veiligheidsbeleid

Beveiliging is een van de meest essentiële onderdelen bij het aanbieden van een cloudsoftwareoplossing aan onze klanten. Het beveiligen van gevoelige gegevens staat centraal in onze waarden bij Accept Mission. Dit is de reden waarom we een streng beveiligingsbeleid hebben geïmplementeerd dat we blijven beoordelen, bijwerken en voortbouwen. Als organisatie en in de softwareoplossingen die wij leveren.

“We zetten ons in voor informatiebeveiliging en privacy”

Accept Mission onderhoudt een uitgebreid informatiebeveiligingsprogramma dat passende technische en organisatorische maatregelen omvat om de clustergegevens van onze klanten te beschermen tegen ongeoorloofde toegang, wijziging of verwijdering.

We isoleren klanten van elkaar
Alle Enterprise-klanten zijn geïsoleerd met hun eigen database met unieke en willekeurig gegenereerde referenties, beveiligd en versleuteld met Azure Kubernetes Service. Alle klanten zijn geïsoleerd binnen hun eigen naamruimte binnen Kubernetes, met netwerkbeleid, rollen en andere beveiligingsmaatregelen om ervoor te zorgen dat elke tenant echt geïsoleerd is.

We bieden SSO-toegang tot het platform
Workspace-beheerders hebben de mogelijkheid om veilige Single Sign-On-toegang tot het platform in te schakelen. We bieden veel verschillende manieren om dit te bereiken: SAML, Azure B2B, OpenID en bouwen integraties met externe SSO-providers.

We monitoren de service proactief
We controleren regelmatig onze dashboards voor servicebewaking en hebben waarschuwingen ingesteld om ons team op de hoogte te stellen als er iets mis lijkt te zijn.

Wij houden de software up-to-date
We gebruiken snelle Patching-tijdframes voor kritieke en hoge kwetsbaarheden. Elke twee weken worden er nieuwe software-updates geïnstalleerd wanneer deze beschikbaar en veilig en stabiel zijn voor onze SaaS-oplossing.

We monitoren en handelen naar verdacht gedrag
Ongebruikelijke netwerkpatronen of verdacht gedrag worden gemonitord. Microsoft Azure Infrastructure-systemen voor inbraakdetectie en -preventie (IDS/IPS) vertrouwen op zowel op handtekeningen gebaseerde beveiliging als op op algoritmen gebaseerde beveiliging om verkeerspatronen te identificeren die vergelijkbaar zijn met bekende aanvalsmethoden. IDS/IPS omvat een strikte controle van de grootte en samenstelling van het aanvalsoppervlak, het gebruik van intelligente detectiecontroles op gegevensinvoerpunten, en het ontwikkelen en implementeren van technologieën die automatisch gevaarlijke situaties verhelpen, evenals het voorkomen dat bekende bedreigingen in de eerste plaats toegang krijgen tot het systeem. plaats.

Accept Mission biedt geen directe toegang tot forensisch onderzoek naar beveiligingsgebeurtenissen, maar biedt wel toegang tot de engineering- en klantenondersteuningsteams tijdens en na ongeplande downtime.

We controleren continu tijdens het ontwikkelingsproces
Accept Mission controleert wijzigingen in onze applicatie gedurende de ontwikkelingslevenscyclus via architectuurbeoordelingen en strikte geautomatiseerde en handmatige codebeoordelingsprocessen.

We hebben beveiligingscontroles ingebouwd
We hebben belangrijke maatregelen genomen om ervoor te zorgen dat klantgegevens van Accept Mission niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd tijdens elektronische verzending, transport of opslag via ongeoorloofde middelen.
Om de kans op kwetsbaarheidsgerelateerde incidenten te verkleinen, implementeert het Accept Mission-team standpunten op basis van de nieuwste kernels van het besturingssysteem, en patcht het de computer "vloot" wanneer een kritieke CVE (dwz "Common Vulnerability and Exposure", in beveiligingstaal) wordt ontdekt in een componentsoftware.

We gebruiken de nieuwste versies van Encryption TLS v1.3
Clusters worden ingezet achter proxy's en zijn niet zichtbaar voor internetscannen. Transport Layer Security (TLS) versleutelde communicatie vanaf internet wordt geleverd in de standaardconfiguratie (versie 1.3). Accept Mission-knooppunten worden uitgevoerd in geïsoleerde containers, geconfigureerd volgens het principe van de minste bevoegdheden, en met beperkingen op systeemaanroepen en toegestane root-bewerkingen. Accepteren Mission nodes communiceren via TLS. Clustergegevens worden in rust versleuteld. API-toegang is beperkt tot Accept Mission-API's en externe toegang tot de instantie of container op Linux-niveau is niet toegestaan. Containers hebben geen mogelijkheid om communicatie op te zetten met containers uit een ander cluster.

