Dat betekent dat Scope4mation voldoet aan alle wettelijke eisen.

Je werkt met Qixium. En je wilt er zeker van zijn dat jouw gegevens en veilig en goed beschermd zijn. Dat het gewoon goed geregeld is. Logisch. Jouw vertrouwen is voor ons enorm belangrijk. Dus leggen we onszelf een hoge kwaliteitsstandaard op. Onze processen en producten worden tegen zowel nationale als internationale normen afgezet. Wat dat inhoudt? Dat leggen we je graag uit!

Als je Qixium gebruikt, verwerken we vaak persoonsgegevens. Van je medewerkers bijvoorbeeld. Of van andere personen. Deze slaan we op in het Qixium Platform op onze eigen servers. Deze servers staan op twee locaties in Nederland bij onze hosting provider.

Op grond van de Algemene Verordening Gegevensbescherming (AVG) ben jij als onze klant (als verwerkingsverantwoordelijke) verantwoordelijk voor de verwerking van die persoonsgegevens via ons Qixium Platform. Qixium geldt daarbij als (gegevens)verwerker. En onze hosting provider als sub-verwerker. Ons opzet en meer informatie vind je hier. 

Wij zijn door TUV Nederland gecertificeerd voor: ISO 27001:2017.  De internationale beveiligingsnorm gericht op informatiebeveiliging.

Bekijk ons certificaat ISO 27001 NL/ENG  of bekijk de Verklaring van Toepasselijkheid ISO 27001 (NL).

Een uitgebreide beschrijving van ons informatie beveiligingsbeleid vind je hier

Bij Scope4mation hechten we grote waarde aan naleving van wet- en regelgeving. Het waarborgen van veiligheid, transparantie en compliance is essentieel in de digitale wereld waarin we opereren. Door voortdurend te voldoen aan relevante richtlijnen en normen, tonen we onze inzet voor kwaliteit en betrouwbaarheid aan onze klanten en partners.

De veranderende regelgeving, zoals NIS-2, DORA en ISAE, speelt een cruciale rol in onze manier van werken. Hieronder lichten we deze belangrijke wetgevingen en standaarden toe en delen we hoe wij onze processen hierop afstemmen om een veilige en compliant werkwijze te waarborgen.

NIS-2

Bij Scope4mation begrijpen we het belang van de NIS-2 richtlijn voor het versterken van cyberweerbaarheid en supply chain security. We zijn trots op onze ISO 27001-certificering, die een solide basis biedt voor het naleven van de NIS-2 eisen.

Hiermee richten we ons op risicobeheer, incidentmanagement en ketenbeveiliging, zodat onze klanten kunnen vertrouwen op een veilige en compliant samenwerking.

Onze certificering stelt ons in staat om sneller te reageren op compliance-eisen, audits en rapportages, en versterkt het vertrouwen bij onze klanten. We blijven ons continu inzetten om niet alleen aan de wettelijke eisen te voldoen, maar ook proactief onze beveiliging en dienstverlening te verbeteren.

 

DORA

Bij Scope4mation begrijpen we dat continuïteit en beveiliging van cruciaal belang zijn in een steeds complexer digitaal landschap. Met onze ISO 27001-certificering bieden we een robuust fundament dat perfect aansluit bij de doelstellingen van DORA.

ISO 27001 helpt ons risico’s effectief te beheren, incidenten proactief aan te pakken en een sterk informatiebeveiligingssysteem te waarborgen. Deze aanpak zorgt ervoor dat we voldoen aan de eisen op het gebied van risicobeheer, IT-beveiliging en bedrijfscontinuïteit zoals vastgelegd in DORA.

Hiermee ondersteunen we niet alleen onze klanten in de financiële sector, maar versterken we ook de betrouwbaarheid van onze diensten binnen de gehele IT-keten.

Scope4mation blijft zich inzetten voor compliance en het continu verbeteren van onze processen, zodat u kunt vertrouwen op een veilige en veerkrachtige samenwerking, nu en in de toekomst.

