Compliance
Dat betekent dat Scope4mation voldoet aan alle wettelijke eisen.
Je werkt met Qixium. En je wilt er zeker van zijn dat jouw gegevens en veilig en goed beschermd zijn. Dat het gewoon goed geregeld is. Logisch. Jouw vertrouwen is voor ons enorm belangrijk. Dus leggen we onszelf een hoge kwaliteitsstandaard op. Onze processen en producten worden tegen zowel nationale als internationale normen afgezet. Wat dat inhoudt? Dat leggen we je graag uit!
CERTIFICATEN
Wij zijn door TUV Nederland gecertificeerd voor: ISO 27001:2017
De internationale beveiligingsnorm gericht op informatiebeveiliging.
Bekijk ons certificaat ISO 27001 NL/ENG
of bekijk de Verklaring van Toepasselijkheid ISO 27001 (NL).
PRIVACY
Als je Qixium gebruikt, verwerken we vaak persoonsgegevens. Van je medewerkers bijvoorbeeld. Of van andere personen. Deze slaan we op in het Qixium Platform op onze eigen servers. Deze servers staan op twee locaties in Nederland bij onze hosting provider.
Op grond van de Algemene Verordening Gegevensbescherming (AVG) ben jij als onze klant (als verwerkingsverantwoordelijke) verantwoordelijk voor de verwerking van die persoonsgegevens via ons Qixium Platform. Qixium geldt daarbij als (gegevens)verwerker. En onze hosting provider als sub-verwerker. Ons opzet en meer informatie vind je hier.
Bescherming persoonsgegevens
Wij hechten veel waarde aan de bescherming van persoonsgegevens. Dat is een van de redenen waarom wij conform de hierboven genoemde ISO-normeringen zijn gaan werken. Daarnaast hebben wij een (sub)verwerkingsovereenkomst met onze hostingprovider afgesloten. Daarin hebben wij verplichtingen voor hen opgenomen, zodat alle persoonsgegevens op een veilige manier worden verwerkt.
Verwerkersovereenkomsten
De verwerkersovereenkomst vormt altijd een onderdeel van de hoofdovereenkomst met al onze klanten. In de verwerkersovereenkomst staan de afspraken die we hebben gemaakt over de verwerking van persoonsgegevens binnen het Qixium platform en Scope4mation, of het nu gaat om een intranet, community of op een website. Alle informatie over onze verwerkersovereenkomst en de verschillende modellen, klik hier!
Privacyverklaring
De privacyverklaring op onze website beschrijft onder meer welke persoonsgegevens wij verwerken. Voor de werking van het Qixium platform zijn geen bijzondere persoonsgegevens nodig. In de beveiliging houden we hier echter wel rekening mee aangezien gebruikers er toch vrijwillig voor kunnen kiezen om bijzondere persoonsgegevens op te slaan. Er worden enkel persoonsgegevens verwerkt die strikt noodzakelijk zijn voor het doel: het optimaal laten functioneren van de community/website.
Lees hier onze privacyverklaring.
Cookiebeleid
Net als de meeste andere websites gebruiken ook wij cookies. Onder andere voor bepaalde functionaliteiten en het optimaliseren van een website. Ook gebruiken we voor het bijhouden van statistieken en in sommige gevallen voor marketingdoeleinden. Zodra cookies persoonlijke gegevens of voorkeuren bijhouden, dan vragen we de gebruiker eerst dit goed te keuren. Dat is ook wettelijk verplicht.
Lees hier meer over cookies en jouw privacy in ons cookiestatement.
HOSTING
Met onze hostingprovider hebben wij afspraken gemaakt over beveiliging. Dat hebben wij vastgelegd in contracten. Deze afspraken zorgen onder meer voor maatregelen die de hostingprovider zelf neemt, en die we periodiek kunnen (laten) controleren. Daarnaast hebben we op die manier de beveiligingsnormen vastgelegd die wij stellen aan de datacenters waar wij via onze provider gebruik van maken.
Locatie & beveiliging van data & servers
Voor Nederlandse klanten staan onze servers staan in Nederland en worden beheerd door onze Nederlandse hostingpartner. We hebben wel servers op locaties buiten Nederland, maar die worden beheerd vanuit een separaat Data Center en zijn niet direct aan elkaar verbonden. De gegevens en back-ups worden (dus) alleen in Nederland opgeslagen en verwerkt.
Het primaire datacenter is gecertificeerd conform ISO 27001, NEN 7510, ISO 9001, SAE3000 / TPM verklaring en heeft een TIER 3 redundantie. Dit geldt voor beide locaties. Op verzoek sturen wij een afschrift van de betreffende certificaten aan onze klanten.
Pentratie en kwetsbaarheden tests
Een onafhankelijke partij voert minimaal één keer per 2 jaar een penetratie test uit. Hierbij test een ethische hacker het Qixium-platform op de doeltreffendheid van de technische beveiliging tegen de meest voorkomende security kwetsbaarheden (OWASP top 10).
Aansluitend op deze testen reserveren wij tijd in onze tweewekelijkse ontwikkel sprints om maatregelen te treffen tegen eventueel gesignaleerde kwetsbaarheden. Ons beleid is er op gericht om opvolging te geven aan alle gevonden kwetsbaarheden, dus van prioriteit kritisch tot en met laag inclusief verwerking van informatieve tips.
Op verzoek kunnen we de rapportage uit de pentest laten zien en toelichten.
Netwerk & cloud beveiliging
Wij beschikken over een aantal beveiligingsmaatregelen zoals een firewall en virusscanners waarmee het verkeer van en naar de servers in de gaten wordt gehouden. Het netwerk wordt vierentwintig uur per dag en zeven dagen in de week (24/7) gescand om potentiële bedreigingen en kwetsbaarheden te signaleren. Door deze proactieve monitoring weten wij vaak al eerder dan onze klanten dat er mogelijk sprake is van een bedreiging. Op deze manier zijn wij in staat maatregelen te treffen voordat onze klanten last van verstoringen krijgen.
Beschikbaarheid en continuïteit
Hoewel wij doorgaans een hogere beschikbaarheid meten, zal het Qixium Platform per jaar minimaal 99% beschikbaar zijn. Mocht het om wat voor reden dan ook de beschikbaarheid onder dit niveau komen, dan stellen wij in overleg met onze hostingprovider een concreet verbeterplan op.
Om de continuïteit van de beschikbaarheid van ons Qixium Platform te waarborgen, heeft Scope4mation meerdere maatregelen getroffen. Een van de belangrijkste maatregelen is dat wij, naast ons primaire datacenter locatie ook een secundaire datacenter locatie hebben.
Integriteit en vertrouwelijkheid
Zoals je hebt kunnen lezen gaan we tot het uiterste met het nemen van technische beveiligingsmaatregelen. Maar dienstverlening is ook mensenwerk. Dus moeten we er ook voor zorgen dat onze medewerkers zeer zorgvuldig omgaan met (persoons)gegevens van onze klanten, waarmee ze door hun werk in aanraking kunnen komen. Wij ondertekenen daarom met al onze medewerkers en ingehuurd personeel een geheimhoudingsverplichting, die onder andere ingaat op alle persoons- en gezondheidsgegevens van onze klanten. Wanneer nodig vragen we om een Verklaring Omtrent Gedrag (VOG). Met deze maatregelen en interne awareness sessies waarborgen wij de integriteit en vertrouwelijkheid van onze medewerkers.
incidenten / DATALEK of zwakke plekken
Vindt er een (beveiligings)incident plaats? Dan kan dit worden gemeld via onze servicedesk. Zodra een beveiligingsincident op deze manier is gemeld, komen wij zo spoedig mogelijk in actie om de oorzaak te achterhalen en het incident op te lossen. Bij dit type incident is bij de afhandeling altijd een team betrokken van onder meer ontwikkelaars, security officer en privacy officer.
Zwakke plekken / DATALEK
Je hebt inmiddels vast begrepen dat wij enorm veel belang hechten aan de beveiliging van onze systemen en bovenal de gegevens van onze klanten en partners. Ondanks onze zorg voor de beveiliging van onze systemen, kan het voorkomen dat er toch een zwakke plek of een datalek is. Als je een zwakke plek of een datalek in één van onze systemen vindt, horen wij dit graag. Dan kunnen we zo snel mogelijk maatregelen treffen.
Kortom: wij werken graag samen met jou om onze klanten en onze systemen beter te beschermen.
Onze coordinated vulnerability disclosure is hier te vinden op de website: