Controles

Organizatorische controles

Controle Status

Beleid voor informatiebeveiliging gehandhaafd

Het bedrijf hanteert een informatiebeveiligingsbeleid om ervoor te zorgen dat beveiliging de hoogste prioriteit heeft binnen ons bedrijf.

Uitgevoerde risicobeoordelingen

De risicobeoordelingen van het bedrijf worden 4 keer per jaar uitgevoerd. Als onderdeel van dit proces worden bedreigingen en veranderingen (milieu, regelgeving en technologie) in servicetoezeggingen geïdentificeerd en worden de risico's formeel beoordeeld.

Risicomanagementprogramma opgezet

Het bedrijf beschikt over een gedocumenteerd risicomanagementprogramma dat richtlijnen bevat voor het identificeren van potentiële bedreigingen, het beoordelen van de ernst van de risico's die verband houden met de geïdentificeerde bedreigingen en het opstellen van strategieën om deze risico's te beperken.

Beveiliging en risicomanagement in projecten gehandhaafd

Informatiebeveiligingsrisico's met betrekking tot projecten worden effectief aangepakt in projectmanagement gedurende de hele projectlevenscyclus

MFA voor kritieke systemen gehandhaafd

De productiesystemen van het bedrijf zijn alleen toegankelijk voor geautoriseerde medewerkers die over een geldige multifactorauthenticatiemethode (MFA) beschikken.

Toegangscontroleprocedures vastgesteld

In het toegangscontrolebeleid van het bedrijf zijn de vereisten vastgelegd voor de volgende toegangscontrolefuncties: nieuwe gebruikers toevoegen, gebruikers wijzigen en/of de toegang van bestaande gebruikers verwijderen.

Gebruikte anti-malwaretechnologie

Het bedrijf implementeert anti-malwaretechnologie in omgevingen die doorgaans gevoelig zijn voor kwaadaardige aanvallen en configureert deze zo dat deze routinematig wordt bijgewerkt geregistreerd en geïnstalleerd op alle relevante systemen.

Wachtwoordbeleid gehandhaafd

Het bedrijf vereist dat wachtwoorden voor productiesystemen worden geconfigureerd volgens het beleid van het bedrijf.

Ondersteuningssysteem beschikbaar

Het bedrijf beschikt over een extern ondersteuningssysteem (https://help.doccle.be) waarmee gebruikers systeeminformatie over storingen, incidenten, zorgen en andere klachten kunnen melden.

Toegangsbeoordelingen uitgevoerd

Het bedrijf voert minimaal twee keer per jaar een toegangsbeoordeling uit voor de in-scope systeemcomponenten om ervoor te zorgen dat de toegang op de juiste manier wordt beperkt.

Beleid voor respons op incidenten opgesteld

Het bedrijf beschikt over beveiligings- en privacyincidentenbeleid en -procedures die zijn gedocumenteerd en gecommuniceerd aan geautoriseerde gebruikers.

Procedures voor incidentbeheer gevolgd

Beveiligings- en privacyincidenten van het bedrijf worden door het management geregistreerd, gevolgd, opgelost en gecommuniceerd aan de betrokken of relevante partijen, in overeenstemming met het beleid en de procedures van het bedrijf ten aanzien van de reactie op beveiligingsincidenten.

Overeenkomsten met derden opgesteld

Het bedrijf heeft schriftelijke overeenkomsten met leveranciers en gerelateerde derde partijen. Deze overeenkomsten bevatten vertrouwelijkheids- en privacyverbintenissen die van toepassing zijn op die entiteit.

Leveranciersbeheerprogramma opgezet

Het bedrijf heeft een leveranciersbeheerprogramma. Onderdelen van dit programma zijn: kritische inventaris van externe leveranciers; beveiligings- en privacyvereisten van leveranciers; en beoordeling van kritische externe leveranciers ten minste jaarlijks.

Controles van personen

Controle Status

Vertrouwelijkheidsverklaring erkend door werknemers

Het bedrijf vereist dat werknemers een geheimhoudingsverklaring ondertekenen tijdens de onboarding.

Vertrouwelijkheidsverklaring erkend door contractanten

Het bedrijf vereist dat contractanten bij de indiensttreding een geheimhoudingsverklaring ondertekenen.

Uitgevoerde prestatiebeoordelingen

De managers van het bedrijf moeten minimaal eenmaal per jaar een evaluatiegesprek voeren met de medewerkers die direct aan hen rapporteren.

