Privacy-en cookieverklaring

Onze Toewijding aan Informatiebeveiliging

Bij Salesupply zetten we ons in voor de bescherming van uw gegevens en het waarborgen van robuuste informatiebeveiliging en naleving van de privacy. Deze interactieve gids beschrijft onze aanpak en de maatregelen die we hebben geïmplementeerd om de aan ons toevertrouwde informatie te beschermen. Ontdek hieronder onze beveiligingspijlers.

Ons Beveiligingsframework

Dit gedeelte beschrijft de fundamentele beleidslijnen, governance en certificeringen die de ruggengraat vormen van ons Informatiebeveiligingsmanagementsysteem (ISMS). Klik op elk onderwerp voor meer informatie.

Formele Beleidslijnen

We hebben een duidelijk gedocumenteerd Informatiebeveiligingsbeleid, goedgekeurd door onze Raad van Bestuur op 8 januari 2021. Dit beleid wordt verspreid via een online systeem en is verplicht voor alle medewerkers van Salesupply. Het wordt jaarlijks herzien. Onze gegevensverwerkingsovereenkomsten (DPA’s) met klanten en sub-verwerkers definiëren onze toezeggingen op het gebied van gegevensbescherming en privacy verder.

Risicomanagement

Ons Informatiebeveiligingsbeleid stelt dat geïdentificeerde risico’s worden onderworpen aan een risicobeoordeling, en dat het risicobeoordelings- en behandelingsplan wordt ontwikkeld op basis van de ISO 27005-richtlijnen.

Toegewijde Verantwoordelijkheid

De Raad van Bestuur is verantwoordelijk voor het Informatiebeveiligingsbeleid. De Informatiebeveiligingsmanager (CTO) is verantwoordelijk voor het onderhouden en coördineren van het Informatiebeveiligingsmanagementsysteem (ISMS).

Certificeringen

Onze servers worden gehost in ISO 27001-gecertificeerde datacenters, wat de hoogste normen voor fysieke en omgevingsbeveiliging waarborgt.

Gegevens beschermen: organisatorische maatregelen

Onze mensen en processen zijn fundamenteel voor onze beveiliging. Hier beschrijven we de organisatorische controles die we hebben ingesteld om uw gegevens gedurende de hele levenscyclus te beschermen.

Medewerkersscreening & Vertrouwelijkheid

Achtergrondcontroles worden uitgevoerd bij nieuwe medewerkers, inclusief het inwinnen van professionele referenties. Alle medewerkers ondertekenen arbeidsovereenkomsten die vertrouwelijkheidsclausules en een erkenning van het Informatiebeveiligingsbeleid bevatten. Alle medewerkers zijn verantwoordelijk voor het beschermen van informatie en het melden van beveiligingsincidenten. Met onze partners worden geheimhoudingsverklaringen (NDA’s) gebruikt.

Recht op Audit

Onze gegevensverwerkingsovereenkomsten omvatten auditrechten voor de verantwoordelijke (onze klant) om de naleving te verifiëren, met redelijke kennisgeving en zonder extra kosten volgens de overeenkomst.

Assetbeheer & Veilige Verwijdering

Alle informatie-activa zijn geregistreerd en hebben toegewezen eigenaren. De veilige verwijdering van media wordt uitgevoerd volgens gedocumenteerde procedures om datalekken van afgeschreven activa te voorkomen.

Incidentbeheer

Ons Informatiebeveiligingsbeleid beschrijft het incidentbeheer, inclusief meldingskanalen, onderzoek en communicatie naar getroffen partijen. Onze gegevensverwerkingsovereenkomsten vereisen dat Salesupply de verantwoordelijke zonder onnodige vertraging op de hoogte stelt na kennis te hebben genomen van een inbreuk in verband met persoonsgegevens.

