Ynformaasje feiligens en neilibjen
Wy nimme de feiligens fan ús systemen en brûkers tige serieus en hechtsje grut belang oan trochgeande ferbettering.
By Shift2 stribje wy nei in takomst wêryn it útfieren fan oerheidssaken sa maklik is as it brûken fan jo favorite app op jo tillefoan. Wy leauwe yn it meitsjen fan betroubere iepen oplossingen en digitale systemen dy't de maatskippij profitearje, sadat elkenien oerheidssaken sûnder muoite beheare kin.
De betrouberens fan ynformaasje is essinsjeel, benammen foar ús klanten mei iepenbiere taken. Dêrneist wurdt jo hieltyd faker frege om oan te jaan dat jo as organisaasje foldogge oan easken en noarmen.
Us oanpak
By Shift2 binne wy ús bewust fan de ferantwurdlikens dy't wy drage oangeande de gegevens fan ús klanten, ynklusyf iepenbiere en fertroulike gegevens. Wy begripe dat dizze gegevens passend moatte wurde beskerme troch technyske en organisatoaryske maatregels. Us oanpak stipet oerheden ûnder oare by it neilibjen fan de Information Security Baseline oerheid (BIO) en de rjochtline foar netwurk- en ynformaasjesystemen (NIS2). Hoewol wy as eksterne tsjinstferliener net direkt ûnder de BIO binne, begripe wy it krúsjale belang fan dit foar ús klanten. Dêrom hawwe wy ús tsjinsten sertifisearre foar ISO 9001 (kwaliteit) en ISO 27001 (ynformaasjefeiligens).
Certifications
It berikken fan dizze sertifikaten is in wichtige mylpeal foar ús. It toant dat wy sûnt 2018 oan ynternasjonale noarmen foar ynformaasjefeiligens foldogge en trochgean proaktyf te reagearjen op feroarjende easken en bêste praktiken, sjoen it rap feroarjende lânskip foar cybersecurity. Wy binne fan doel om dizze sertifikaten troch te gean.
ISO 27001 Ynformaasje feiligens
De ISO 27001-standert spesifiseart easken foar it opsetten, ymplemintearjen, operearjen, kontrolearjen, beoardielje en ûnderhâlden fan in Information Security Management System (ISMS). Dit soarget foar in ramt foar it identifisearjen, beoardieljen en behearen fan ynformaasjefeiligensrisiko's. Troch it tapassen fan de bêste praktiken fan ISO 27002 garandearje wy de betrouber, yntegriteit en beskikberens fan ynformaasje. ISO 27001 beklammet in risiko-basearre oanpak, wêrtroch wy proaktyf kinne reagearje op potinsjele bedrigingen en kwetsberens.
ISO 9001 Kwaliteitsbehear
ISO 9001 stelt easken foar in kwaliteitsbehearsysteem, ynklusyf kwaliteitsbelied, prosesbehear en klantfokus. Troch te wurkjen neffens ISO 9001 garandearje wy de kwaliteit fan ús tsjinsten en ferheegje wy klanttefredenheid. It lit sjen dat Shift2 foldocht oan relevante wetten en regeljouwing en hechtet grut belang oan klanttefredenheid.
Omfang fan sertifikaten
Shift2 hat de folsleine omfang fan tsjinsten sertifisearre foar sawol ISO 9001 as ISO 27001. De omfang is as folget: "Ontwikkeljen, ferkeapjen, ymplemintearjen, hostjen en behearen fan webapplikaasjes."
Basisynformaasjefeiligens oerheid (BIO)
De oerheid Information Security Baseline (BIO) is in rjochtline dy't de minimale easken stelt foar ynformaasjefeiligens binnen it Nederlânsk oerheid bepaalt. It is basearre op ynternasjonale noarmen lykas ISO 27001 en ISO 27002, en helpt oerheidsorganisaasjes har ynformaasje en systemen te beskermjen tsjin bedrigingen. De BIO is ferplichte foar alle oerheidsynstânsjes en tsjinnet as basis foar harren ynformaasjefeiligensbelied.
Shift2 wurdt opmurken as in 'eksterne tsjinstferliener' en helpt klanten te foldwaan oan 'e easken fan' e BIO. De nije ferzje fan de BIO, basearre op ISO 27002:2022, past naadloos yn ús koartlyn berikte ISO-sertifikaasje. Dit betsjut dat ús tsjinsten en produkten yn oerienstimming binne mei oerheidseasken.
