Cruciaal voor een hoog niveau van informatieveiligheid is de continue verbetering van beveiligings- en nalevingsprocessen, systemen en informatiebeveiligingscontroles. We winnen voortdurend feedback in van verschillende teams, klanten, (interne en externe) auditors, leveranciers en kennispartners om onze beveiligings- en privacyprocessen continu te verbeteren.
ISO 27001:2017 Certificering.
ISO 27001 is een wereldwijd erkende standaard waarmee organisaties onafhankelijk aantonen dat zij informatiebeveiliging op orde hebben. Avisi is sinds 2017 ISO 27001:2017 gecertificeerd en heeft sindsdien haar informatiebeveiliging jaarlijks door een onafhankelijke partij succesvol laten toetsen. Deze certificering maakt aantoonbaar dat we onze informatieprocessen continu beheersen en dat we de vertrouwelijkheid, integriteit en beschikbaarheid van (bedrijfskritieke) informatie borgen. Werkzaamheden die wij op dit vlak uitvoeren:
- Het systematisch evalueren van informatiebeveiligingsrisico’s, rekening houdend met de impact van bedreigingen en kwetsbaarheden.
- Het ontwerpen en implementeren van een uitgebreide reeks aan informatiebeveiligingscontroles om beveiligingsrisico’s aan te pakken.
- Het implementeren van een audit- en nalevingsproces om ervoor te zorgen dat de informatiebeveiligingscontroles voortdurend aan onze eisen voldoen.
SOC 2 Type II Verklaring.
SOC 2 is een internationale norm waarmee IT-serviceproviders laten zien (klant)gegevens te beheren op basis van een set aan 'Trust Services Criteria'. Deze criteria bestaan uit onder andere beveiliging, beschikbaarheid, integriteit en vertrouwelijkheid. Er wordt vastgesteld of een organisatie voldoet aan SOC 2 aan de hand van een assurance verklaring. Avisi is sinds 2021 in het bezit van een dergelijke SOC 2 Type II verklaring.
- SOC 2 Type II betekent dat het proces van risicomanagement voortdurend wordt getoetst in tegenstelling tot een eenmalige steekproef (SOC 2 Type I).
- De SOC 2 Type II assurance is een jaarlijks terugkerende audit waarbij wordt getoetst of voldaan is aan de afgesproken processen en controles en heeft betrekking op een specifieke periode.
- We hebben gekozen voor een SOC 2 Type II verklaring omdat we het belangrijk vinden om de continuïteit van onze beheersmaatregelen aan te tonen.
- Serviceorganisaties krijgen inzicht in de mate (en kwaliteit) van de beheersmaatregelen die we hebben getroffen om onze dienstverlening zo betrouwbaar mogelijk aan te bieden.
- De SOC 2 Type II verklaring toont onze voortdurende toewijding aan beveiligingsnormen voor onze eigen activiteiten en de verwerking van (klant)gegevens.
Naleving AVG.
De Europese privacywet geldt voor alle bedrijven en organisaties die persoonsgegevens verwerken van klanten, personeel of andere personen uit de EU, dus ook voor Avisi. Vanzelfsprekend doen wij er dan ook alles aan om te borgen dat we aan de eisen van deze wetgeving voldoen. Om dit aantoonbaar te maken:
- Hebben we privacy opgenomen als structureel onderdeel van onze periodieke risicoanalyses.
- Verhoogt Avisi's Team Security & Privacy continu het (informatie)veiligheids- en privacybewustzijn door middel van:
-
- Training en opleiding aan onze medewerkers.
- Training en opleiding aan onze medewerkers.
-
- Structurele dialoog met onze leveranciers, klanten en partners.
- Creëren we een overzicht van al onze verwerkingen door middel van complete en actuele verwerkingsregisters.
- Stellen we verwerkersovereenkomsten op met alle relevante partijen en houden we deze actueel.
- Voeren wij een Data Protection Impact Assessment (DPIA) uit bij het opstarten of wijzigen van een (nieuwe) verwerking.
Onafhankelijke Audits.
We werken intensief samen met onafhankelijke derde partijen om ons beleid en onze procedures in de praktijk te toetsen. Deze beoordelingen vinden minstens jaarlijks plaats en worden uitgevoerd door gerespecteerde audit- en beveiligingsfirma's die onafhankelijk en grondig zijn in hun evaluaties. We nemen hun rapporten zeer serieus en hebben processen geïmplementeerd om eventuele aandachtspunten aan te pakken.
Extern en Intern Testen van Applicaties
We vinden het belangrijk dat de applicaties die we gebruiken en ontwikkelen niet alleen van hoge kwaliteit zijn, maar ook veilig zijn. In onze procedures hebben we conform ons beleid en de ISO 27001 norm opgenomen dat we periodiek werkzaamheden uitvoeren om de veiligheid van onze producten en diensten te borgen. We doen dit door onze software periodiek te testen en te laten controleren door een gecertificeerde derde partij. Daarnaast:
- Voeren we periodiek risicoanalyses uit.
- Voeren we periodiek (interne en externe) audits uit.
- Voeren we periodiek (interne en externe) penetration tests uit.
- Komen we maandelijks bijeen met het Avisi Security Forum om de laatste trends, kwetsbaarheden en juridische kwesties te bespreken
Veiligheid.
Aangezien we voortdurend (gevoelige) informatie verzenden en ontvangen, borgen we dat onze software en systemen zo veilig mogelijk zijn. We borgen dit door:
- SSL-gecodeerde verbindingen van en naar onze webservers te gebruiken.
- Wachtwoorden veilig op te slaan in wachtwoordkluizen.
- Alle informatiesystemen die gevoelige data bevatten te voorzien van authenticatie.
- Een Wireless Intrusion Prevention System (WIPS) te gebruiken.
We controleren ook voortdurend of onze software en systemen voldoen aan:
- Common Vulnerabilities and Exposures (CVEs).
- Security Best Practices en OWASP Top 10.
Medewerkers.
Omdat onze medewerkers elke dag met gevoelige gegevens werken is het belangrijk dat je ons kunt vertrouwen. Daarom:
- Zijn al onze medewerkers in het bezit van een Verklaring Omtrent het Gedrag (VOG).
- Zijn al onze medewerkers opgeleid om security en privacy tot prioriteit te maken (Security First).
- Hebben alleen bekwame en geautoriseerde medewerkers toegang tot gevoelige informatie.
- Hebben we strakke on- en off-boardingprocesures voor werknemers.
- Werken we alleen op laptops met volledige schijfversleuteling en hanteren we een streng vergrendelingsbeleid.