We voeren geen op internet gebaseerde penetratietests uit tegen productie-aanbiedingen van Accept Mission, maar we maken wel gebruik van derden om applicatiebeveiligingsbeoordelingen uit te voeren tegen de Accept Mission-softwarecomponenten die worden gebruikt om deze services te leveren.

We oefenen verantwoord kwetsbaarheidsbeheer
Accept Mission erkent dat softwareontwikkeling inherent de mogelijkheid inhoudt om kwetsbaarheden te introduceren. We accepteren en onthullen kwetsbaarheden die in onze software zijn ontdekt op een transparante manier.

We werken in overeenstemming met de principes van de AVG
Accept Mission opereert in overeenstemming met de principes van de AVG. Klanten van Accept Mission vallen onder het Accept Mission Data Processing Addendum (DPA).

Beschermen uw rekening
Bij Accept Mission weten we dat beveiliging de verantwoordelijkheid van iedereen is. Daarom integreren we beveiliging in de ontwikkeling van onze producten en in de basis van Accept Mission Cloud. De veiligheid en privacy van uw Accept Mission Cloud SaaS-gegevens is ook afhankelijk van het feit dat u de vertrouwelijkheid van uw Accept Mission Cloud-inloggegevens handhaaft.

Hier is een snelle checklist:

  • Deel uw inloggegevens niet met anderen.
  • Werk uw accountprofiel bij om ervoor te zorgen dat de informatie correct en actueel is.
  • Zorg ervoor dat u veilige wachtwoorden heeft ingesteld.
  • Als je denkt dat een account is gehackt, neem dan contact met ons op.
  • Als u een verwijderingsverzoek moet indienen, neem dan contact met ons op.

Onze privacyverklaring is transparant en duidelijk
Accept Mission respecteert de privacyrechten van personen. Ons privacybeleid maakt heel duidelijk wanneer we persoonlijke gegevens verzamelen en hoe we deze gebruiken. We hebben ons privacybeleid in duidelijke taal geschreven om transparant te zijn voor onze gebruikers en klanten.

We werken op een modern cloud SaaS-platform
We gebruiken Microsoft Azure Infrastructure voor ons clouddatacenter, wat betekent dat onze klanten profiteren van de uitgebreide beveiligingspraktijken en nalevingscertificeringen van GCP. Standaard staan al onze servers in West-Europa. Enterprise-klanten kunnen ervoor kiezen om hun databaseserver op een andere locatie wereldwijd te plaatsen. We hosten geen klantgegevens in onze gebouwen en slaan geen klantgegevens op bij andere diensten van derden. GCP is een toonaangevende cloudprovider met de beste beveiligingscertificeringen in de branche, zoals SOC2 en ISO 27001, en biedt versleuteling in transit en in rust.

Accept Mission Cloud wordt gehost op infrastructuur die we beheren via Microsoft Azure Kubernetes. Om het te laten communiceren met uw systemen, draaien we een enkele NAT waar al het internetgebonden verkeer doorheen stroomt. We bewaren geen van uw gegevens en alle berekeningen worden uitgevoerd in containers met een korte levensduur die eindigen nadat de taken zijn voltooid. Onze cluster en databases worden allemaal gehost in een privé-VPC met alle privé-IP's. We maken via SSH verbinding met het cluster met een bastionknooppunt dat is opgezet met geautoriseerde netwerken.

Fysieke toegangscontrole
Accept Mission wordt gehost op de Microsoft Azure Cloud-infrastructuur. Azure-datacenters hebben een gelaagd beveiligingsmodel, inclusief uitgebreide beveiligingen zoals:

  • Op maat ontworpen elektronische toegangskaarten
  • Alarmen
  • Toegangsbarrières voor voertuigen
  • Omheining
  • Metaaldetectoren
  • biometrie

Volgens de Microsoft Security Whitepaper: “De datacentervloer is voorzien van laserstraaldetectie. Datacenters worden 24/7 bewaakt door binnen- en buitencamera's met hoge resolutie die indringers kunnen detecteren en volgen. Toegangslogboeken, activiteitenrecords en camerabeelden worden beoordeeld voor het geval er zich een incident voordoet. Datacenters worden ook routinematig gepatrouilleerd door professionele bewakers die strenge achtergrondcontroles en training hebben ondergaan.”