Security awareness training geïmplementeerd

Het bedrijf vereist dat werknemers binnen dertig dagen na indiensttreding en daarna ten minste eenmaal per jaar een training in beveiligingsbewustzijn volgen.

Achtergrondcontroles van werknemers uitgevoerd

Het bedrijf voert antecedentenonderzoeken uit bij nieuwe werknemers.

Fysieke controles

Controle Status

Fysieke toegangsprocessen vastgesteld

Het bedrijf beschikt over processen voor het verlenen, wijzigen en beëindigen van fysieke toegang tot het bedrijfskantoor.

Clear screen en clean desk gehandhaafd

Het bedrijf heeft een clear screen- en clean desk-beleid ingevoerd om te voorkomen dat gegevens lekken.

Normen voor thuiswerken vastgesteld

Er worden normen vastgesteld om de veiligheid van informatie te waarborgen wanneer personeel op afstand werkt

Procedures voor de afstoting van activa toegepast

Het bedrijf laat elektronische media met vertrouwelijke informatie verwijderen of vernietigen in overeenstemming met de best practices.

Technologische controles

Controle Status

Toegang tot encryptiesleutel beperkt

Het bedrijf beperkt de bevoorrechte toegang tot encryptiesleutels tot geautoriseerde gebruikers met een zakelijke behoefte

Logbeheer gebruikt

Het bedrijf maakt gebruik van een logbeheertool om gebeurtenissen te identificeren die mogelijk van invloed zijn op het vermogen van het bedrijf om zijn beveiligingsdoelstellingen te behalen.

Intrusiedetectiesysteem gebruikt

Het bedrijf maakt gebruik van een inbraakdetectiesysteem om het bedrijfsnetwerk continu te bewaken en mogelijke beveiligingsinbreuken vroegtijdig te detecteren.

Service-infrastructuur onderhouden

Het bedrijf beschikt over infrastructuur die de service ondersteunt en die is gepatcht als onderdeel van routineonderhoud en naar aanleiding van geïdentificeerde kwetsbaarheden. Zo wordt ervoor gezorgd dat de servers die de service ondersteunen, zijn beschermd tegen beveiligingsrisico's.

Unieke accountauthenticatie gehandhaafd

Het bedrijf vereist authenticatie voor systemen en applicaties om een ​​unieke gebruikersnaam en wachtwoord te gebruiken

Gebruikte netwerkfirewalls

Het bedrijf maakt gebruik van firewalls en configureert deze zo dat ongeautoriseerde toegang wordt voorkomen.

Firewall-toegang beperkt

Het bedrijf beperkt bevoorrechte toegang tot de firewall tot geautoriseerde gebruikers met een zakelijke reden.

Netwerkfirewalls beoordeeld

Het bedrijf controleert zijn firewall-regelsets regelmatig. Vereiste wijzigingen worden bijgehouden tot ze voltooid zijn.

Infrastructuurprestaties gecontroleerd

Een tool voor infrastructuurmonitoring wordt gebruikt om systemen infrastructuur en prestaties te monitoren en genereert waarschuwingen wanneer aan specifieke vooraf gedefinieerde drempels wordt voldaan.

Netwerksegmentatie geïmplementeerd

Het netwerk van het bedrijf is gesegmenteerd om ongeautoriseerde toegang tot klantgegevens te voorkomen.

Veranderingen in productiesystemen gecontroleerd

Alle wijzigingen aan de productiesystemen doorlopen een strikt proces om de beschikbaarheid van onze producten te maximaliseren.

Penetratietest uitgevoerd

De penetratietests van het bedrijf worden continu uitgevoerd via Intigriti.com. Er wordt een herstelplan ontwikkeld en er worden wijzigingen doorgevoerd om kwetsbaarheden te herstellen in overeenstemming met SLA's.

Gegevensoverdracht versleuteld

Het bedrijf maakt gebruik van veilige gegevensoverdrachtprotocollen om vertrouwelijke en gevoelige gegevens te versleutelen wanneer deze via openbare netwerken worden verzonden.

Veilige softwareontwikkelingslevenscyclus geïmplementeerd

Het bedrijf heeft een veilige softwareontwikkelingscyclus geïmplementeerd om ervoor te zorgen dat de beveiliging gedurende het hele softwareontwikkelingsproces wordt gewaarborgd.

Codescannen gehandhaafd

Alle softwarecode kan alleen worden vrijgegeven als er geen kwetsbaarheden aanwezig zijn.

