Security Beleid

Het beveiligen van de gegevens van onze klanten is een absolute topprioriteit bij WeGroup. Ons doel is om een veilige omgeving te bieden en tegelijkertijd rekening te houden met de prestaties van de applicaties en de algemene gebruikerservaring.

Compliance

WeGroup voldoet aan GDPR-richtlijnen en andere nalevingsvereisten.

End-to-end beveiliging

De back-end diensten

De back-end diensten van WeGroup worden volledig gehost op Microsoft Azure en bieden ingebouwde end-to-end beveiligings- en privacy functies. Het team neemt extra proactieve maatregelen om een veilige infrastructuuromgeving te garanderen.

Infrastructuur beveiliging

Systemen worden beschermd door middel van key-based authenticatie en de toegang wordt beperkt door Role-Based Access Control (RBAC). RBAC zorgt ervoor dat alleen de gebruikers die toegang tot een systeem nodig hebben, kunnen inloggen.

Security beleid

WeGroup hanteert strenge beveiligingsnormen en -maatregelen in de hele organisatie. Elk teamlid wordt getraind en op de hoogte gehouden van de nieuwste beveiligingsprotocollen.

Data center beveiliging

De infrastructuur van Microsoft Azure is beveiligd door middel van een verdediging in de diepte gelaagde aanpak. Toegang tot de beheersnetwerk infrastructuur wordt verleend via multi-factor authenticatie punten.

Applicatie beveiliging

Alle WeGroup webapplicatie communicatie wordt via HTTPS verstuurd. WeGroup gebruikt aes256 en sha256-algoritmen. Het team houdt actief toezicht op de voortdurende beveiliging, prestaties en beschikbaarheid, 24/7/365.

Encryptie en twee-factor authenticatie zijn standaardmaatregelen.

1. Doel, reikwijdte en organisatie

Dit beleid definieert gedrags-, proces-, technische en governance controles met betrekking tot de beveiliging bij WeGroup die door alle personeelsleden moeten worden toegepast om de vertrouwelijkheid, integriteit en beschikbaarheid van de dienst en gegevens van WeGroup te garanderen.

Al het personeel moet kennisnemen van de onderstaande regels en acties, en zich ermee vertrouwd maken. Dit Beleid bepaalt beveiligingsvereisten voor:

  • alle werknemers, aannemers, consultants van WeGroup en andere derden die diensten verlenen aan WeGroup;
  • het beheer van systemen, zowel hardware als software, ongeacht de locatie ervan;
  • omstandigheden waarin WeGroup een wettelijke, contractuele of fiduciaire verplichting heeft om gegevens of middelen in haar bewaring te beschermen.

1.1. Beleid en evolutie

Dit beleid is opgesteld in nauwe samenwerking met en goedgekeurd door leidinggevenden van WeGroup. Het wordt ten minste eenmaal per jaar herzien en zo nodig aangepast.

1.2. Beveiligingsteam

Het beveiligingsteam van WeGroup ziet toe op de implementatie van dit Beleid, dat onder meer het volgende omvat:

  • aankoop, levering, onderhoud, buitengebruikstelling en herstel van bedrijfsinformatica middelen;
  • alle aspecten van de ontwikkeling en exploitatie van die dienst met betrekking tot veiligheid, privacy, toegang, betrouwbaarheid en duurzaamheid;
  • voortdurende risicobeoordeling, kwetsbaarheidsbeheer, incidentreactie;
  • veiligheidsgerelateerde personeelscontroles en -opleiding.

2. Personeel en kantooromgeving

WeGroup zet zich in om zijn klanten, personeel, partners en de onderneming te beschermen tegen al dan niet bewuste onwettige of schadelijke handelingen van individuen.

2.1. Werkgedrag

De eerste verdedigingslinie bij gegevensbeveiliging is het geïnformeerde gedrag van het personeel.

Opleiding

Alle werknemers en aannemers moeten het beveiligingsopleidingsprogramma van WeGroup volgen, dat ten minste tweemaal per jaar wordt aangeboden.

