Controles
Organizatorische controles
Controle | Status |
---|---|
Beleid voor informatiebeveiliging gehandhaafdHet bedrijf hanteert een informatiebeveiligingsbeleid om ervoor te zorgen dat beveiliging de hoogste prioriteit heeft binnen ons bedrijf. | |
Uitgevoerde risicobeoordelingenDe risicobeoordelingen van het bedrijf worden 4 keer per jaar uitgevoerd. Als onderdeel van dit proces worden bedreigingen en veranderingen (milieu, regelgeving en technologie) in servicetoezeggingen geïdentificeerd en worden de risico's formeel beoordeeld. | |
Risicomanagementprogramma opgezetHet bedrijf beschikt over een gedocumenteerd risicomanagementprogramma dat richtlijnen bevat voor het identificeren van potentiële bedreigingen, het beoordelen van de ernst van de risico's die verband houden met de geïdentificeerde bedreigingen en het opstellen van strategieën om deze risico's te beperken. | |
Beveiliging en risicomanagement in projecten gehandhaafdInformatiebeveiligingsrisico's met betrekking tot projecten worden effectief aangepakt in projectmanagement gedurende de hele projectlevenscyclus | |
MFA voor kritieke systemen gehandhaafdDe productiesystemen van het bedrijf zijn alleen toegankelijk voor geautoriseerde medewerkers die over een geldige multifactorauthenticatiemethode (MFA) beschikken. | |
Toegangscontroleprocedures vastgesteldIn het toegangscontrolebeleid van het bedrijf zijn de vereisten vastgelegd voor de volgende toegangscontrolefuncties: nieuwe gebruikers toevoegen, gebruikers wijzigen en/of de toegang van bestaande gebruikers verwijderen. | |
Gebruikte anti-malwaretechnologieHet bedrijf implementeert anti-malwaretechnologie in omgevingen die doorgaans gevoelig zijn voor kwaadaardige aanvallen en configureert deze zo dat deze routinematig wordt bijgewerkt geregistreerd en geïnstalleerd op alle relevante systemen. | |
Wachtwoordbeleid gehandhaafdHet bedrijf vereist dat wachtwoorden voor productiesystemen worden geconfigureerd volgens het beleid van het bedrijf. | |
Ondersteuningssysteem beschikbaarHet bedrijf beschikt over een extern ondersteuningssysteem (https://help.doccle.be) waarmee gebruikers systeeminformatie over storingen, incidenten, zorgen en andere klachten kunnen melden. | |
Toegangsbeoordelingen uitgevoerdHet bedrijf voert minimaal twee keer per jaar een toegangsbeoordeling uit voor de in-scope systeemcomponenten om ervoor te zorgen dat de toegang op de juiste manier wordt beperkt. | |
Beleid voor respons op incidenten opgesteldHet bedrijf beschikt over beveiligings- en privacyincidentenbeleid en -procedures die zijn gedocumenteerd en gecommuniceerd aan geautoriseerde gebruikers. | |
Procedures voor incidentbeheer gevolgdBeveiligings- en privacyincidenten van het bedrijf worden door het management geregistreerd, gevolgd, opgelost en gecommuniceerd aan de betrokken of relevante partijen, in overeenstemming met het beleid en de procedures van het bedrijf ten aanzien van de reactie op beveiligingsincidenten. | |
Overeenkomsten met derden opgesteldHet bedrijf heeft schriftelijke overeenkomsten met leveranciers en gerelateerde derde partijen. Deze overeenkomsten bevatten vertrouwelijkheids- en privacyverbintenissen die van toepassing zijn op die entiteit. | |
Leveranciersbeheerprogramma opgezetHet bedrijf heeft een leveranciersbeheerprogramma. Onderdelen van dit programma zijn: kritische inventaris van externe leveranciers; beveiligings- en privacyvereisten van leveranciers; en beoordeling van kritische externe leveranciers ten minste jaarlijks. |
Controles van personen
Controle | Status |
---|---|
Vertrouwelijkheidsverklaring erkend door werknemersHet bedrijf vereist dat werknemers een geheimhoudingsverklaring ondertekenen tijdens de onboarding. | |
Vertrouwelijkheidsverklaring erkend door contractantenHet bedrijf vereist dat contractanten bij de indiensttreding een geheimhoudingsverklaring ondertekenen. | |
Uitgevoerde prestatiebeoordelingenDe managers van het bedrijf moeten minimaal eenmaal per jaar een evaluatiegesprek voeren met de medewerkers die direct aan hen rapporteren. | |
