Informationssicherheit

Wir verfolgen einen strukturierten Ansatz zur Identifizierung, Bewertung und Steuerung von Informationssicherheitsrisiken:

Unsere „Machen, Lernen und Anpassen“-Methodik sorgt für eine kontinuierliche Überwachung und Verbesserung unseres Sicherheitsniveaus, mit monatlichen „Aktionssitzungen“ und vierteljährlichen „Anpassungssitzungen“, in denen wir den Fortschritt bewerten und Prioritäten neu ausrichten.

Wir sind uns bewusst, dass technische Maßnahmen notwendig und hilfreich sind, um vertrauliche Informationen zu schützen. Wir verwenden Multi-Faktor-Authentifizierung (Anmeldung mit einem zusätzlichen Code), wo es möglich ist, und jeder verfügt über einen guten Passwort-Manager mit automatisch generierten und einzigartigen Passwörtern.

Aber der Mensch ist oft das schwächste Glied: Er klickt auf einen falschen Link oder teilt versehentlich seinen Bildschirm. Wir investieren daher viel in die Sensibilisierung von Mitarbeitern, Partnern und Benutzern. So sind wir wachsam gegenüber Risiken, aber auch gegenüber Möglichkeiten, die Informationssicherheit zu verbessern. Gemeinsam halten wir unsere Tools und Prozesse sicher und machen aus dem Menschen ein starkes Glied.

In unserem Entwicklungsprozess spielt Informationssicherheit eine große Rolle. Wir entwickeln mit der OWASP Top 10 als Leitfaden und haben sowohl automatische als auch manuelle Testverfahren. Die OWASP Top 10 ist eine Liste der zehn kritischsten Sicherheitsrisiken für Webanwendungen, zusammengestellt von Sicherheitsexperten, um Entwicklern bei der Identifizierung und Minderung häufiger Schwachstellen zu helfen.

Wir führen Updates von Systemen und Modulen, die wir verwenden, so schnell wie möglich durch. So stellen wir sicher, dass die Software sicher ist und bleibt, wenn wir sie live schalten.

Regelmäßig lassen wir externe Experten die Sicherheit mit einem Penetrationstest überprüfen.

Natürlich sind unsere Tools gut mit einem einzigartigen Benutzernamen und Passwort geschützt. Wir ermutigen Kunden, Multi-Faktor-Authentifizierung zu verwenden oder die Umgebung mit Microsoft Entra ID (früher Azure AD) zu verbinden.

Innerhalb der Tools sind klare Rollen definiert, sodass Sie bestimmen können, wer welche Informationen sehen und bearbeiten darf.
Die Verbindung zu unseren Tools ist immer verschlüsselt.

Wir hosten unsere Tools auf Servern in den Niederlanden bei unserem Lieferanten Tilaa B.V. Sie sind ISO/IEC 27001:2022, ISO/IEC 9001:2015, PCI-DSS 3.2, NEN 7510:2017 und ISAE 3402 Type I zertifiziert. Die Daten auf diesen Servern sind verschlüsselt.

Wir überwachen kontinuierlich die Verfügbarkeit und Leistung der Server und erhalten automatische Benachrichtigungen, wenn etwas nicht stimmt.
Die Verfügbarkeit unserer Server kann über status.toolsfactory.nl eingesehen werden.

Trotz aller Maßnahmen kann einmal etwas schief gehen. Deshalb erstellen wir täglich Backups. Diese Backups werden auf einem anderen Server (aber immer noch innerhalb der EU) gespeichert. Wir bewahren die Backups 30 Tage lang auf. Regelmäßig überprüfen wir das Backup-Verfahren.

Wir nehmen den Schutz personenbezogener Daten äußerst ernst. Wir sammeln so wenig Daten wie möglich. Nehmen Sie zum Beispiel diese Website: Wussten Sie, dass wir keinerlei Cookies setzen?

Selbstverständlich halten wir uns an die Datenschutz-Grundverordnung (DSGVO). Mit Lieferanten, die personenbezogene Daten verarbeiten, haben wir Auftragsverarbeitungsverträge abgeschlossen. Und wir stellen sicher, dass Daten rechtzeitig aus unseren Systemen gelöscht werden.

Lesen Sie auch unsere Datenschutzerklärung.

Bei Fragen zu unserer Informationssicherheitsrichtlinie können Sie uns kontaktieren.