Security
Als klant neem jij data security en privacy erg serieus, we begrijpen daarom dat onze security belangrijk voor je is. We willen niet te veel technische details met je delen over onze security toepassing, en hiermee mensen van informatie voorzien waartegen we je juist willen beschermen. Om deze reden hebben we hieronder de algemene informatie opgenomen waarmee wij jou het vertrouwen geven in de manier waarop wij de data beveiligen.
Datacenter Security
De applicatie Grub wordt gehost op AWS. De datacenters van AWS worden beveiligd door gebruik te maken van de laatste standaarden in de markt. Voor meer informatie klik hier.
Protectie tegen dataverlies
De applicatie Grub heeft te maken met meerdere vormen van data. Om deze data te kunnen beschermen tegen dataverlies is het volgende ingericht:
- Alle databases zijn van elkaar gescheiden, om corruptie en kruising van data te voorkomen. We hebben meerdere lagen ingebouwd waardoor klantomgeving worden gescheiden.
- Van de data wordt elke dag een back-up gemaakt. In combinatie met de systeem logging kunnen we elk moment tot 10 dagen herstellen.
- Bestanden worden opgeslagen inclusief versiebeheer, waardoor we bestanden terug kunnen halen inclusief verouderde versies.
- Een data recovery plan. Deze kan opgevraagd worden door een mail te sturen naar services@grubvooraccountants.nl
Applicatie level security
Om de applicatie Grub te kunnen benaderen heeft de eindgebruiker de URL nodig. Deze URL geeft toegang tot de applicatie, dit noemen we ook wel ‘Application level’. De ‘application level’ staat het dichts bij de klant en moet daarom ook goed beveiligd worden. De volgende maatregelen zijn genomen om de ‘Application level’ te beveiligen:
- Klantomgevingen zijn in de ‘application layer’ van elkaar gescheiden en beveiligd met de hoogste standaarden beschikbaar gesteld door onze hosting provider.
- Klantomgeving wachtwoorden worden gehasht. Onze eigen werknemers hebben geen toegang tot deze wachtwoorden. Als jij je wachtwoord kwijtraakt dan kunnen we geen nieuwe aanleveren, maar moet je zelf je wachtwoord resetten.
- Alle inlogpagina’s geven gegevens door via TLS 1.2.
- De gehele applicatie is encrypt met het protocol TLS 1.2.
- We voeren het hele jaar door externe security penetratietests door met een leverancier. De tests omvatten serverpenetratietests op hoog niveau en diepgaande tests voor kwetsbaarheden in de applicatie.
Reports en additionele informatie kan gedeeld worden, neem hiervoor contact op via services@grubvooraccountants.nl.
Third parties
Persoonlijke data worden gedeeld met derde partijen om de hieronder beschreven processen te faciliteren. De persoonlijke data die gedeeld worden zijn; Cliënt informatie en Informatie over cliënten van cliënt.
- Facturatie: Voor de facturatie gebruiken we mogelijk de NAW- en bank-gegevens van de cliënt.
- Relatie beheer/support: Om de relatie met de cliënt te beheren en om support te kunnen leveren gebruiken we mogelijk NAW-gegevens van onze cliënt en informatie die is ingevoerd in de desbetreffende omgeving van de cliënt. Deze data worden alleen gebruikt na toestemming van de contactpersoon van de cliënt.
- Ophalen van cliënt informatie t.b.v. Wwft onderzoek: Om de hoofdservice van Grub aan te kunnen bieden dienen we KvK gegevens van cliënten van onze cliënt te delen met een derde partij. Deze partij levert de data aan die het mogelijk maakt om de structuur op te bouwen en de partijen uit de structuur te reviewen.
- Hosten van de applicatie: De applicatie wordt gehost op het platform van AWS. De cliënt data en de informatie die is ingevoerd in de desbetreffende omgeving van de cliënt worden opgeslagen op de servers van AWS deze zijn beveiligd volgende de geldende wetgeving in Nederland en Europa. Voor meer informatie klik hier.
Voor meer informatie, security reports en eventuele contracten met derde partijen neem contact op via services@grubvooraccountants.nl
Intern protocol en onderwijs
Naast de applicatie gebruiken wij uw data ook om interne processen te faciliteren. Hierbij kun je denken aan support leveren, factureren en relatie beheer. Bij deze interne processen zijn medewerkers van ComplianceWise betrokken. Om de data van onze cliënten te beschermen nemen we de volgende maatregelen:
- We trainen doorlopend onze werknemers op de beste security toepassing, zoals het identificeren phising en hackers.
- Werknemers in teams die toegang hebben tot klantdata (zoals onze support en ontwikkelaars) ondergaan criminele historie en krediet achtergrond checks voordat ze worden aangenomen.
- Alle werknemers tekenen een privacybeschermingsovereenkomst waarin hun verantwoordelijkheid voor de bescherming van klantdata wordt uiteengezet.
- Om ons bedrijf te beschermen tegen verschillende soorten verliezen, heeft CW een uitgebreid verzekeringsprogramma opgezet. Dekking omvat, maar is niet exclusief: Cyberincidenten, data inbreuk, cyber bedrijfsonderbreking, hacker schade, cyber afpersing.
Onszelf tegen jou beschermen
Ja, dat heb je goed gehoord. We kunnen onszelf maximaal beveiligen, maar als je computer wordt gecompromitteerd en iemand toegang krijgt tot je CW-account, dan is dat voor ons allebei niet goed.
- We controleren en zullen accounts automatisch opschorten op tekenen van onregelmatige of verdachte inlogactiviteit.
- Bepaalde wijzigingen in je account, zoals je wachtwoord, zullen e-mailnotificaties activeren.
- We monitoren accounts op tekenen van misbruik.
- Naast onze schaalbare algoritmen gebruiken we menselijke beoordelaars, die controleren op afwijkende account- en e-mailactiviteit.
- We bieden de mogelijkheid om gelaagde toegangsniveaus binnen accounts in te stellen.
Investeren in jouw privacy
ComplianceWise blijft zich constant ontwikkelen op het gebied van data beveilig en privacy, dit doen wij op de volgende manieren:
- We hebben een advocatenkantoor in Nederland om te overleggen over EU-privacy kwesties.
- Het advocatenkantoor werkt samen met onze technische om ervoor te zorgen dat onze producten en functies voldoen aan de toepasselijke internationale spam- en privacywetten.
- We ondergaan jaarlijks een gecertificeerde pentest.
Programma voor verantwoorde openbaarmaking
CW doet er alles aan om de veiligheid van onze diensten en klantinformatie te waarborgen. Als onderdeel van deze toewijding moedigen we beveiligingsonderzoekers aan om contact met ons op te nemen om mogelijke zwakke punten te melden die zijn geïdentificeerd in producten en systemen. Dit programma is niet bedoeld als een openbaar programma voor bugbounty’s en we bieden geen beloning of compensatie aan voor het indienen van mogelijke problemen. We waarderen uw inzet om de CW-diensten te verbeteren.