DigiD beoardieling
Elke ferbining mei DigiD wurdt jierliks hifke neffens it noarmenkader fan de DigiD ICT-befeiligingsbeoardieling , basearre op 'e feiligensrjochtlinen fan it National Cyber Security Center (NCSC). As SaaS-leveransier kinne wy alle 21 noarmen sintraal kontrolearje en in Memorandum fan tredden (TPM) foar har útjaan. De TPM lit sjen dat wy as leveransier foldogge oan de noarmen dy't oplein binne oan de saneamde tsjinstorganisaasje. De TPM sil foar heal oktober wurde levere, sadat ús klanten it ENSIA-skema foldwaan kinne. Sûnt de ynfiering fan 'e DigiD-beoardieling yn 2012 hat Shift2 mei súkses foldien oan alle fereaske noarmen.
Wolke neilibjen
Alle Shift2-hosting fynt plak binnen de Jeropeeske Ekonomyske Gebiet (EER). Us hostingprovider biedt in wiidweidich en takomstbestindich cloud computing-platfoarm dat in breed oanbod fan ynfrastruktuertsjinsten leveret. Dit platfoarm is bekend om syn betrouberens, skalberens en feiligens. Dit lit ús ús webapplikaasjes en tsjinsten fleksibel en kosten-effisjint beheare, mei de garânsje fan in feilige en stabile omjouwing dy't foldocht oan de heechste noarmen foar gegevensbeskerming en privacy.
De hostingleveransier foldocht ûnder oaren oan de folgjende noarmen en sertifikaten:
- Relevante sertifikaasjes: ISO 22301 (Feiligens en resilience), ISO 27001 (Feiligensbehearkontrôles), ISO 27017 (Cloud Specific Controls), ISO 27701 (Privacy Information Management), ISO 27018 (Persoanlike Data Protection)
- Assurance-rapportaazje: SOC 2 Type 2 (Feiligens, Beskikberens, & Betrouberrapport)
- CISPE-koade: Us hostingprovider set har yn foar strikte noarmen foar gegevensbeskerming en privacy by it leverjen fan tsjinsten foar wolkinfrastruktuer ûnder de CISPE-koade.
It neilibjen fan wetten en regeljouwing
It garandearjen fan takomstige juridyske ûntjouwings op it mêd fan feiligens freget in pro-aktive oanpak. Dit is in eask fan ISO 27001, ISO 9001 en BIO. It tafersjoch op wet- en regeljouwing is ûnderdiel fan ús behearsysteem. Shift2 wurket gear mei relevante autoriteiten en yndustry-organisaasjes, lykas de Information Security Service foar gemeenten (IBD) en de Feriening Nederlânske Gemeenten (VNG), om op de hichte te bliuwen fan de lêste ûntjouwings.
Befêstiging fan neilibjen
By Shift2 hechtsje wy grut belang oan it regelmjittich befêstigjen dat wy foldogge oan alle relevante easken en noarmen op it mêd fan ynformaasjefeiligens en kwaliteitsbehear. Dat dogge wy ûnder oare troch:
Us ISO 9001- en ISO 27001-sertifikaasjes wurde periodyk hifke troch ûnôfhinklike auditors. Dizze kontrôles soargje derfoar dat ús Information Security Management System (ISMS) en kwaliteitsbehearsysteem kontinu foldogge oan ynternasjonale noarmen en bliuwe yn oerienstimming mei de lêste bêste praktiken en regeljouwing.
Neist de jierlikse pinnetests yn it ramt fan DigiD litte wy ús systemen en prosessen regelmjittich beoardielje troch eksterne saakkundigen. Dit omfettet penetraasjetesten, risiko-evaluaasjes en befeiligingsbeurzen om te soargjen dat wy ree binne op potinsjele bedrigingen en kwetsberens.
Responsible Disclosure
By Shift2 nimme wy de feiligens fan ús systemen en brûkers tige serieus en hechtsje wy grut belang oan trochgeande ferbettering. Nettsjinsteande alle foarsoarchsmaatregels kin it barre dat in kwetsberens fûn wurdt yn ús systemen. Om kweade partijen in stap foar te bliuwen, moedigje wy elkenien oan dy't in kwetsberens ûntdekt om it oan ús te melden. Wy hawwe dêr in responsible disclosure foar opsteld, wêrmei feiligensûndersikers en brûkers kwetsberens feilich en ferantwurde kinne melde.
Emiel Duinisveld, Chief Information Security Officer (CISO) Shift2:
“It is altyd moai om fan in ûnôfhinklike rekkenkeamer befêstiging te krijen dat ús ynspanningen op it mêd fan ynformaasjefeiligens de winske resultaten berikke. Benammen by de DigiD-beoardieling, wêrby't de webapplikaasje en de ynfrastruktuer ek wiidweidich ûndersocht wurde mei in penetraasjetest.”
Fragen oer ús ynformaasjefeiligens en sertifikaten?
As jo fragen hawwe oer ynformaasjefeiligens of de sertifikaten fan Shift2, kinne jo kontakt opnimme mei Emiel Duinisveld, Chief Information Security Officer. Jo kinne ek de sertifikaten en de byhearrende ferklearring fan tapaslikens (VvT) oanfreegje by Emiel.