Decos Trust Center
“Trust but verify”. Een beroemde uitspraak van de voormalige Amerikaanse president Ronald Reagan die ons heeft geleerd dat het belangrijk is om te controleren of alle gemaakte afspraken ook zijn uitgevoerd.
In ons Decos Trust Center leest u welke maatregelen Decos heeft genomen om u te verzekeren dat wij veilig en in overeenstemming met privacy- en wettelijke vereisten met uw gegevens omgaan.
Compliancy
Het naleven van (inter)nationale en branche specifieke standaarden en/of afspraken is Decos niet vreemd.
Zo zijn wij al geruime tijd gecertificeerd voor de internationale standaard ISO/IEC 27001:2022. Deze standaard is een wereldwijd erkende norm op het gebied van informatiebeveiliging. Ons actuele ISO27001:2022 certificaat vindt u hier. De bijbehorende verklaring van toepasselijkheid is op aanvraag beschikbaar. Naast ISO27001, zijn wij ook gecertificeerd voor ISO9001:2015 (kwaliteitsmanagement) en ISO20000-1:2018 (IT-servicemanagement). Decos is natuurlijk ook bekend met de Baseline Informatiebeveiliging Overheid (BIO).
De ISO-standaard ISO 16175-1:2020 is van toepassing op ons product JOIN Zaak en Document. Dit product is ook gecertificeerd voor (de inmiddels ingetrokken) norm NEN 2082:2008.
Tevens voldoen wij aan de SOC2 categorie van het Service Organization Controls (SOC) framework. Een SOC2 audit meet de effectiviteit van een Cloud Service Provider (CSP) gebaseerd op de American Institute of Certified Public Accountants (AICPA) Trust Service Principles and Criteria. Dit levert eerst een SOC2-type1 rapport (opzet / bestaan) op en na een vast afgesproken periode (vaak 3, 6 of 12 maanden) een SOC2-type2 rapport (werking).
Decos heeft een ISAE3000 - SOC2 type 2-rapport over de periode 1 juli 2022 tot 30 september 2023. Een gepersonaliseerd rapport kunt u opvragen bij uw accountmanager. Hieraan zijn kosten verbonden.
Voor onze producten waar wij een DigiD-aansluiting voor aanbieden, voldoen wij ook aan de door Logius gestelde norm. Decos wordt hiervoor geaudit door een erkende auditor die aan Norea verbonden is. Een actueel assurance rapport van deze audit is voor onze (toekomstige) DigiD klanten beschikbaar.
Een ander voorbeeld van standaarden die wij volgen is de 'Pas toe of leg uit'-verplichting van het Forum Standaardisatie. Niet alles van deze lijst is op Decos van toepassing.
Security
Decos beheert gegevens en systemen van verschillende lokale en regionale overheden. Het is voor ons dan ook een standaard gegeven dat onze klanten hun gegevens en systemen beschermt willen zien met behulp van de meest up to date technieken en standaarden.
Vanwege de verschillende eisen in de Algemene Verordening Gegevensbescherming (AVG) heeft Decos ervoor gekozen dat alle systemen en data binnen de Europese Economische Ruimte (EER) blijven. Wij maken hiervoor gebruik van de datacenters van Microsoft, Amazon en Oracle binnen de EER.
Microsoft zelf is gecertificeerd volgens veel standaarden die in de verschillende industrieën vereist worden of nodig zijn. Deze kunt u hier vinden. Dit geldt ook voor Amazon en Oracle.
De eigen Decos beheersdoelstellingen en -maatregelen zijn onder andere gebaseerd op de eerdergenoemde industriestandaard ISO27001:2022 en de OWASP Top10.
Back-up & disaster recovery
We nemen de beschikbaarheid van uw data in onze cloudoplossingen zeer serieus. We gebruiken verschillende methoden om back-ups te maken van gegevens voor hersteldoeleinden, bijvoorbeeld point-in-time-restore (PITR), snapshots en differentiële back-ups. Voor elke bron hebben we een retentiebeleid ingesteld. Neem contact op met Decos Security voor meer informatie over het retentiebeleid.
Om je gegevens te beveiligen, kunnen we de gegevens ofwel redundant opslaan binnen een zone in een datacenter (LRS), ofwel in meerdere zones binnen een datacenter binnen de EER (ZRS), ofwel in meerdere datacenters (soms in meerdere landen) binnen de EER (GRS). Neem contact op met je accountmanager voor meer informatie hierover of kijk op de website van Microsoft: Data redundancy - Azure Storage.
Veiligheid in de organisatie
Om veilige producten aan te kunnen bieden, moet onze eigen organisatie ook veilig zijn. Dit houdt in dat al onze medewerkers:
- Zich doorlopend bewust zijn en worden gemaakt met betrekking tot informatiebeveiliging;
- Continue zich verbeteren als het gaat om informatiebeveiliging;
- Alleen in kunnen op onze systemen middels 2FA;
- Standaard een geheimhoudingsverklaring tekenen.
Al onze medewerkers worden gedwongen om Multi-Factor Authentication (MFA/2FA) toe te passen om toegang te krijgen tot onze systemen. We migreren zelfs verder naar een Zero-Trust-beleid voor systeemtoegang. We passen strikte op rollen gebaseerde toegang (RBAC) en wijzen privileges alleen toe op basis van behoefte. Gebeurtenissen en logboeken met betrekking tot mislukte of geslaagde verificatie worden samengevoegd voor bewaking en triage.
Verder hanteert Decos een “cloud-first” beleid. Dat betekent dat de infrastructuur in onze kantoren minimaal is. Wel maken wij uiteraard gebruik van persoonlijke toegangsmogelijkheden, CCTV en alarmsystemen. Medewerkers krijgen standaard ook alleen toegang tot de reguliere ruimten zoals de werkvloer.
Het veilig ontwikkelen van software
De door Decos ontwikkelde applicaties worden ontworpen met o.a. de OWASP Top 10 Framework in het achterhoofd. Alle code doorloopt een quality assurance proces voordat het naar de productieomgeving wordt vrijgegeven. Hierin wordt getest op performance, functionaliteit en security. Daarnaast worden onze applicaties periodiek intern en extern gepentest.
Voor wat betreft het versleutelen van data heeft Decos een encryptie beleid. Decos versleutelt de data in “transit” en “at rest”:
- Al het verkeer is versleuteld met gebruikmaking van TLS 1.2 (of hoger).
- Data “at rest” is versleuteld middels AES-256 of beter.
- Voor het opslaan van inloggegevens wordt gebruik gemaakt van een moderne hash functie die de gegevens “hashed” en “salt” toepast.
Responsible disclosure
Decos maakt al geruime tijd gebruik van een 'Responsible disclosure'-beleid. Dit zorgt ervoor dat beveiligingsexperts van over de hele wereld een melding bij ons kunnen doen indien er een probleem wordt gevonden.