Controles voor gegevensbescherming

Controle Status

Kader voor gegevensbescherming

Doccle heeft een Data Protection Governance Structure opgezet en geïmplementeerd, met onder andere een onafhankelijke, externe Data Protection Officer (DPO); een Data Protection Management System (Responsum) waarin ons register van verwerkingsactiviteiten, DPIA's, etc. worden gedocumenteerd om onze verantwoordingsplicht en naleving aan te tonen.

Gegevensbeschermingsprincipes Controles

Doccle garandeert dat het alleen persoonsgegevens zal verwerken die voldoen aan de principes zoals vastgelegd in de GDPR. De verwerking van persoonsgegevens zal altijd gebaseerd zijn op een gedocumenteerde, wettelijke basis, evenals gespecificeerde, gedocumenteerde en legitieme doeleinden.Doccle is toegewijd aan het verwerken van strikt noodzakelijke persoonsgegevens die te allen tijde nauwkeurig zijn

Transparantiecontroles

Onze transparantiecontrole zorgt ervoor dat alle betrokkenen volledig geïnformeerd zijn over hoe hun persoonlijke gegevens worden verwerkt. We bieden duidelijke en toegankelijke informatie over de soorten gegevens die we verzamelen, de doeleinden van de verwerking en nog veel meer. Deze transparantie stelt gebruikers in staat om weloverwogen beslissingen te nemen over hun gegevens. Dit trust center is ook een uitstekend voorbeeld van een dergelijke transparantiecontrole.

Controles op overdracht door derden en internationaal

Doccle zorgt voor de zorgvuldige selectie en monitoring van onze (sub-)processors, het opstellen van robuuste databeschermingsovereenkomsten en het faciliteren van veilige internationale dataoverdrachten. We implementeren strikte procedures om ervoor te zorgen dat ze voldoen aan onze databeschermingsnormen. Daarnaast gebruiken we geschikte dataoverdrachtsmechanismen en zorgen we ervoor dat eventuele gezamenlijke controller-regelingen duidelijk worden gedefinieerd waar nodig. Er worden audits uitgevoerd om naleving te verifiëren en de dataprivacy te waarborgen in de gehele verwerkingsketen.

Gegevensbeveiligingscontroles (vertrouwelijkheid integriteit en beschikbaarheid)

Onze Data Security Controls zijn ontworpen om de hoogste normen van integriteit en vertrouwelijkheid te handhaven, met certificeringen die naleving van wereldwijde best practices voor beveiliging en gegevensbescherming garanderen. We zijn ISO 27000-gecertificeerd voor informatiebeveiliging en ISO 9000-gecertificeerd voor kwaliteitsmanagement. We voldoen ook aan de ISO 27701-norm met betrekking tot gegevensbescherming. Alle databases, documenten en gegevens zijn gecodeerd om te beschermen tegen ongeautoriseerde toegang en om de privacy en integriteit van persoonlijke informatie te waarborgen. Deze maatregelen bieden een uitgebreide, veilige omgeving voor gegevens in elke fase van de verwerking.

Controles op de rechten van betrokkenen

We hebben gedocumenteerde procedures om al onze inkomende Data Subject Right Requests te beheren en af ​​te handelen. Dit betekent dat onze eindgebruikers volledige controle hebben over hun persoonlijke gegevens.

Incidentbeheer en responscontroles

We hebben veel controles om de mogelijkheid en impact van incidenten in onze organisatie te beperken. Wanneer er toch een incident plaatsvindt, is Doccle voorbereid. Er zijn gestructureerde procedures om te zorgen voor een snelle reactie op elk type incident, evenals datalekken.

Rapportage- en communicatiecontroles

Onze transparantiecontrole zorgt ervoor dat alle betrokkenen volledig geïnformeerd zijn over hoe hun persoonlijke gegevens worden verwerkt. We bieden duidelijke en toegankelijke informatie over de soorten gegevens die we verzamelen, de doeleinden van de verwerking en nog veel meer! Deze transparantie stelt gebruikers in staat om weloverwogen beslissingen te nemen over hun gegevens! Dit trust center is ook een uitstekend voorbeeld van een dergelijke transparantiecontrole!

Set van state-of-the-art technische en organisatorische maatregelen

Wij implementeren state-of-the-art maatregelen om gegevensbescherming te garanderen, waaronder een gegevensbeschermingsbeleid, auditprocedures, doorlopende monitoring- en beoordelingsprocedures en training- en bewustwordingsprogramma's om een ​​cultuur van naleving en beveiliging te bevorderen. Samen met ons Information Security Certificate (ISO 27001:2013) kunnen wij de veiligheid van uw persoonlijke gegevens garanderen.