ISAE

Bij Scope4mation begrijpen we het belang van transparantie en zekerheid in onze dienstverlening, met name voor Qixium. Hoewel we geen specifieke ISAE-verklaring hebben, biedt onze ISO 27001-certificering een solide fundament voor vertrouwen.

ISO 27001 stelt strenge eisen aan ons informatiebeveiligingsmanagementsysteem, inclusief risicobeheer, procescontrole en continue verbetering. Veel aspecten van ISAE-assurance sluiten aan bij de maatregelen en beheersprocessen die al gecertificeerd zijn binnen ISO 27001. Hierdoor kunnen wij klanten de zekerheid bieden dat Qixium voldoet aan de hoogste standaarden op het gebied van informatiebeveiliging en databeheer.

Met deze aanpak combineren we robuuste beveiliging met een praktische benadering die aansluit bij de verwachtingen van onze klanten, zodat u kunt vertrouwen op een veilige en compliant oplossing!

Wij hechten veel waarde aan de bescherming van persoonsgegevens. Dat is een van de redenen waarom wij conform de hierboven genoemde ISO-normeringen zijn gaan werken. Daarnaast hebben wij een (sub)verwerkingsovereenkomst met onze hostingprovider afgesloten. Daarin hebben wij verplichtingen voor hen opgenomen, zodat alle persoonsgegevens op een veilige manier worden verwerkt.

Verwerkersovereenkomsten

De verwerkersovereenkomst vormt altijd een onderdeel van de hoofdovereenkomst met al onze klanten. In de verwerkersovereenkomst staan de afspraken die we hebben gemaakt over de verwerking van persoonsgegevens binnen het Qixium platform en Scope4mation, of het nu gaat om een intranet, community of op een website. Alle informatie over onze verwerkersovereenkomst en de verschillende modellen, klik hier

Privacyverklaring

De privacyverklaring op onze website beschrijft onder meer welke persoonsgegevens wij verwerken. Voor de werking van het Qixium platform zijn geen bijzondere persoonsgegevens nodig. In de beveiliging houden we hier echter wel rekening mee aangezien gebruikers er toch vrijwillig voor kunnen kiezen om bijzondere persoonsgegevens op te slaan. Er worden enkel persoonsgegevens verwerkt die strikt noodzakelijk zijn voor het doel: het optimaal laten functioneren van de community/website. 

Lees hier onze privacyverklaring.

Cookiebeleid

Net als de meeste andere websites gebruiken ook wij cookies. Onder andere voor bepaalde functionaliteiten en het optimaliseren van een website. Ook gebruiken we voor het bijhouden van statistieken en in sommige gevallen voor marketingdoeleinden. Zodra cookies persoonlijke gegevens of voorkeuren bijhouden, dan vragen we de gebruiker eerst dit goed te keuren. Dat is ook wettelijk verplicht.

Lees hier meer over cookies en jouw privacy in ons cookiestatement. 

Met onze hosting provider hebben wij afspraken gemaakt over beveiliging. Dat hebben wij vastgelegd in contracten. Deze afspraken zorgen onder meer voor maatregelen die de hostingprovider zelf neemt, en die we periodiek kunnen (laten) controleren. Daarnaast hebben we op die manier de beveiligingsnormen vastgelegd die wij stellen aan de datacenters waar wij via onze provider gebruik van maken.

Locatie & beveiliging van data & servers

Voor Nederlandse klanten staan onze servers staan in Nederland en worden beheerd door onze Nederlandse hostingpartner. We hebben wel servers op locaties buiten Nederland, maar die worden beheerd vanuit een separaat Data Center en zijn niet direct aan elkaar verbonden. De gegevens en back-ups worden (dus) alleen in Nederland opgeslagen en verwerkt.

Het primaire datacenter is gecertificeerd conform ISO 27001, NEN 7510, ISO 9001, SAE3000 / TPM verklaring en heeft een TIER 3 redundantie. Dit geldt voor beide locaties. Op verzoek sturen wij een afschrift van de betreffende certificaten aan onze klanten.

