Security First.

 

Je vindt informatiebeveiliging belangrijk. Wij ook! Niet voor niets hanteren we het motto: Security First. Op deze pagina lees je meer over wat wij doen op het vlak van informatiebeveiliging en privacy om jou zo het vertrouwen te geven dat jouw informatie verdient.

       ISO (1)

ISO27001:2017

ISMS gecertificeerd

Avisi is ISO27001:2017 gecertificeerd voor het Information Security Management System (ISMS).

 

      SOC2_Logo_Revised_1_.591b2acad61e2

AICPA SOC 2

SOC 2-verklaring

Avisi is in bezit van een SOC ll type 2 verklaring. 

 

      ISO (3)

AVG/GDPR 

Wet en regelgeving

Avisi doet er alles aan om te waarborgen dat ze aan de eisen van deze wet en regelgeving voldoet.

 

ISO27001- SOC-2-Header AVG-GDPR
ISO27001-

ISO 27001:2017 Certificering.

ISO27001 is een wereldwijd erkend standaard waarmee organisaties aantonen dat zij informatiebeveiliging op orde hebben.
Een certificering maakt aantoonbaar dat de informatieprocessen continu beheerst wordt en dat de vertrouwelijkheid, integriteit en beschikbaarheid van (bedrijfskritieke) informatie wordt geborgd.

Werkzaamheden die wij op dit vlak uitvoeren:

  • Systematisch evalueren van informatiebeveiligingsrisico’s, gelet op de impact van bedreigingen en kwetsbaarheden.

  • Ontwerpen en implementeren van een uitgebreide reeks aan informatiebeveiligingscontroles om beveiligingsrisico’s aan te pakken.

  • Implementeren van een audit- en nalevingsproces zodat informatiebeveiligingscontroles voortdurend aan onze eisen voldoen.


We worden jaarlijks getoetst door een onafhankelijke auditerende partij om ons beleid en onze procedures in de praktijk te toetsen.

SOC-2-Header

SOC 2 Type II Verklaring.

SOC 2 is een internationale norm waarmee IT-serviceproviders laten zien (klant)gegevens te beheren op basis van een set aan 'Trust Services Criteria'.

Deze criteria bestaan uit onder andere beveiliging, beschikbaarheid, integriteit en vertrouwelijkheid. Er wordt vastgesteld of een organisatie voldoet aan SOC 2 aan de hand van een assurance verklaring.

Hierbij wordt:

  • Het proces van risicomanagement voortdurend getoetst in tegenstelling tot een eenmalige steekproef (SOC 2 Type I).

  • Een jaarlijks terugkerende audit die toetst of voldaan is aan de afgesproken processen en controles (periode specifiek).

We vinden het belangrijk om de continuïteit van onze beheersmaatregelen aan te tonen. 

  • Hiermee krijgen serviceorganisaties krijgen inzicht in de mate (en kwaliteit) van de beheersmaatregelen voor een betrouwbare dienstverlening.

  • Tonen we onze voortdurende toewijding aan beveiligingsnormen voor onze eigen activiteiten en de verwerking van (klant)gegevens.
AVG-GDPR

Naleving AVG.

De Europese privacywet geldt voor alle bedrijven en organisaties die persoonsgegevens verwerken van klanten, personeel of andere personen uit de EU, dus ook voor Avisi.

Vanzelfsprekend doen wij er dan ook alles aan om te borgen dat we aan de eisen van deze wetgeving voldoen.

Om dit aantoonbaar te maken: 

  • Is Privacy onderdeel van onze periodieke risicoanalyses

  • Verhoogt Avisi's Team Security & Privacy het privacybewustzijn door:
    1. Training en opleiding aan onze medewerkers.
    2. Structurele dialoog met onze medewerkers, leveranciers, klanten en partners

  • Creëren we een overzicht door complete en actuele verwerkingsregisters

  • Stellen we verwerkersovereenkomsten op met alle relevante partijen en houden we deze actueel

  • Voeren we Een `Data Protection Impact Assessment (DPIA) uit bij het opstarten of wijzigen van een (nieuwe) verwerking

Technische maatregelen

Aangezien we voortdurend (gevoelige) informatie verzenden en ontvangen, borgen we dat onze software en systemen zo veilig mogelijk zijn. We borgen dit door:

 

Authenticatie op alle informatiesystemen waar mogelijk met 2FA 

Bescherming tegen DDoS-aanvallen via load balancers

Wachtwoorden veilig opslaan in wachtwoordkluizen 

Beheersmaatregelen tegen malware, zoals draaien van anti-malware software
Logging & monitoring als beveiliging op informatiesystemen 
Een back-up beleid als bescherming tegen gegevensverlies 

Encryptie beveiliging op databases, storage, back-ups (o.b.v. waar mogelijk AES-256) en hardware 
Vertrouwelijkheid en integriteit op basis van Transport Layer Security (TLS)
Een Wireless Intrusion Prevention System (WIPS)

 

We houden ons aan Security Best Practices en controleren voortdurend of onze software blootgesteld is aan Common Vulnerabilities and Exposures (CVE's).

Organisatorische maatregelen

Zijn al onze medewerkers in het bezit van een Verklaring Omtrent Gedrag (VOG)

Hebben we gecontroleerde on -en offboardingprocedures

Worden onze medewerkers opgeleid om Security & Privacy tot een prioriteit te maken 
Zijn onze medewerkers zich bewust van het belang van informatieveiligheid 

Is ons autorisatiebeheer gebaseerd op het least privilege principe
Werken we alleen op laptops met volledige schijfversleuteling met een streng vergrendelingsbeleid
Is ons kantoor opgedeeld in verschillende fysieke beveiligingszones
Hanteren we een vast proces inzake informatiebeveiligingsincidenten

Continu verbeteren

Cruciaal voor een hoog niveau van informatieveiligheid is de continue verbetering van beveiligings- en nalevingsprocessen, systemen en informatiebeveiligingscontroles. We winnen voortdurend feedback in van verschillende teams, klanten, (interne en externe) auditors, leveranciers en kennispartners om onze beveiligings- en privacyprocessen continu te verbeteren.

We behouden ons het recht voor om deze Security & Privacy pagina te wijzigen. We raden je aan deze pagina regelmatig door te lezen, zodat je op de hoogte blijft van eventuele wijzigingen. Laatst gewijzigd te Arnhem, 10 mei 2023.