Due Diligence van Leveranciers

Onze gegevensverwerkingsovereenkomsten benadrukken de vereiste voor Salesupply om ervoor te zorgen dat sub-verwerkers voldoen aan de gegevensbeschermingsvoorschriften en om de verantwoordelijke te informeren over voorgenomen wijzigingen met betrekking tot sub-verwerkers. Het Informatiebeveiligingsbeleid stelt dat “leveranciers die informatie-activa van Salesupply of haar klanten verwerken, moeten voldoen aan de eisen van dit beleid”.

Bedrijfscontinuïteit

Een Bedrijfscontinuïteitsplan (BCP) is van kracht om de verstoring van diensten in geval van onverwachte gebeurtenissen te minimaliseren, waardoor de veerkracht en beschikbaarheid van onze diensten wordt gewaarborgd.

Robuuste Technische Beveiligingsmaatregelen

We hanteren een gelaagde technische benadering om onze systemen en uw gegevens te beschermen tegen bedreigingen. Hieronder staan de belangrijkste technische controles die we hebben geïmplementeerd.

Endpointbeveiliging

Volledige schijfversleuteling (BitLocker) is geïmplementeerd op alle laptops met minimaal AES-256. Alle verwisselbare media zijn uitgeschakeld. Het gebruik van privé mobiele apparaten voor bedrijfsdoeleinden is niet toegestaan. Reguliere gebruikers hebben geen lokale beheerdersrechten op hun computers.

Fysieke Beveiliging

De kantoren van Salesupply hebben beveiligingssystemen, alarmsystemen, videobewaking en toegangscontrole via keycards. Onze ISO 27001-gecertificeerde datacenters beschikken over fysieke toegangscontroles, bewaking en alarmen.

Netwerkbeveiliging

Firewalls regelen netwerkverkeer en blokkeren ongeoorloofde toegang. Scheiding van omgevingen (bijv. ontwikkeling, test, productie) is gewaarborgd. Draadloze netwerken zijn beveiligd met WPA2-Enterprise, en Network Access Control (NAC) wordt gebruikt om de apparaatautorisatie te verifiëren en de toegang tot geautoriseerde apparaten te beperken.

Malware-bescherming

Geavanceerde malware-bescherming (antivirus, anti-spyware) is geïnstalleerd op alle servers en endpoints en wordt continu up-to-date gehouden.

Veilige Communicatie

Veilige oplossingen voor toegang op afstand (bijv. VPN) met multi-factor-authenticatie (MFA) worden gebruikt voor toegang op afstand tot het bedrijfsnetwerk. De toegang tot administratieve interfaces en geprivilegieerde accounts is beperkt en wordt bewaakt. Veilige methoden voor gegevensoverdracht, inclusief versleutelde verbindingen (VPN, SSL/TLS) en SFTP, worden gebruikt voor de uitwisseling van gegevens met derden.

Intrusiedetectie

Intrusiedetectie- en preventiesystemen (IDS/IPS) zijn geïmplementeerd om netwerkverkeer te monitoren op kwaadaardige activiteiten en beleidsschendingen.

Systeemverharding

Systemen zijn geconfigureerd in overeenstemming met de beste praktijken en beveiligingsbaselines (bijv. CIS Benchmarks, NIST) van de industrie om hun aanvalsoppervlak te verkleinen.

Loggen & Bewaking

Systeemlogs en audit-trails worden bijgehouden voor kritieke systemen en applicaties om beveiligingsincidenten en ongebruikelijke activiteiten te detecteren. Het loggen van persoonsgegevens wordt geminimaliseerd en behandeld in overeenstemming met de privacybeleidslijnen. Logs worden regelmatig gecontroleerd.

Gegevensback-up & Beschikbaarheid

Regelmatige back-ups van kritieke gegevens en systemen worden uitgevoerd. De integriteit en herstelbaarheid van back-ups wordt regelmatig getest. Redundantie voor kritieke systemen en infrastructuurcomponenten is geïmplementeerd om een hoge beschikbaarheid te waarborgen.