Niet-erkende personen en bezoekers

Het volledige personeel is ervoor verantwoordelijk om positieve actie te ondernemen om de fysieke beveiliging in stand te houden. Alle bezoekers van de kantoren van WeGroup moeten als zodanig geregistreerd zijn of vergezeld zijn van een werknemer van WeGroup.

Opgeruimde werkplek

Het personeel moet de werkplekken vrijhouden van gevoelig of vertrouwelijk materiaal en ervoor zorgen dat de werkplekken op het einde van elke werkdag vrij zijn van dergelijk materiaal.

Onbeheerde apparaten

Onbeheerde apparaten moeten vergrendeld zijn. Alle apparaten hebben een automatische schermblokkeerfunctie die automatisch na maximaal vijftien minuten inactiviteit wordt geactiveerd.

Gebruik van bedrijfsmiddelen

De systemen moeten worden gebruikt voor bedrijfsdoeleinden in het belang van het bedrijf. Alleen door WeGroup beheerde hardware en software mag worden aangesloten of geïnstalleerd op bedrijfsapparatuur of -netwerken.

Verwijderbare opslag, geen back-ups, gebruik van cloudopslag

Het gebruik van verwijderbare media zoals USB-sticks is verboden. Het personeel mag bedrijfsapparaten niet zo configureren dat ze back-ups of kopieën van gegevens maken buiten het bedrijfsbeleid om. Gegevens van WeGroup moeten worden opgeslagen in door het bedrijf goedgekeurde veilige cloud opslag.

Verboden activiteiten

De volgende activiteiten zijn verboden:

  • Personeel van WeGroup mag in geen geval met gebruikmaking van middelen van WeGroup activiteiten verrichten die op grond van lokale, staats-, federale of internationale wetgeving onwettig zijn;
  • Het schenden van de rechten van personen of bedrijven welke beschermd zijn door auteursrechten, handelsgeheimen, octrooien of ander intellectuele eigendomsrechten;
  • Het schenden of trachten te scheiden van de gebruiksvoorwaarden of licentieovereenkomst van een door WeGroup gebruikt softwareproduct;
  • Het onbevoegd kopiëren van auteursrechtelijk beschermd materiaal;
  • Het exporteren van software, technische informatie, versleutelingssoftware of -technologie zonder raadpleging van bevoegd management;
  • Het bekendmaken van het wachtwoord van uw account aan anderen;
  • Het bedrieglijk aanbieden van producten, items of diensten die afkomstig zijn van om het even welke account van WeGroup;
  • Het uitdrukkelijk of impliciet afleggen van garantieverklaringen, tenzij dit deel uitmaakt van de normale functieverplichtingen;
  • Het binnenbrengen van kwaadaardige programma's in het netwerk of op de server;
  • Het plegen van inbreuken op de beveiliging of het verstoren van de netwerkcommunicatie;
  • Het uitvoeren van poortscanning of beveiligingsscanning;
  • Het uitvoeren van om het even welke vorm van netwerkmonitoring waarbij gegevens worden onderschept die niet bestemd zijn voor de host van de werknemer;
  • Het omzeilen van de gebruikersauthenticatie of de beveiliging van een host, netwerk of account;
  • Het proberen om de dienst aan een andere gebruiker te verstoren of te weigeren;
  • Het verstrekken van informatie over of lijsten van personeel van WeGroup aan partijen buiten WeGroup;
  • Het installeren van software die enige vorm van malware, spyware of adware installeert;
  • Het doen crashen van een informatiesysteem;
  • Pogingen om technologieën te ondermijnen die worden gebruikt voor systeemconfiguratie van door het bedrijf beheerde apparaten.

2.2. Configuratie, eigendom en privacy van personeelssystemen

Gecentraliseerde systeemconfiguratie

Personeelsapparatuur en de softwareconfiguratie ervan kunnen door leden van het beveiligingsteam op afstand via configuratie-handhavingstechnologie worden beheerd.

Eigendomsvoorbehoud

Alle softwareprogramma's, gegevens en documentatie die door personeel worden gegenereerd of verstrekt tijdens het leveren van diensten aan WeGroup zijn eigendom van WeGroup, tenzij zij anderszins onder een contractuele overeenkomst vallen.

Privacy van het personeel

Hoewel het netwerkbeheer van WeGroup in een redelijk niveau van privacy wil voorzien, dienen gebruikers zich ervan bewust te zijn dat de gegevens die zij aanmaken op de bedrijfssystemen eigendom blijven van WeGroup.

WeGroup behoudt zich het recht voor om naar eigen goeddunken bestanden of elektronische communicatie van het personeel te controleren voor zover dat nodig is om ervoor te zorgen dat alle elektronische media en diensten in overeenstemming met alle toepasselijke wetten en voorschriften en met het bedrijfsbeleid worden gebruikt.

2.3. Human Resources praktijken

Achtergrondcontroles

Elke werknemer kan vóór de datum waarop hij begint te werken aan een achtergrondcontrole worden onderworpen.

Opleiding

Het beveiligingsteam organiseert minstens eenmaal per jaar voor alle personeelsleden een bedrijfsbreed programma over beveiligingsbewustzijn.

Vertrek

Wanneer een personeelslid wordt ontslagen of ontslag neemt, coördineert het beveiligingsteam samen met de personeelsafdeling de uitvoering van een gestandaardiseerde vertrekprocedure.

2.4. Fysieke kantooromgeving

De toegang tot de kantoren van WeGroup wordt geregeld door een elektronisch controlesysteem dat voorziet in toegang op basis van identiteitserkenning. Onder normale bedrijfsomstandigheden zijn alle deuren steeds vergrendeld. Internet beveiligingscamera's zijn opgesteld om tijd gestempelde beelden van het binnenkomen en buitengaan te maken die off-site worden opgeslagen.

2.5. Kantoor netwerk

Apparaten krijgen via bekabeld ethernet en WPA2-wifi toegang tot het internet. Netwerkschakelaars en routers moeten in een vergrendelde netwerkkast worden geplaatst waar alleen het beveiligingsteam toegang toe heeft. Er moet een netwerk firewall worden geïnstalleerd die al het WAN-verkeer blokkeert.

3. Identiteits- en toegangsbeheer voor het personeel

3.1. Gebruikersaccounts en authenticatie

Iedereen die toegang heeft tot een door WeGroup beheerd systeem doet dat via een G Suite-gebruikersaccount. Dergelijke gebruikersaccounts moeten beschikken over een unieke gebruikersnaam, een sterk wachtwoord van ten minste 8 tekens en een twee-factor authenticatie mechanisme (2FA).

Inloggen op systeem van WeGroup

Het personeel mag uitsluitend inloggen vanaf door WeGroup beheerde apparaten. De authenticatie wordt uitgevoerd door het account beheersysteem van Google.

Inloggen op systeem van derden

Indien mogelijk, moeten systemen van derden aldus worden geconfigureerd dat zij de authenticatie delegeren aan het G Suite-account-authenticatiesysteem van WeGroup. Indien authenticatie via G Suite niet mogelijk is, moeten unieke, sterke wachtwoorden worden aangemaakt en opgeslagen in het door WeGroup goedgekeurde wachtwoord beheersysteem. Wachtwoorden moeten gepaard gaan met twee-factor authenticatie / MFA-authenticatie.

Intrekking en controle van gebruikersaccounts

Gebruikersaccounts worden onmiddellijk na het vertrek van personeel ingetrokken. Bovendien worden alle gebruikersaccounts ten minste eenmaal per kwartaal gecontroleerd en worden alle inactieve gebruikersaccounts ingetrokken.

3.2. Toegangsbeheer

WeGroup past het least privilege-principe toe en elke actie die door een gebruikersaccount wordt ondernomen, is onderworpen aan toegangscontrole.

Rolgebaseerde toegangscontrole

WeGroup gebruikt een rolgebaseerd toegangscontrolemodel (RBAC) met behulp van door Google geleverde faciliteiten.

Webbrowsers en extensies

WeGroup kan het gebruik van bepaalde webbrowser(s) eisen voor normaal zakelijk gebruik en voor toegang tot bedrijfsgegevens. Elke browser die toegang heeft tot bedrijfsgegevens is onderworpen aan een op een witte lijst gebaseerde beperking waarop browserextensies geïnstalleerd kunnen worden.

