kantoor pand office Decos-1

DECOS TRUST CENTER

“Trust but verify”. Een beroemde uitspraak van de voormalige Amerikaanse president Ronald Reagan die ons heeft geleerd dat het belangrijk is om te controleren of alle gemaakte afspraken ook zijn uitgevoerd.

In ons Decos Trust Center leest u welke maatregelen Decos heeft genomen om u te verzekeren dat wij veilig en in overeenstemming met privacy- en wettelijke vereisten met uw gegevens omgaan.

COMPLIANCY

Het naleven van (inter-)nationale en branche specifieke standaarden en/of afspraken is Decos niet vreemd.

Zo zijn wij al geruime tijd gecertificeerd voor de internationale ISO/IEC 27001:2017 standaard. Deze standaard is een wereldwijd erkende norm op het gebied van informatiebeveiliging.

De ISO standaard ISO 16175-1:2020 is van toepassing op ons product JOIN Zaak en Document. Dit product is ook gecertificeerd tegen de inmiddels ingetrokken norm NEN 2082:2008.

Daarnaast zijn wij natuurlijk bekend met de Baseline Informatiebeveiliging Overheid (BIO). De BIO beschrijft de invulling van de NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 voor de overheid.

Ons actuele ISO27001:2017 certificaat en bijbehorende verklaring van toepasselijkheid vindt u hier.

Tevens zijn wij bezig om ook te gaan voldoen aan de SOC2 categorie van het Service Organization Controls (SOC) framework. Een SOC2 audit meet de effectiviteit van een Cloud Service Provider (CSP) gebasseerd op de American Institute of Certified Public Accountants (AICPA) Trust Service Principles and Criteria. Dit levert aan het einde eerst een SOC2-type1 rapport (opzet / bestaan) op en na een vast afgesproken periode (vaak 3 of 6 maanden) een SOC2-type2 rapport (werking). Wij verwachten het SOC2 type 1 rapport in Q3 2021.

Voor onze producten waar wij een DigiD aansluiting voor aanbieden voldoen wij ook aan de door Logius gestelde norm. Decos wordt ook geaudit door een erkende auditor die aan Norea verbonden is. Een actueel assurance rapport van deze audit is voor onze klanten beschikbaar.

Security

Decos beheert gegevens en systemen van verschillende lokale en regionale overheden. Het is voor ons dan ook een standaard gegeven dat onze klanten hun gegevens en systemen beschermt willen zien met behulp van de meest up to date technieken en standaarden.

Vanwege de verschillende eisen in de Algemene Verordening Gegevensbescherming (AVG) heeft Decos ervoor gekozen dat alle systemen en data binnen de Europese Economische Ruimte (EER) blijven. Wij maken hiervoor gebruik van de Microsoft datacenters West- en Noord-Europa en de datacenters van Amazon. De Microsoft datacenters zijn fysiek in Nederland en Noord-Ierland. De Amazon datacenters bevinden zich in meedere Europese landen.

Microsoft zelf is gecertificeerd volgens veel standaarden die in de verschillende industrieën vereist worden of nodig zijn. Deze kunt u hier vinden. Ook Amazon beschikt over deze certificeringen. Deze kunt u hier vinden.

De eigen Decos beheer doelstellingen en -maatregelen zijn onder andere gebaseerd op de eerder genoemde industrie standaard ISO27001:2017 en de OWASP Top10.

APPLICATIEBEVEILIGING 

Decos maakt gebruik van een beveiliging georiënteerd ontwerp op basis van meerdere lagen. Een van die lagen is de applicatie laag. De door Decos ontwikkelde applicaties worden ontworpen met o.a. de OWASP Top 10 Framework in het achterhoofd. Alle code wordt gepeer-reviewed voordat het naar de productieomgeving wordt vrijgegeven.  
 
Wij maken daarnaast o.a. gebruik van kwetsbaarheden scans, “end-to-end” tests en unit tests. 



DATA ENCRYPTIE

Decos versleuteld de data in “transit” en “at rest”: 

  • Al het verkeer is versleuteld met gebruikmaking van TLS 1.2 (of hoger). 
  • Data “at rest” is versleuteld middels AES-256 of beter. 
  • Voor het opslaan van inloggegevens wordt gebruik gemaakt van een moderne hash functie die de gegevens “hashed”  en “salt” toepast. 

RESPONSIBLE DISCLOSURE 

Decos maakt al geruime tijd gebruik van een “Responsible disclosure” beleid. Dit zorgt ervoor dat beveiliging experts van over de hele wereld een melding bij ons kunnen doen indien er een probleem wordt gevonden.

 

FYSIEKE VEILIGHEID

Decos hanteert een “cloud-first” beleid. Dat betekend dat de infrastructuur in onze kantoren minimaal is. Wel maken wij uiteraard gebruik van persoonlijke toegangsmogelijkheden, CCTV en alarm systemen. Medewerkers krijgen standaard ook alleen toegang tot de reguliere ruimten zoals de werkvloer.  

Veiligheid in de organisatie

Om veilige producten aan te kunnen bieden, moet onze eigen organisatie ook veilig zijn. Dit houdt in dat al onze medewerkers:
  •  Zich doorlopend bewust zijn en worden gemaakt met betrekking tot informatiebeveiliging;
  • Continue zich verbeteren als het gaat om informatiebeveiliging;
  • Alleen in kunnen op onze systemen middels 2FA;
  • Standaard een geheimhoudingsverklaring tekenen.

Wij zijn voornemens om een SIEM-platform te implementeren om de logboeken van verschillende bronnen te verzamelen, controleregels toe te passen op die verzamelde logboeken en vervolgens verdachte activiteiten te markeren.
Wij verzamelen deze logboeken momenteel al.

Onze interne processen, wanneer SIEM wordt geïmplementeerd, zullen bepalen hoe deze waarschuwingen worden ingedeeld, verder worden onderzocht en op de juiste manier worden geëscaleerd. De belangrijkste systeemlogboeken worden dan doorgestuurd vanuit elk systeem waar de logboeken “read-only” zijn.


Identiteitsmanagement

Al onze medewerkers worden gedwongen om Multi-Factor Authentication (MFA/2FA) toe te passen om toegang te krijgen tot onze systemen. We migreren zelfs verder naar een Zero-Trust-beleid voor systeemtoegang. We passen strikte op rollen gebaseerde toegang (RBAC) en wijzen privileges alleen toe op basis van behoefte.

Gebeurtenissen en logboeken met betrekking tot mislukte of geslaagde verificatie worden samengevoegd voor bewaking en triage.

 

Backups en disaster recovery

We nemen de beschikbaarheid en beheer van gegevens serieus en hebben hiervoor een geautomatiseerd proces. Ons back-up beleid voor databases voert elke 5 minuten een back-up uit om uw gegevens te beveiligen. Dit wordt gecombineerd met dagelijkse volledige en differentiële back-ups. Alle andere bronnen volgen een dagelijkse volledige back-up en waar mogelijk maken we gebruik van snapshot-technologie.

Back-ups worden opgeslagen op ten minste twee verschillende locaties in de EU cloud datacenter locaties. Dit stelt ons in staat om uw gegevens en diensten te herstellen zonder gegevensverlies en met minimale impact. Onze standaard bewaartermijn voor back-ups is 30 dagen.