Informatiebeveiligingsbeleid Small Guy B.V.
Versie: 20.01
Inleiding
Small Guy B.V. (hierna: ‘Small Guy’) heeft privacy, security en transparantie hoog in het vaandel staan. Wij vinden het belangrijk om jou goed te informeren over de maatregelen die we treffen om jouw (persoons)gegevens én data te beschermen. Dit doen we enerzijds om je een gerust gevoel te kunnen geven. Tegelijk biedt dit handvatten voor jou om de juiste inschatting te maken of deze maatregelen voldoende zijn voor het soort gegevens dat je door ons wil laten verwerken.
Geheimhoudingsovereenkomst (NDA)
Omdat we jouw WordPress data gaan beheren, vinden wij het voor de hand liggend dat je met ons een transparante overeenkomst aangaat, waarin onder andere geheimhouding een vanzelfsprekendheid is. We leggen dit standaard vast in een NDA (Non Disclosure Agreement), ofwel een geheimhoudingsovereenkomst die is te downloaden in jouw dashboard.
Algemene organisatorische maatregelen
Binnen ons bedrijf zijn er een aantal maatregelen die we treffen om persoonsgegevens te beschermen tegen verlies, diefstal of onrechtmatig gebruik. Hieronder staan de maatregelen die wij op organisatorisch vlak getroffen hebben.
- Onze medewerkers krijgen alleen toegang tot de persoonsgegevens die ze nodig hebben voor het vervullen van hun functie.
- Voor het verkrijgen van toegang tot persoonsgegevens hebben we meerdere (onafhankelijke) lagen van beveiliging toegepast. Een aantal voorbeelden van maatregelen zijn: multi-factor authentication, het gebruik van VPN t.b.v. versleuteling van netwerkverkeer en het toepassen van IP Access Control Lists, firewalling en het gebruik van sterke wachtwoorden.
- Persoonsgegevens mogen in ons bedrijf nooit op andere plekken opgeslagen worden dan afgesproken. Hiervoor hebben we interne procedures. Indien van toepassing, dan hoort hier ook een bijhorend retentiebeleid bij om (kopieën) van persoonsgegevens na gebruik te verwijderen.
- Met onze medewerkers hebben we een geheimhoudingsverklaring.
- We hebben een intern Security Awareness programma voor onze medewerkers.
- We werken met een beoordelingssysteem voor code. Nieuwe functionaliteiten of aanpassingen aan huidige systemen gaan door een vast review- en uitrolproces.
- We maken gebruik van een password management systeem. Hiermee kunnen we een beveiligingsbeleid m.b.t het gebruik van wachtwoord gebaseerde accounts aan onze medewerkers opleggen en controleren.
- Medewerkers hebben een eigen laptop. Deze apparatuur wordt nooit met anderen gedeeld. Ook is de dataopslag op deze systemen voorzien van encryptie.
- We zorgen ervoor dat medewerkers die ons bedrijf verlaten geen toegang meer hebben tot gegevens.
- Wij overleggen een geheimhoudingsovereenkomst aan alle klanten.
Naast organisatorische maatregelen zijn er ook technische maatregelen die we treffen. Een deel hiervan zijn een vast onderdeel van onze dienstverlening en kunnen niet door jou als eindgebruiker in- of uitgeschakeld worden. Een aantal andere maatregelen bieden wij aan jou aan, maar zijn niet standaard geactiveerd.
- Onze systemen zijn voorzien van een firewall. Alleen IP-verkeer dat expliciet toegestaan is, kan netwerkverkeer met onze systemen uitwisselen.
- Voor de toegang tot beheerpanelen bieden wij de mogelijkheid om twee factor authenticatie in te schakelen.
- Voor het opslaan van wachtwoorden maken wij gebruik van sterke en moderne hashing algoritmes.
- Je hebt de mogelijkheid om voor elke account op elk gewenst moment je wachtwoord te veranderen. Ons advies is om dit ook regelmatig te doen.
- Om brute-force aanvallen te detecteren en automatisch te blokkeren, maken we gebruik van een inbraakdetectiesysteem.
- Alle beheerpanelen die we aanbieden, zijn voorzien van een SSL certificaat met sterke en moderne netwerkversleuteling.
- We houden bij wat de standaarden m.b.t. cryptografie zijn en werken onze versleutelingsalgoritmes bij wanneer dit nodig is.
- Wij zullen er zorg voor dragen dat de software die we gebruiken voor het aanbieden van onze diensten up-to-date is.