Medewerkers van Accept Mission hebben geen fysieke toegang tot Microsoft Azure-datacenters, servers, netwerkapparatuur of opslag.

Netwerktoegangscontrole
Accept Mission is de toegewezen beheerder van zijn infrastructuur op de Microsoft Azure Cloud-infrastructuur, en alleen aangewezen geautoriseerde leden van het Accept Mission-operatieteam hebben toegang om de infrastructuur naar behoefte te configureren achter een twee-factor-geauthenticeerd virtueel particulier netwerk. Voor afzonderlijke servers zijn specifieke privésleutels vereist en sleutels worden op een veilige en versleutelde locatie opgeslagen.

Penetratietesten
Accept Mission ondergaat jaarlijks een kwetsbaarheidsbeoordeling en penetratietests, uitgevoerd door een onafhankelijk extern bureau. Voor onze klanten op bedrijfsniveau bieden we graag de resultaten van hun bevindingen en de beperking die we hebben toegepast.

Audit door derden
Microsoft Azure Cloud-infrastructuur ondergaat regelmatig verschillende onafhankelijke audits van derden en kan verificatie van nalevingscontroles voor zijn datacenters, infrastructuur en operaties bieden. Dit omvat, maar is niet beperkt tot, SSAE 16-conforme SOC 2-certificering en ISO 27001-certificering.

Bedrijfscontinuïteit en noodherstel

Hoge beschikbaarheid
Elk onderdeel van de Accept Mission-service maakt gebruik van correct ingerichte, redundante servers (bijvoorbeeld meerdere load balancers, webservers, replicadatabases) in geval van storing. Als onderdeel van regulier onderhoud worden servers buiten gebruik gesteld zonder dat dit gevolgen heeft voor de beschikbaarheid.

Bedrijfscontinuïteit
Accept Mission houdt continu versleutelde back-ups van gegevens op de Microsoft Azure Cloud-infrastructuur. Hoewel we dit nooit verwachten, zullen we in het geval van verlies van productiegegevens (dwz verloren primaire gegevensopslag) de organisatiegegevens herstellen vanaf deze back-ups.

Noodherstel
In het geval van een regio-brede uitval zal Accept Mission een duplicaat-omgeving in een andere Microsoft Azure Cloud-infrastructuur brengen. We respecteren altijd de locatie van de gegevens op basis van de overeenkomst van de klanten.

Herstelpuntdoelstelling (RPO)
De maximaal acceptabele leeftijd van de gegevens die kunnen worden hersteld (of herstelpunt) en de versie van de verloren gegevens. RPO: '24 uur'.

Hersteltijddoelstelling (RTO)
De maximaal acceptabele tijdsduur die een organisatie nodig heeft om verloren gegevens te herstellen en weer aan de slag te gaan. RTO: '72 uur'.

Gegevensoverdracht

Gegevens naar servers
Alle inkomende verbindingen naar onze servers moeten worden versleuteld met de industriestandaard SSL-encryptie. Het laatste SSL Labs-rapport is te vinden hier.

Gegevens tussen onze servers
Verbindingen tussen onze servers (dwz webservers <-> databases) worden versleuteld via TLS v1.3 met een AES-256bit-coderingsmethode. Geheimen zoals databasewachtwoord en API-geheimen worden versleuteld met dezelfde AES-256bit-methode.

Gegevens uit onze servers
Zodra het verzoek is verwerkt, wordt het antwoord teruggestuurd met dezelfde HTTPs SSL-gecodeerde verbinding.

Gegevensbeveiliging en privacy

Data encryptie
Alle gegevens op de Accept Mission-servers worden in rust automatisch versleuteld. Microsoft Azure Cloud-infrastructuur slaat en beheert gegevenscryptografiesleutels op in de redundante en wereldwijd gedistribueerde Key Management Service. Dus als een indringer ooit toegang zou hebben tot een van de fysieke opslagapparaten, zouden de daarin opgenomen Accept Mission-gegevens nog steeds onmogelijk kunnen worden ontsleuteld zonder de sleutels, waardoor de informatie een nutteloze warboel van willekeurige tekens wordt.

