Home > Security Center > Compliance
Naleving
Hoe we naleving naadloos laten aansluiten op alles dat we creëren.
Ontworpen met privacy als bouwsteen
Dit principe is de leidraad in onze productontwikkeling die bij alles dat we creëren de juiste richting aangeeft. Hier zijn enkele van de vragen die we onszelf altijd stellen bij elke beslissing die we nemen als het gaat om productontwikkeling:
- Gevoelige informatie – Geeft de code gevoelige informatie bloot?
- Context bepalen – Voldoet het doel van de code aan de acceptabele risicoparameters?
- Inbreuk moeilijk maken – Zijn alle aspecten van de code en het systeem moeilijk te compromitteren? Heeft de nieuwe code een negatieve invloed op reeds bestaande codes?
- Storingen vermoeilijken – Zijn het systeem en de code veerkrachtig en niet vatbaar voor denial-of-service-aanvallen en gebruikspieken?
- Inbreukdetectie eenvoudiger maken – Zijn de code en het systeem zo ontworpen dat verdachte activiteiten gemakkelijk kunnen worden opgemerkt, bijv. is er voldoende logging en monitoring?
- De impact van een inbreuk verminderen – Is het systeem ontwikkeld om de impact van een inbreuk te minimaliseren? Is functionaliteit gestructureerd om onnodige verbindingen met andere delen van het systeem te voorkomen?
- Bescherming tegen veelvoorkomende kwetsbaarheden – Zijn systemen veilig ontwikkeld tegen de meeste kwetsbaarheden, enz. OWASP Top 10?
Jouw gegevens zijn onze verantwoordelijkheid
Oneflow heeft een uitgebreid Business Continuity and Disaster Recovery Policy die jaarlijks wordt herzien of wanneer er belangrijke wijzigingen worden aangebracht.
Oneflow is gebouwd met redundantie in elke laag van de infrastructuur. Het platform, databases, opslag en ondersteunende diensten worden gehost in meerdere beschikbaarheidszones in Ierland, EU om sporadische storingen mogelijk te maken zonder verlies van beschikbaarheid, functionaliteit of klantgegevens. Systeem- en authenticatielogboeken worden 90 dagen bewaard (inclusief 30 dagen off-site back-up). Ook worden er met regelmatige tussenpozen back-ups gemaakt en opgeslagen in datacenters in Zweden.
Oneflow is een beveiligd platform met mogelijkheden voor doorzoekbaarheid en het uitvoeren van follow-ups en controles. Persoonsgegevens worden veilig op één plek bewaard, in plaats van verspreid over e-mail, servers en harde schijven. Klantgegevens (inclusief persoonsgegevens) die in Oneflow worden verwerkt en opgeslagen, zijn vertrouwelijk en alleen toegankelijk voor de klant.
Versleuteling
Gegevens worden zowel “in transit” als “at rest” versleuteld; TLS 1.2 wordt gebruikt om gegevens “in transit” te versleutelen, van het openbare internet tot onze CDN-edge-punten en helemaal tot in ons interne netwerk, voordat ze worden verwerkt. Databases, servers en bestandsopslag versleutelen ook alle gegevens voordat ze “at rest” worden opgeslagen, met behulp van ultramoderne codering met het AES 256-algoritme.
Beleid
Oneflow is afgestemd op de ISO 27001-standaard, het NIST-raamwerk en beschikt over een reeks interne beleidslijnen, procedures en richtlijnen. Deze vormen ons Information Security Management System en bepalen hoe wij beveiliging en privacy benaderen. Hieronder vind je een selectie uit ons beleid.
• Information Security Policy
• Acceptable Use Policy
• Change Management Policy
• Decommissioning and Destruction Policy
• Information Security Risk Management Policy
• Information Security Incident Management Procedure
• Business Continuity and Disaster Recovery Policy
• Supplier Security Policy
• Secure Development Policy
• Workplace Policy
Neem contact met ons op als je een van onze beleidsregels in detail wilt doornemen.
Model met gedeelde verantwoordelijkheid
Om ervoor te zorgen dat Oneflow een veilig platform kan bieden, worden beveiliging en naleving gedeeld tussen Oneflow en de klant. Het doel van dit model van gedeelde verantwoordelijkheid is om Oneflow in staat te stellen zich te richten op het bieden van een veilig platform aan klanten, terwijl klanten tegelijkertijd proactief betrokken kunnen zijn bij de bescherming van hun activa.
De verantwoordelijkheid van Oneflow
Oneflow is verantwoordelijk voor de beveiliging van het platform, de infrastructuur en het netwerk waarmee de dienst wordt geleverd. Om de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens die door Oneflow worden opgeslagen en verwerkt te behouden, worden gegevens “in transit” en “at rest” versleuteld. Regelmatige updates worden toegepast op de applicatie om te allen tijde het hoogste beschermingsniveau te kunnen garanderen. Bovendien wordt het Oneflow-platform gehost op meerdere geografisch gescheiden locaties, wat resulteert in een redundante betrouwbare service.
Oneflow is ook verantwoordelijk voor het aanbieden van een breed scala aan veiligheidsverhogende functionaliteiten om de belangrijkste activa van de klant verder te beschermen. Deze functionaliteiten kunnen worden geactiveerd voor het juiste risicolandschap, de operationele vereisten en nalevingsverplichtingen.
Klantverantwoordelijkheid
Klanten zijn verantwoordelijk voor de beveiliging van de Oneflow-applicatie met betrekking tot de elementen die zij beheren. Klanten zijn er bijvoorbeeld verantwoordelijk voor dat authenticatiegegevens zoals wachtwoorden veilig worden bewaard en niet worden vrijgegeven aan onbevoegde personen.
Oneflow biedt een breed scala aan beveiligingsfuncties, maar het is de verantwoordelijkheid van de klant om gebruik te maken van dergelijke functionaliteiten, zoals tweestapsverificatie, Single Sign-on en beleid voor het bewaren van gegevens. De klant kan de toegang tot contracten beheren door middel van geavanceerde, op rollen gebaseerde machtigingen en als zodanig is het de verantwoordelijkheid van de klant om ervoor te zorgen dat alleen machtigingen worden verleend aan degenen binnen de organisatie die toegang nodig hebben. Bovendien is het de verantwoordelijkheid van de klant om ervoor te zorgen dat het contract naar de juiste ontvanger wordt gestuurd.
Contracten die zijn gedownload of geëxporteerd buiten het Oneflow-platform zijn uitsluitend de verantwoordelijkheid van de klant; klanten hebben nog steeds toegang tot het contract binnen Oneflow zolang het niet door de klant wordt verwijderd.