- Als extra service om te helpen je website veilig te houden, maken wij op al onze servers gebruik van Patchman. Dat is beveiligingssoftware die automatisch kwetsbaarheden in populaire cms’en dicht.
- We passen zo veel mogelijk segmentatie tussen systemen toe. Hiervoor maken we gebruik van containerisatie, virtualisatie en in andere gevallen fysiek gescheiden hardware. Deze segmentatie passen we toe om systemen met een verschillend risicoprofiel, functie en omvang te voorzien van zo veel mogelijk lagen van beveiliging.
- Netwerkcommunicatie van systemen onder ons beheer verloopt altijd over een versleutelde verbinding.
- Wij bieden aan al onze klanten een gratis SSL certificaat voor het versleutelen van websiteverkeer aan. Dit certificaat is zonder tussenkomst van ons te gebruiken.
- Om te voorkomen dat andere gebruikers van het systeem inzage krijgen tot jouw bestanden maken we onder andere gebruik van containerisatie.
Maatregelen voor het borgen van bedrijfscontinuïteit en correctheid van data
- We controleren periodiek de integriteit van de bij ons opgeslagen data.
- We controleren integriteit van de data ‘in-transit’ en nadat het op vaste opslag is weggeschreven.
- We gebruiken uitsluitend enterprise-grade hardware. Een aantal voorbeelden hiervan zijn het gebruik van Error Correcting Code (ECC) geheugen en SAS-drives.
- We hebben diepgaande monitoring op ons platform en systemen.
- In het geval van verstoringen van onze dienstverlening is er 24 uur per dag, 7 dagen per week personeel beschikbaar om deze verstoringen zo snel mogelijk te verhelpen.
- We zijn onafhankelijk van een netwerkleverancier en beheren onze eigen verbindingen van en naar het internet.
- De netwerkpaden die we gebruiken, zijn geografisch van elkaar gescheiden.
- We maken gebruik van een losse ontwikkel-, test- en productieomgeving.
- We maken periodieke backups, controleren de integriteit hiervan en slaan deze op een geografisch gescheiden locatie op. Op deze backups is een retentiebeleid toegepast.
- Voor alle gebruikte hardware hebben we (op locatie) vervangende apparatuur beschikbaar of leveringsafspraken met leveranciers.
- We rusten gebruikte apparatuur, zover dit binnen onze mogelijkheden ligt, redundant uit
Informatie over de door ons gebruikte datacenters
Wij plaatsen onze servers en overige apparatuur uitsluitend in de meest moderne datacenters. Deze datacenters bieden voor ons de juiste beveiliging tegen inbraak, brand, stroomuitval en overige calamiteiten. Deze datacenters hebben de onderstaande maatregelen genomen om te voldoen aan deze eisen.
- Er zijn strikte aanmeldprocedures om toegang te krijgen:
• Alleen personen die op de vooraf aangelegde toegangslijst staan hebben toegang.
• Bij binnenkomst wordt je identiteit gecontroleerd door vakbekwaam beveiligingspersoneel.
• Er gelden strikte aanmeldprocedures voor werkbezoeken. - De datacenters zijn 24 uur per dag toegankelijk voor onze medewerkers.
- Onze apparatuur staat in afgesloten racks.
- Voor de NL webhosting maken uitsluitende gebruik van Nederlandse datacenters.
- Er is permanente camerabewaking.
- Elektriciteitstoevoer wordt gegarandeerd door het gebruik van UPS-systemen en noodstroomaggregaten. Voor langdurige verstoringen in het elektriciteitsnetwerk zijn leveringsafspraken voor het aanvullen van de brandstof voor deze noodstroomaggregaten aanwezig.
- Voor de toevoer van elektriciteit naar onze apparatuur maken we gebruik van gescheiden feeds. Elke feed heeft op zijn beurt een eigen UPS-systeem.
- De door ons gebruikte elektriciteit feeds hebben ruim voldoende overcapaciteit.
- Apparatuur is geplaatst op verhoogde datavloeren.
- De datacenters beschikken over redundant uitgeruste klimaatbeheersing.
Lees hier de AWS whitepaper voor de WordPress Backup EU cloud, welke voldoet aan de volgende protocollen:
SOC 1/ISAE 3402, SOC 2, SOC 3
FISMA, DIACAP, and FedRAMP
PCI DSS Level 1
ISO 9001, ISO 27001, ISO 27017, ISO 2701