GRCGUARD

Beleidsverklaring

Persoonsgegevens die wij verwerken

GRCguard B.V. helpt organisaties bij het inrichten en beheren van een kwaliteit management systeem, om zo te voldoen aan wet- en regelgeving, vergunningseisen, normen en standaarden.

Het is ons doel om een gedegen kwaliteit management systeem bereikbaar te maken voor kleine, middelgrote en grote organisaties, middels gebruiksvriendelijke en betaalbare software. Om deze doelstelling te realiseren heeft de directie van GRCguard een managementsysteem voor informatiebeveiliging geïmplementeerd op basis van de ISO27001 standaard.

Voor u en voor ons is het belangrijk dat vertrouwelijke gegevens, vertrouwelijk blijven. Omdat we meer en meer digitaal met elkaar communiceren, wordt het beveiligen van deze gegevens steeds belangrijker. U kunt er zeker van zijn dat uw informatie bij ons in goede handen is. Wij doen er alles aan om ervoor te zorgen dat mensen die daar geen toestemming voor hebben, geen toegang hebben tot uw gegevens. Alle gegevens staan opgeslagen binnen de Europese Unie.

ISO/IEC 27001: 2013

Om te zorgen voor een continu verbeterproces, verbinden wij ons aan de richtlijnen en normen van ISO/IEC 27001: 2013. Dit is de internationale standaard voor informatiebeveiliging. Hoe pakken wij dit aan?

Verschillende organisaties en instanties stellen regels op het gebied van informatiebeveiliging en privacybescherming op. Om zicht te houden op al deze regels en eisen onderhouden wij een Privacy & Information Security Management System. Hierin kunnen we precies zien waar we ons aan moeten houden, wat de status is van de adviezen en wie welke taak heeft. Tot slot toetst een partij van buitenaf regelmatig onze informatiebeveiliging. Zodat u er zeker van kan zijn dat uw informatie veilig is en wij kunnen zorgen voor voortdurende verbetering.

Omdat wij uw data goed willen beschermen voeren wij risicoanalyses uit waarna er passende maatregelen worden genomen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. De beveiliging bestaat uit meerdere facetten welke wij logischerwijs onderverdeeld hebben:

  • Informatiebeveiligingsbeleid
  • Organiseren van informatiebeveiliging
  • Veilig personeel
  • Beheer van bedrijfsmiddelen
  • Toegangsbeveiliging
  • Cryptografie
  • Fysieke beveiliging en beveiliging van de omgeving
  • Beveiliging bedrijfsvoering
  • Communicatiebeveiliging
  • Acquisitie, ontwikkeling en onderhoud van informatiesystemen
  • Leveranciersrelaties
  • Beheer van informatiebeveiligingsincidenten
  • Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
  • Naleving

Hiermee waarborgen wij dat wij voldoen aan alle relevante plaatselijke en van toepassing zijnde wet- en regelgeving en de beschikbaarheid, integriteit en vertrouwelijkheid inzake:

  • Op elektronische wijze opgeslagen of op papier gedrukte en geschreven informatie, op elektronische of via de post verzonden informatie en of in gesprekken uitgesproken informatie;
  • Het waarborgen van de continuïteit van de bedrijfsvoering en onze oplossingen;
  • Het verzorgen van een risicobewustzijn van de medewerkers;
  • Het waarborgen dat elke daadwerkelijke of vermoedelijke inbreuk op de informatiebeveiliging of datalek wordt gemeld aan en onderzocht wordt door de aangewezen information security manager of privacy officer.

Ten aanzien van de GRCguard omgevingen en ontwikkeling is volgende ingericht:

  • Onze GRCguard omgeving draait redundant via een Managed Firewall over 2 datacenters in Amsterdam en een datacenter Engie in Maastricht voor een separate backup opslag. De datacenters beschikken o.a. over een ISO 27001, ISO 9001 en ISO 14001 certificering;
  • De toegang tot de server via een browser werkplek geschiedt op basis van HTTPS. De server is encrypted (Comodo certificaten) voor opslag en verkeer en gehardened alsmede voorzien van Antivirus, monitoring en logging;
  • Het ontwikkelproces is gebaseerd op een OTAP structuur en de omgevingen worden regelmatig getest op kwetsbaarheden, zowel op basis van toegang, bekende kwetsbaarheden (ThreatScan) als op basis van sourcecode testing (SonarCube) en handmatige code reviews;
  • Bij het ontwikkelen wordt gewerkt op basis van MicroSoft SDL en security by design en volgend hierbij de OWASP foundation;
  • Toegang tot de omgevingen is op basis van de Active Directory in combinatie met Twee Factor Authenticatie en geschiedt via een beveiligde VPN tunnel;
  • Op de werkplekken wordt geen informatie opgeslagen. Dagelijkse productiewerk wordt gepushed naar een Source Code omgeving op basis van Two Factor Authenticatie en IP White listing;
  • Opslag van werkmateriaal geschiedt binnen de GRCguard infrastructuur in Nederland die redundant en elke dag geback-upt wordt (tot en met 30 dagen). Back-up van de omgevingen geschiedt dagelijks (tot en met 90 dagen);
  • Al het betrokken personeel beschikt over een VOG;
  • Met alle leveranciers zijn (verwerkers)overeenkomsten afgesloten, waarbij informatiebeveiliging en privacybescherming is geïntegreerd binnen de contractvorming.
Scroll naar boven