Encryptie in rust maakt ook continuïteitsmaatregelen zoals back-up en infrastructuurbeheer mogelijk zonder de gegevensbeveiliging en privacy in gevaar te brengen. Accept Mission verzendt uitsluitend gegevens via HTTPS Transport Layer Security (TLS) versleutelde verbindingen voor extra beveiliging wanneer gegevens van en naar de applicatie worden verzonden.

Bewaren en verwijderen van gegevens
We bewaren alle gegevens maximaal 6 jaar, tenzij uw account wordt verwijderd. In dat geval verwijderen we alle gegevens binnen 60 dagen in overeenstemming met onze Servicevoorwaarden en ons Privacybeleid. Informatie met betrekking tot juridische transacties tussen klanten en Accept Mission wordt maximaal 5 jaar bewaard.

Beveiligingstraining
Alle nieuwe medewerkers krijgen onboarding- en systeemtraining, inclusief het instellen van omgeving en machtigingen, formele softwareontwikkelingstraining (indien relevant), beoordeling van beveiligingsbeleid, beoordeling van bedrijfsbeleid en training over bedrijfswaarden en ethiek.

Alle technici beoordelen het beveiligingsbeleid als onderdeel van onboarding en worden aangemoedigd om het beleid te herzien en hieraan bij te dragen via interne documentatie. Elke wijziging in het beleid die van invloed is op het product, wordt gecommuniceerd als een pull-verzoek, zodat alle technici deze kunnen beoordelen en bijdragen vóór interne publicatie. Belangrijke updates worden via e-mail aan alle medewerkers gecommuniceerd.

Openbaarmakingsbeleid
Accept Mission volgt het door SANS aanbevolen incidentafhandelings- en responsproces, waaronder het identificeren, bevatten, uitroeien, herstellen van, communiceren en documenteren van beveiligingsgebeurtenissen. Accept Mission stelt klanten binnen 2 werkdagen op de hoogte van datalekken via e-mail of telefoontje, gevolgd door periodieke updates om de voortgang en impact aan te pakken.

Live rapport systeemstatus
Accept Mission houdt een live rapport bij van de operationele uptime en problemen op onze statuspagina.

Incidentresponsplan
In het geval van een beveiligingsincident is het het beste om een duidelijk omschreven plan en verantwoordelijkheden te hebben. Hieronder vindt u meer details over het reactieplan dat Accept Mission heeft opgesteld in het onwaarschijnlijke geval van een beveiligingsinbreuk.

Verantwoordelijkheden
Niveau 1: Afhankelijk van hoe het incident wordt gemeld/ontdekt, hebben we over het algemeen het eerste niveau van technische ondersteuning dat het probleem waarschijnlijk zal oplossen/escaleren. Normaal gesproken is die rol gereserveerd voor degene die op dat moment in de technische ondersteuningsdienst van niveau 1 zit.

Niveau 2: Is een senior engineer of CTO die de impact van het beveiligingsincident classificeert.

Niveau 3: CTO of CEO is verantwoordelijk voor de communicatie met de betrokken partijen over de details van de inbreuk.

Triage proces
Voordat het incident naar het volgende niveau wordt geëscaleerd, moet de persoon die het als eerste te weten komt, het incident en de initiële impact ervan verifiëren.

Escalatie proces
Eenmaal geverifieerd, moet het escalatieproces onmiddellijk naar niveau 2 en vervolgens niveau 3 mondeling, per telefoon, e-mail, welk medium dan ook beschikbaar zijn.

classificatieproces
Eenmaal geëscaleerd moet de rangorde/ernst van het incident worden bepaald. Betreft het alle klanten? Een enkel bedrijf? Een individu? Om welk type gegevens ging het, indien van toepassing? Was het versleuteld? Zo ja, hoe?

Onderzoeksproces
Analyseer alle elementen van het incident om alle oorzaken of fouten te identificeren, inclusief de software, hardware, mensen en interne processen.

Les geleerd
Bepaal op basis van het resultaat van het onderzoek wat er kan worden gedaan om deze aanval te voorkomen en welke verdedigingsmechanismen hebben gefaald en onderneem onmiddellijk actie om de oorzaak te verhelpen en het toekomstige proces te verbeteren.

Contact opnemen met Accept Mission

Als u vragen heeft over het beveiligingsbeleid, neem dan contact met ons op.

Accepteer missie
Van Nelleweg 1,
3044 v.Chr., Rotterdam

Dit beveiligingsbeleid is van kracht vanaf 01 januari, .