“Trust but verify”. Een beroemde uitspraak van de voormalige Amerikaanse president Ronald Reagan die ons heeft geleerd dat het belangrijk is om te controleren of alle gemaakte afspraken ook zijn uitgevoerd.

In ons Trust Center leest u welke maatregelen CenterOne, powered by Decos, heeft genomen om u te verzekeren dat wij veilig en in overeenstemming met privacy- en wettelijke vereisten met uw gegevens omgaan.

Compliancy

Het naleven van (inter)nationale en branche specifieke standaarden en/of afspraken is Decos en CenterOne niet vreemd.

Zo zijn wij al geruime tijd gecertificeerd voor de internationale standaard ISO/IEC 27001:2022. Deze standaard is een wereldwijd erkende norm op het gebied van informatiebeveiliging. Ons actuele ISO27001:2022 certificaat vindt u hier. Naast ISO27001, zijn wij ook gecertificeerd voor ISO9001:2015 (kwaliteitsmanagement) en ISO20000-1:2018 (IT-servicemanagement). De bijbehorende verklaring van toepasselijkheid is op aanvraag beschikbaar. We zijn natuurlijk ook bekend met de Baseline Informatiebeveiliging Overheid (BIO).

Tevens voldoen wij aan de SOC2 categorie van het Service Organization Controls (SOC) framework. Een SOC2 audit meet de effectiviteit van een Cloud Service Provider (CSP) gebaseerd op de American Institute of Certified Public Accountants (AICPA) Trust Service Principles and Criteria. Dit levert eerst een SOC2-type1 rapport (opzet / bestaan) op en na een vast afgesproken periode (vaak 3, 6 of 12 maanden) een SOC2-type2 rapport (werking).

Decos/CenterOne heeft een ISAE3000 – SOC2 type 2-rapport over de periode 1 juli 2022 tot 30 september 2023. Een gepersonaliseerd rapport kunt u opvragen bij uw accountmanager. Hieraan zijn kosten verbonden..

Een ander voorbeeld van standaarden die wij volgen is de ‘Pas toe of leg uit’-verplichting van het Forum Standaardisatie. Niet alles van deze lijst is op CenterOne van toepassing.

Security

CenterOne beheert gegevens en systemen van verschillende lokale en regionale overheden. Het is voor ons dan ook een standaard gegeven dat onze klanten hun gegevens en systemen beschermt willen zien met behulp van de meest up to date technieken en standaarden.

Vanwege de verschillende eisen in de Algemene Verordening Gegevensbescherming (AVG) heeft CenterOne ervoor gekozen dat alle systemen en data binnen de Europese Economische Ruimte (EER) blijven. Wij maken hiervoor gebruik van de datacenters van Microsoft, Amazon en Oracle binnen de EER.

Microsoft zelf is gecertificeerd volgens veel standaarden die in de verschillende industrieën vereist worden of nodig zijn. Deze kunt u hier vinden. Dit geldt ook voor Amazon en Oracle.

De eigen CenterOne beheersdoelstellingen en -maatregelen zijn onder andere gebaseerd op de eerdergenoemde industriestandaard ISO27001:2022 en de OWASP Top10.

Veiligheid in de organisatie

Om veilige producten aan te kunnen bieden, moet onze eigen organisatie ook veilig zijn. Dit houdt in dat al onze medewerkers:

• Zich doorlopend bewust zijn en worden gemaakt met betrekking tot informatiebeveiliging;
• Continue zich verbeteren als het gaat om informatiebeveiliging;
• Alleen in kunnen op onze systemen middels 2FA;
• Standaard een geheimhoudingsverklaring tekenen.

Al onze medewerkers worden gedwongen om Multi-Factor Authentication (MFA/2FA) toe te passen om toegang te krijgen tot onze systemen. We migreren zelfs verder naar een Zero-Trust-beleid voor systeemtoegang. We passen strikte op rollen gebaseerde toegang (RBAC) en wijzen privileges alleen toe op basis van behoefte. Gebeurtenissen en logboeken met betrekking tot mislukte of geslaagde verificatie worden samengevoegd voor bewaking en triage.

Verder hanteert CenterOne een “cloud-first” beleid. Dat betekent dat de infrastructuur in onze kantoren minimaal is. Wel maken wij uiteraard gebruik van persoonlijke toegangsmogelijkheden, CCTV en alarmsystemen. Medewerkers krijgen standaard ook alleen toegang tot de reguliere ruimten zoals de werkvloer.

Het veilig ontwikkelen van software

De door CenterOne ontwikkelde applicaties worden ontworpen met o.a. de OWASP Top 10 Framework in het achterhoofd. Alle code doorloopt een quality assurance proces voordat het naar de productieomgeving wordt vrijgegeven. Hierin wordt getest op performance, functionaliteit en security. Daarnaast worden onze applicaties periodiek intern en extern gepentest.

Voor wat betreft het versleutelen van data heeft CenterOne een encryptie beleid. CenterOne versleutelt de data in “transit” en “at rest”:

• Al het verkeer is versleuteld met gebruikmaking van TLS 1.2 (of hoger).
• Data “at rest” is versleuteld middels AES-256 of beter.
• Voor het opslaan van inloggegevens wordt gebruik gemaakt van een moderne hash functie die de gegevens “hashed” en “salt” toepast.

Responsible disclosure

CenterOne maakt al geruime tijd gebruik van een ‘Responsible disclosure‘-beleid. Dit zorgt ervoor dat beveiligingsexperts van over de hele wereld een melding bij ons kunnen doen indien er een probleem wordt gevonden.