Pentratie en kwetsbaarheden tests

Een onafhankelijke partij voert minimaal één keer per 2 jaar een penetratie test uit. Hierbij test een ethische hacker het Qixium-platform op de doeltreffendheid van de technische beveiliging tegen de meest voorkomende security kwetsbaarheden (OWASP top 10). 

Aansluitend op deze testen reserveren wij tijd in onze tweewekelijkse ontwikkel sprints om maatregelen te treffen tegen eventueel gesignaleerde kwetsbaarheden. Ons beleid is er op gericht om opvolging te geven aan alle gevonden kwetsbaarheden, dus van prioriteit kritisch tot en met laag inclusief verwerking van informatieve tips. 

Op verzoek kunnen we de rapportage uit de pentest laten zien en toelichten.

Netwerk & cloud beveiliging

Wij beschikken over een aantal beveiligingsmaatregelen zoals een firewall en virusscanners waarmee het verkeer van en naar de servers in de gaten wordt gehouden. Het netwerk wordt vierentwintig uur per dag en zeven dagen in de week (24/7) gescand om potentiële bedreigingen en kwetsbaarheden te signaleren. Door deze proactieve monitoring weten wij vaak al eerder dan onze klanten dat er mogelijk sprake is van een bedreiging. Op deze manier zijn wij in staat maatregelen te treffen voordat onze klanten last van verstoringen krijgen.

Beschikbaarheid en continuïteit

Hoewel wij doorgaans een hogere beschikbaarheid meten, zal het Qixium Platform per jaar minimaal 99% beschikbaar zijn. Mocht het om wat voor reden dan ook de beschikbaarheid onder dit niveau komen, dan stellen wij in overleg met onze hostingprovider een concreet verbeterplan op.

Om de continuïteit van de beschikbaarheid van ons Qixium Platform te waarborgen, heeft Scope4mation meerdere maatregelen getroffen. Een van de belangrijkste maatregelen is dat wij, naast ons primaire datacenter locatie ook een secundaire datacenter locatie hebben. 

Zoals je hebt kunnen lezen gaan we tot het uiterste met het nemen van technische beveiligingsmaatregelen. Maar dienstverlening is ook mensenwerk. Dus moeten we er ook voor zorgen dat onze medewerkers zeer zorgvuldig omgaan met (persoons)gegevens van onze klanten, waarmee ze door hun werk in aanraking kunnen komen. Wij ondertekenen daarom met al onze medewerkers en ingehuurd personeel een geheimhoudingsverplichting, die onder andere ingaat op alle persoons- en gezondheidsgegevens van onze klanten. Wanneer nodig vragen we om een Verklaring Omtrent Gedrag (VOG). Met deze maatregelen en interne awareness sessies waarborgen wij de integriteit en vertrouwelijkheid van onze medewerkers.

Vindt er een (beveiligings)incident plaats? Dan kan dit worden gemeld via onze servicedesk. Zodra een beveiligingsincident op deze manier is gemeld, komen wij zo spoedig mogelijk in actie om de oorzaak te achterhalen en het incident op te lossen. Bij dit type incident is bij de afhandeling altijd een team betrokken van onder meer ontwikkelaars, security officer en privacy officer.

Zwakke plekken / DATALEK

Je hebt inmiddels vast begrepen dat wij enorm veel belang hechten aan de beveiliging van onze systemen en bovenal de gegevens van onze klanten en partners. Ondanks onze zorg voor de beveiliging van onze systemen, kan het voorkomen dat er toch een zwakke plek of een datalek is. Als je een zwakke plek of een datalek in één van onze systemen vindt, horen wij dit graag. Dan kunnen we zo snel mogelijk maatregelen treffen.

Kortom: wij werken graag samen met jou om onze klanten en onze systemen beter te beschermen. 

Onze coordinated vulnerability disclosure is hier te vinden op de website: