Informatiebeveiligingsbeleid

Veiligheid, betrouwbaarheid en continuïteit voor uw DBQS-oplossing

Lees meer

Informatiebeveiliging bij Dynabloqs

Bij Dynabloqs staat de veiligheid, beschikbaarheid en betrouwbaarheid van informatie centraal. Wij ontwikkelen onze software volgens security-by-design en zorgen ervoor dat gegevens beschermd zijn tegen verlies, misbruik en ongeoorloofde toegang.

Dit informatiebeveiligingsbeleid beschrijft de principes die wij hanteren om informatiebeveiligingsrisico’s te beheersen en continuïteit te waarborgen. De Verwerkersovereenkomst maakt standaard onderdeel uit van de licentieovereenkomst en bevat aanvullende bepalingen over privacy en gegevensverwerking.

Onze uitgangspunten zijn zorgvuldigheid, transparantie en continu verbeteren.

DBQS
Doelstellingen en uitgangspunten

Wij waarborgen de vertrouwelijkheid, integriteit en beschikbaarheid van informatie door:

  • beveiligingsrisico’s tijdig te identificeren en te beheersen ;
  • passende technische en organisatorische maatregelen te nemen;
  • wettelijke en contractuele verplichtingen na te leven;
  • persoonsgegevens te verwerken conform de AVG;
  • incidenten tijdig te signaleren, onderzoeken en oplossen;
  • verbeteringen continu door te voeren in lijn met ISO-27001-principes.

Deze uitgangspunten gelden voor alle gegevensverwerkingen waarvoor Dynabloqs verantwoordelijk is.

Verantwoordelijkheden en governance
  • De Directie is eindverantwoordelijk voor het informatiebeveiligingsbeleid en stelt middelen en richtlijnen beschikbaar.
  • De Security Officer bewaakt naleving, voert risicoanalyses uit en coördineert audits, incidenten en verbetermaatregelen.
  • Medewerkers volgen verplichte beveiligingsprocedures, trainingen en geheimhoudingsafspraken.

Toegang tot klantgegevens is strikt beperkt tot geautoriseerde medewerkers. Toegang wordt gelogd en periodiek gecontroleerd.

Risicobeheersing

Wij voeren periodieke risicoanalyses uit op organisatorisch, technisch en operationeel niveau. Bevindingen uit audits, monitoring, incidenten en verbeteracties worden opgenomen in het risicobeheerproces.

Technische beveiligingsmaatregelen

Wij beschermen onze systemen en gegevens door onder meer:

Versleuteling

  • Alle dataoverdracht verloopt via TLS/HTTPS.
  • Gegevens worden versleuteld opgeslagen waar dit passend is.

Toegangsbeheer

  • Authenticatie via gebruikersnaam en wachtwoord.
  • Ondersteuning voor tweefactorauthenticatie (2FA).
  • Rollen- en rechtenstructuur op basis van 'need to know'.
  • Periodieke herbeoordeling van toegangsrechten.
  • Externe toegang vindt uitsluitend beveiligd en geautoriseerd plaats.

Infrastructuurbeveiliging

Firewall-beveiliging en afgeschermde servers (alleen noodzakelijke endpoints zijn openbaar toegankelijk).

  • Productieomgevingen zijn gescheiden van test- en ontwikkelomgevingen.
  • Functiescheiding tussen ontwikkeling, beheer en support.
  • Automatische malware- en viruscontrole.
  • Regelmatige kwetsbaarheidsscans en beveiligingscontroles.

Back-ups en herstel

  • Automatische en versleutelde back-ups.
  • Bewaartermijnen volgens het interne retentiebeleid.
  • Back-upherstel volgens het Dienstverleningsbeleid.
  • Opslag en verwerking zijn ingericht om dataverlies te voorkomen, behoudens omstandigheden van overmacht.
Organisatorische beveiligingsmaatregelen

Beveiligingsprocessen

  • Formele procedures voor incidentmelding, analyse en afhandeling
  • Vastlegging en opvolging van verbeterpunten ('lessons learned').
  • Procedures voor beveiligingsincidenten en escalatie.
  • Calamiteiten- en continuïteitsprocedures om de beschikbaarheid te waarborgen.

Medewerkers & Bewustzijn

  • Verplichte security awareness-trainingen.
  • Geheimhoudingsverklaringen (NDA's).
  • Procedure bij in- en uitdiensttreding.
  • Toegangsbeoordeling per functie en rol.

Informatieclassificatie & privacy

  • Informatie wordt geclassificeerd (openbaar, intern, intern vertrouwelijk, vertrouwelijk).
  • Verwerking van persoonsgegevens vindt plaats conform AVG en de Verwerkersovereenkomst.
  • Vertrouwelijke klantinput wordt na verwerking binnen redelijke termijn gearchiveerd of verwijderd.
Sofwareontwikkeling en kwaliteitsborging

Wij ontwikkelen software volgens security-by-design en privacy-by-design. Dit omvat:

  • secure coding practices;
  • code reviews en functiescheiding;
  • geautomatiseerde kwaliteitstests;
  • beveiligingsbeoordelingen in het ontwikkelproces;
  • gecontroleerde releases.
Continuïteit en beschikbaarheid

Onze infrastructuur en processen zijn ingericht op continuïteit en stabiele dienstverlening:

  • een uptime-norm van 99,9% per kalendermaand (exclusief gepland onderhoud);
  • redundante Cloudinfrastructuur;
  • 24/7 monitoring;
  • processen voor incidentbeheer- en herstel;
  • calamiteitenprocedure;
  • maatregelen ter voorkoming en beperking van schade door cybercriminaliteit.
Leveranciers en subverwerkers

Leveranciers en subverwerkers worden geselecteerd op betrouwbaarheid en beveiligingsniveau. Subverwerkers worden contractueel vastgelegd in de Verwerkersovereenkomst en periodiek geëvalueerd.

Fysieke beveiliging

De datacenters waarin klantgegevens worden gehost beschikken over:

  • toegangscontrole en cameratoezicht;
  • branddetectie- en brandbeveiliging;
  • klimaat- en stroomvoorzieningen;
  • 24/7 monitoring en incidentrespons.
Audits en voortdurende verbetering

Wij voeren interne audits uit en werkt samen met externe specialisten voor aanvullende controles. Resultaten worden verwerkt in structurele verbetermaatregelen.

Wijzigingen in dit beleid

Dit beleid kan worden geactualiseerd bij wijzigingen in processen, systemen, standaarden of wetgeving. Indien relevant worden klanten over wijzigingen geïnformeerd.

Slot

Heb je vragen over ons informatiebeveiligingsbeleid of onze beveiligingsmaatregelen? Neem dan gerust contact met ons op. We helpen je graag verder.