Security awareness training geïmplementeerdHet bedrijf vereist dat werknemers binnen dertig dagen na indiensttreding en daarna ten minste eenmaal per jaar een training in beveiligingsbewustzijn volgen. | |
Achtergrondcontroles van werknemers uitgevoerdHet bedrijf voert antecedentenonderzoeken uit bij nieuwe werknemers. |
Fysieke controles
Controle | Status |
---|---|
Fysieke toegangsprocessen vastgesteldHet bedrijf beschikt over processen voor het verlenen, wijzigen en beëindigen van fysieke toegang tot het bedrijfskantoor. | |
Clear screen en clean desk gehandhaafdHet bedrijf heeft een clear screen- en clean desk-beleid ingevoerd om te voorkomen dat gegevens lekken. | |
Normen voor thuiswerken vastgesteldEr worden normen vastgesteld om de veiligheid van informatie te waarborgen wanneer personeel op afstand werkt | |
Procedures voor de afstoting van activa toegepastHet bedrijf laat elektronische media met vertrouwelijke informatie verwijderen of vernietigen in overeenstemming met de best practices. |
Technologische controles
Controle | Status |
---|---|
Toegang tot encryptiesleutel beperktHet bedrijf beperkt de bevoorrechte toegang tot encryptiesleutels tot geautoriseerde gebruikers met een zakelijke behoefte | |
Logbeheer gebruiktHet bedrijf maakt gebruik van een logbeheertool om gebeurtenissen te identificeren die mogelijk van invloed zijn op het vermogen van het bedrijf om zijn beveiligingsdoelstellingen te behalen. | |
Intrusiedetectiesysteem gebruiktHet bedrijf maakt gebruik van een inbraakdetectiesysteem om het bedrijfsnetwerk continu te bewaken en mogelijke beveiligingsinbreuken vroegtijdig te detecteren. | |
Service-infrastructuur onderhoudenHet bedrijf beschikt over infrastructuur die de service ondersteunt en die is gepatcht als onderdeel van routineonderhoud en naar aanleiding van geïdentificeerde kwetsbaarheden. Zo wordt ervoor gezorgd dat de servers die de service ondersteunen, zijn beschermd tegen beveiligingsrisico's. | |
Unieke accountauthenticatie gehandhaafdHet bedrijf vereist authenticatie voor systemen en applicaties om een unieke gebruikersnaam en wachtwoord te gebruiken | |
Gebruikte netwerkfirewallsHet bedrijf maakt gebruik van firewalls en configureert deze zo dat ongeautoriseerde toegang wordt voorkomen. | |
Firewall-toegang beperktHet bedrijf beperkt bevoorrechte toegang tot de firewall tot geautoriseerde gebruikers met een zakelijke reden. | |
Netwerkfirewalls beoordeeldHet bedrijf controleert zijn firewall-regelsets regelmatig. Vereiste wijzigingen worden bijgehouden tot ze voltooid zijn. | |
Infrastructuurprestaties gecontroleerdEen tool voor infrastructuurmonitoring wordt gebruikt om systemen infrastructuur en prestaties te monitoren en genereert waarschuwingen wanneer aan specifieke vooraf gedefinieerde drempels wordt voldaan. | |
Netwerksegmentatie geïmplementeerdHet netwerk van het bedrijf is gesegmenteerd om ongeautoriseerde toegang tot klantgegevens te voorkomen. | |
Veranderingen in productiesystemen gecontroleerdAlle wijzigingen aan de productiesystemen doorlopen een strikt proces om de beschikbaarheid van onze producten te maximaliseren. | |
Penetratietest uitgevoerdDe penetratietests van het bedrijf worden continu uitgevoerd via Intigriti.com. Er wordt een herstelplan ontwikkeld en er worden wijzigingen doorgevoerd om kwetsbaarheden te herstellen in overeenstemming met SLA's. | |
Gegevensoverdracht versleuteldHet bedrijf maakt gebruik van veilige gegevensoverdrachtprotocollen om vertrouwelijke en gevoelige gegevens te versleutelen wanneer deze via openbare netwerken worden verzonden. | |
Veilige softwareontwikkelingslevenscyclus geïmplementeerdHet bedrijf heeft een veilige softwareontwikkelingscyclus geïmplementeerd om ervoor te zorgen dat de beveiliging gedurende het hele softwareontwikkelingsproces wordt gewaarborgd. | |
Codescannen gehandhaafdAlle softwarecode kan alleen worden vrijgegeven als er geen kwetsbaarheden aanwezig zijn. |
Controles voor gegevensbescherming
Controle | Status |
---|---|
Kader voor gegevensbeschermingDoccle heeft een Data Protection Governance Structure opgezet en geïmplementeerd, met onder andere een onafhankelijke, externe Data Protection Officer (DPO); een Data Protection Management System (Responsum) waarin ons register van verwerkingsactiviteiten, DPIA's, etc. worden gedocumenteerd om onze verantwoordingsplicht en naleving aan te tonen. | |
