstellen zonder gegevensverlies en met minimale impact. Voor databases is onze standaard bewaartermijn voor de point in time restore (PITR) back-ups 30 dagen. Daarnaast bewaren wij nog voor drie maanden een maandelijkse back-up (LTR) van de database. Voor fileshares is de back-up bewaartermijn 30 dagen.
 

Veiligheid in de organisatie

Om veilige producten aan te kunnen bieden, moet onze eigen organisatie ook veilig zijn. Dit houdt in dat al onze medewerkers:

  • Zich doorlopend bewust zijn en worden gemaakt met betrekking tot informatiebeveiliging;
  • Continue zich verbeteren als het gaat om informatiebeveiliging;
  • Alleen in kunnen op onze systemen middels 2FA;
  • Standaard een geheimhoudingsverklaring tekenen.
     

Al onze medewerkers worden gedwongen om Multi-Factor Authentication (MFA/2FA) toe te passen om toegang te krijgen tot onze systemen. We migreren zelfs verder naar een Zero-Trust-beleid voor systeemtoegang. We passen strikte op rollen gebaseerde toegang (RBAC) en wijzen privileges alleen toe op basis van behoefte. Gebeurtenissen en logboeken met betrekking tot mislukte of geslaagde verificatie worden samengevoegd voor bewaking en triage.

Verder hanteert Decos een “cloud-first” beleid. Dat betekent dat de infrastructuur in onze kantoren minimaal is. Wel maken wij uiteraard gebruik van persoonlijke toegangsmogelijkheden, CCTV en alarmsystemen. Medewerkers krijgen standaard ook alleen toegang tot de reguliere ruimten zoals de werkvloer.
 

Het veilig ontwikkelen van software

De door Decos ontwikkelde applicaties worden ontworpen met o.a. de OWASP Top 10 Framework in het achterhoofd. Alle code doorloopt een quality assurance proces voordat het naar de productieomgeving wordt vrijgegeven. Hierin wordt getest op performance, functionaliteit en security. Daarnaast worden onze applicaties periodiek intern en extern gepentest.

Voor wat betreft het versleutelen van data heeft Decos een encryptie beleid. Decos versleuteld de data in “transit” en “at rest”:

  • Al het verkeer is versleuteld met gebruikmaking van TLS 1.2 (of hoger).
  • Data “at rest” is versleuteld middels AES-256 of beter.
  • Voor het opslaan van inloggegevens wordt gebruik gemaakt van een moderne hash functie die de gegevens “hashed” en “salt” toepast.

Responsible disclosure

Decos maakt al geruime tijd gebruik van een 'Responsible disclosure'-beleid. Dit zorgt ervoor dat beveiligingsexperts van over de hele wereld een melding bij ons kunnen doen indien er een probleem wordt gevonden.