Beheerstoegang

De toegang tot beheershandelingen is strikt beperkt tot leden van het beveiligingsteam en nog verder beperkt op basis van de functie en het least privilege-principe.

Regelmatige herziening

Het toegang controlebeleid wordt regelmatig herzien met als doel de toegangsrechten te beperken of te verfijnen waar dat mogelijk is.

3.3. Ontslag

Bij vrijwillig of gedwongen ontslag van het personeel volgt het beveiligingsteam de vertrekprocedure voor het personeel van WeGroup. Deze procedure omvat de intrekking van de betrokken gebruikersaccount en de terugvordering van apparatuur die eigendom is van de onderneming.

4. Herkomst van technologie

4.1. Software ontwikkeling

WeGroup slaat broncode op in haar zelf-gehoste git service. De beveiligings- en ontwikkelingsteams verrichten codebeoordelingen en voeren een statische code-analysetool uit op elke code commit.

Beveiligingsbeoordelingen moeten worden uitgevoerd voor elke code commit die betrekking heeft op beveiligingsgevoelige modules. Deze modules omvatten die welke rechtstreeks betrekking hebben op authenticatie, autorisatie, toegangscontrole, auditing en versleuteling.

Alle belangrijke onderdelen van geïntegreerde open-source-software bibliotheken en -instrumenten moeten worden beoordeeld op deugdelijkheid, stabiliteit, prestaties, veiligheid en onderhoudbaarheid.

De beveiligings- en ontwikkelingsteams stellen een formeel software vrijgave proces vast en houden zich daaraan.

4.2. Configuratie- en veranderingsbeheer

De beveiligings- en ontwikkelingsteams van WeGroup documenteren de configuratie van alle gebruikte systemen en diensten. Alle configuraties worden tenminste jaarlijks herzien. Alle wijzigingen aan configuraties moeten door aangewezen personen worden goedgekeurd en tijdig worden gedocumenteerd.

Systeemconfiguraties moeten de volgende controles op een risico gebaseerde manier uitvoeren:

  • data-at-rest-beschermingsversleuteling;
  • data-in-transit-bescherming van vertrouwelijkheid, authenticiteit en integriteit van inkomende en uitgaande gegevens;
  • gegevens- en bestandsintegriteit;
  • malware opsporing en -bestrijding;
  • registratie van gebeurtenis logs;
  • authenticatie van gebruikers met beheersrechten;
  • handhaving van toegangscontrole;
  • verwijdering of uitschakeling van onnodige software en configuraties;
  • toewijzing van voldoende hardware middelen.

4.3. Diensten van derden

Voor elke dienst van een derde waarvan WeGroup gebruikmaakt, zal het beveiligingsteam de dienst en de leverancier jaarlijks evalueren om zich ervan te vergewissen dat beveiligingsprocedures van de leverancier in overeenstemming zijn met die van WeGroup.

5. Gegevensclassificatie en -verwerking

5.1. Gegevensclassificatie

WeGroup handhaaft de volgende klassen van en verwerkingsregels voor klantgegevens:

Gegevens met betrekking tot gebruikersaccounts van klanten

Dit zijn gegevens die betrekking hebben op de loginaccounts voor de klanten webinterface, die door de klantenvertegenwoordigers van WeGroup worden gebruikt. Die gegevens worden at-rest versleuteld. Gebruiker accountgegevens moeten zodanig worden gehasht dat de wachtwoorden in gewone tekst niet kunnen worden achterhaald.

Contactgegevens van klanten

Dit zijn contactgegevens van klanten en vertegenwoordigers van WeGroup.

Gegevens met betrekking tot klantvoorkeuren

Dit zijn gegevens met betrekking tot de klant specifieke voorkeuren en configuraties van de dienst van WeGroup die door klantenvertegenwoordigers worden aangemaakt.

Geregistreerde gegevens van klanten

Dit zijn gegevens die door de dienst van WeGroup worden verzameld tijdens het registreren van sessies. Deze gegevens worden at-rest versleuteld.

