Informatiebeveiliging

We hanteren een gestructureerde aanpak voor het identificeren, beoordelen en beheersen van informatiebeveiligingsrisico’s:

Onze ‘Doen, leren en bijsturen’ methodiek zorgt voor doorlopende bewaking en verbetering van ons beveiligingsniveau, met maandelijkse ‘doensessies’ en elk kwartaal ‘bijstuursessies’ waarin we voortgang evalueren en prioriteiten herijken.

We zijn ons ervan bewust dat technische maatregelen noodzakelijk en behulpzaam zijn om vertrouwelijke informatie te beschermen. Zo gebruiken we multifactor-authenticatie (inloggen met een extra code) waar het kan en heeft iedereen een goede wachtwoordmanager met automatisch gegenereerde en unieke wachtwoorden.

Maar de mens is vaak de zwakste schakel: hij klikt op een verkeerde link of deelt per ongeluk zijn scherm. We investeren daarom veel in bewustwording van medewerkers, partners en gebruikers. Zo zijn we alert op de risico’s, maar ook op kansen om de informatiebeveiliging te verbeteren. Samen houden we onze tools en processen veilig en maken we van de mens juist een sterke schakel.

In ons ontwikkelingsproces speelt informatiebeveiliging een grote rol. We ontwikkelen met de OWASP Top 10 als leidraad en hebben zowel automatische als handmatige testprocedures. De OWASP Top 10 is een overzicht van de tien meest kritieke beveiligingsrisico’s voor webapplicaties, samengesteld door beveiligingsexperts, om ontwikkelaars te helpen bij het identificeren en beperken van veelvoorkomende kwetsbaarheden.

Updates van systemen en modules die we gebruiken, voeren we zo snel mogelijk door. Zo zorgen we dat de software veilig is en blijft als we deze live zetten.

Regelmatig laten we externe experts de beveiliging controleren met een pentest.

Natuurlijk zijn onze tools goed afgeschermd met een unieke gebruikersnaam en wachtwoord. We stimuleren klanten om multifactor-authenticatie te gebruiken of om de omgeving te koppelen aan Microsoft Entra ID (voorheen Azure AD).

Binnen de tools zijn heldere rollen beschreven, zodat je kunt bepalen wie welke informatie mag zien en bewerken.

De verbinding met onze tools is altijd versleuteld.

We hosten onze tools op servers in Nederland bij onze leverancier Tilaa B.V. Zij zijn ISO/IEC 27001:2022, ISO/IEC 9001:2015, PCI-DSS 3.2, NEN 7510:2017 en ISAE 3402 Type I gecertificeerd. De data op deze servers zijn versleuteld.

We monitoren continu de beschikbaarheid en prestaties van de servers en krijgen automatische notificaties als er wat aan de hand is.

De beschikbaarheid van onze servers is te bekijken via status.toolsfactory.nl.

Ondanks alle maatregelen kan het een keer fout gaan. Daarom maken we dagelijks back-ups. Deze back-ups worden op een andere server (maar nog steeds binnen de EU) opgeslagen. We bewaren de back-ups 30 dagen. Regelmatig controleren we de back-upprocedure.

Wij nemen de bescherming van persoonsgegevens uiterst serieus. We verzamelen zo min mogelijk gegevens. Neem bijvoorbeeld deze website: wist je dat we geen enkele cookie plaatsen?

Uiteraard leven we de Algemene Verordening Gegevensbescherming (AVG) na. Met leveranciers die persoonsgegevens verwerken hebben we verwerkersovereenkomsten afgesloten. En we borgen dat gegevens op tijd worden verwijderd uit onze systemen.

Lees ook de privacyverklaring.

Heb je vragen over ons informatiebeveiligingsbeleid? Neem gerust contact met ons op.