Gegevensbeschermingsprincipes ControlesDoccle garandeert dat het alleen persoonsgegevens zal verwerken die voldoen aan de principes zoals vastgelegd in de GDPR. De verwerking van persoonsgegevens zal altijd gebaseerd zijn op een gedocumenteerde, wettelijke basis, evenals gespecificeerde, gedocumenteerde en legitieme doeleinden.Doccle is toegewijd aan het verwerken van strikt noodzakelijke persoonsgegevens die te allen tijde nauwkeurig zijn | |
TransparantiecontrolesOnze transparantiecontrole zorgt ervoor dat alle betrokkenen volledig geïnformeerd zijn over hoe hun persoonlijke gegevens worden verwerkt. We bieden duidelijke en toegankelijke informatie over de soorten gegevens die we verzamelen, de doeleinden van de verwerking en nog veel meer. Deze transparantie stelt gebruikers in staat om weloverwogen beslissingen te nemen over hun gegevens. Dit trust center is ook een uitstekend voorbeeld van een dergelijke transparantiecontrole. | |
Controles op overdracht door derden en internationaalDoccle zorgt voor de zorgvuldige selectie en monitoring van onze (sub-)processors, het opstellen van robuuste databeschermingsovereenkomsten en het faciliteren van veilige internationale dataoverdrachten. We implementeren strikte procedures om ervoor te zorgen dat ze voldoen aan onze databeschermingsnormen. Daarnaast gebruiken we geschikte dataoverdrachtsmechanismen en zorgen we ervoor dat eventuele gezamenlijke controller-regelingen duidelijk worden gedefinieerd waar nodig. Er worden audits uitgevoerd om naleving te verifiëren en de dataprivacy te waarborgen in de gehele verwerkingsketen. | |
Gegevensbeveiligingscontroles (vertrouwelijkheid integriteit en beschikbaarheid)Onze Data Security Controls zijn ontworpen om de hoogste normen van integriteit en vertrouwelijkheid te handhaven, met certificeringen die naleving van wereldwijde best practices voor beveiliging en gegevensbescherming garanderen. We zijn ISO 27000-gecertificeerd voor informatiebeveiliging en ISO 9000-gecertificeerd voor kwaliteitsmanagement. We voldoen ook aan de ISO 27701-norm met betrekking tot gegevensbescherming. Alle databases, documenten en gegevens zijn gecodeerd om te beschermen tegen ongeautoriseerde toegang en om de privacy en integriteit van persoonlijke informatie te waarborgen. Deze maatregelen bieden een uitgebreide, veilige omgeving voor gegevens in elke fase van de verwerking. | |
Controles op de rechten van betrokkenenWe hebben gedocumenteerde procedures om al onze inkomende Data Subject Right Requests te beheren en af te handelen. Dit betekent dat onze eindgebruikers volledige controle hebben over hun persoonlijke gegevens. | |
Incidentbeheer en responscontrolesWe hebben veel controles om de mogelijkheid en impact van incidenten in onze organisatie te beperken. Wanneer er toch een incident plaatsvindt, is Doccle voorbereid. Er zijn gestructureerde procedures om te zorgen voor een snelle reactie op elk type incident, evenals datalekken. | |
Rapportage- en communicatiecontrolesOnze transparantiecontrole zorgt ervoor dat alle betrokkenen volledig geïnformeerd zijn over hoe hun persoonlijke gegevens worden verwerkt. We bieden duidelijke en toegankelijke informatie over de soorten gegevens die we verzamelen, de doeleinden van de verwerking en nog veel meer! Deze transparantie stelt gebruikers in staat om weloverwogen beslissingen te nemen over hun gegevens! Dit trust center is ook een uitstekend voorbeeld van een dergelijke transparantiecontrole! | |
Set van state-of-the-art technische en organisatorische maatregelenWij implementeren state-of-the-art maatregelen om gegevensbescherming te garanderen, waaronder een gegevensbeschermingsbeleid, auditprocedures, doorlopende monitoring- en beoordelingsprocedures en training- en bewustwordingsprogramma's om een cultuur van naleving en beveiliging te bevorderen. Samen met ons Information Security Certificate (ISO 27001:2013) kunnen wij de veiligheid van uw persoonlijke gegevens garanderen. |