Transactiemetagegevens over klantgebeurtenissen

Dit zijn metagegevens over transacties die zijn uitgevoerd op alle andere klassen van klantgegevens. Daaronder zijn begrepen organisatie- en gebruikersidentificatoren van klanten, standaard syslog-gegevens met betrekking tot gebruikers van de klant en gevallen van klantcontactgegevens en gegevens over klantvoorkeuren.

5.2. Toegang van werknemers van WeGroup tot klantgegevens

Werknemers van WeGroup hebben alleen onder de volgende voorwaarden toegang tot klantgegevens:

  • van beheerde apparaten;
  • voor incident respons, klantenondersteuning of functietests;
  • niet langer dan nodig om het doel van de toegang te verwezenlijken;
  • op een controleerbare manier.

5.3. Toegang voor klanten

WeGroup voorziet webgebruiker interfaces (UI's), applicatieprogrammering-interfaces (API's) en gegevensexport faciliteiten om klanten toegang te geven tot hun gegevens.

5.4. Uitzonderlijke gevallen

Het beveiligingsteam kan samen met het uitvoerend management nooduitzonderingen op een van bovenstaande regels goedkeuren, als reactie op veiligheidsincidenten, storingen in de dienst of belangrijke wijzigingen in de werkomgeving van WeGroup.

6. Beheer van kwetsbaarheden en incidenten

6.1. Detectie van en reactie op kwetsbaarheden

De beveiligings- en ontwikkelingsteams van WeGroup nemen alle volgende maatregelen om kwetsbaarheden op te sporen:

  • kruiscontrole van kwetsbaarheidsdatabases met alle systemen en softwarepakketten die kritische diensten van WeGroup ondersteunen;
  • geautomatiseerde broncode scanners op elke code commit;
  • codebeoordelingen van elke veiligheidsgevoelige code commit;
  • scannen op kwetsbaarheden bij diensten van WeGroup.

Het beveiligingsteam van WeGroup beoordeelt de ernst van elke vastgestelde kwetsbaarheid en ontwikkelt dan overeenkomstige strategieën en schema's voor de beperking ervan.

6.2. Detectie van en reactie op incidenten

Het beveiligingsteam van WeGroup zal alle volgende maatregelen nemen om beveiligingsincidenten op te sporen:

  • voortdurend controleren van netwerkverkeer en workloads van Microsoft Azure op kwaadwillige of ongeoorloofde activiteiten;
  • voortdurend controleren van logs om potentieel kwaadwillige of ongeoorloofde activiteiten op te sporen;
  • beoordelen van de oorzaken van elke storing in de dienstverlening;
  • reageren op meldingen van werknemers, aannemers of externe partijen met betrekking tot potentiële incidenten.

Het beveiligingsteam van WeGroup zal bepalen of elke indicator representatief is voor een daadwerkelijk veiligheidsincident. De ernst, de omvang en de grondoorzaak van elk incident moeten worden beoordeeld en elk incident moet worden opgelost op een manier en binnen een tijdsbestek die in verhouding staat tot de ernst en de omvang.

Indien een gegevensinbreuk met betrekking tot een klant is ontdekt, zal WeGroup de communicatie met de klant verzorgen over de ernst, omvang, grondoorzaak en oplossing van de inbreuk.

7. Bedrijfscontinuïteit en rampenplan

Diensten van WeGroup die in Microsoft Azure worden gehost, zullen zo worden geconfigureerd dat zij bestand zijn tegen langdurige storingen in een beschikbaarheidszone en -regio. De infrastructuur en gegevens van WeGroup worden in meerdere geografische regio's gerepliceerd om dit niveau van beschikbaarheid te garanderen. WeGroup streeft naar een Data Recovery Point Objective (RPO) van bijna nul voor minstens 7 dagen en tot 24 uur na 7 dagen.

Vragen over security of compliance?

Het beveiligen van de gegevens van onze klanten is een absolute topprioriteit bij WeGroup. Neem contact met ons op als u vragen heeft over ons beveiligingsbeleid.