Beveiliging en privacy binnen Simplicate
Binnen Simplicate is er veel oog voor de veiligheid en betrouwbaarheid van onze software. Sinds begin 2023 is onze software en bedrijfsvoering ISO 27001 gecertificeerd, de wereldwijde erkende norm op het gebied van informatiebeveiliging.
Een exemplaar van ons certificaat en verklaring van toepasselijkheid tref je hier. Daarnaast zijn er een groot aantal factoren die ervoor zorgen dat je veilig met onze producten kan werken, deze worden hieronder puntsgewijs worden toegelicht.
Verbinding
Simplicate maakt voor alle verbindingen van en naar de software gebruik van versleuteling middels een 2048 bits SSL certificaat, beveiligd door SHA256withRSA authenticatie en encryptie. Je kunt de software uitsluitend benaderen via deze versleutelde HTTPS verbinding. Via deze link van SSL labs kun je de actuele beoordeling van onze SSL certificaten controleren.
Al het verkeer richting onze servers wordt gecontroleerd door onze high-end WAF (web application firewall). Hiermee worden bijvoorbeeld Bots, DDoS aanvallen, XSS aanvallen, CSRF aanvallen, etc. vakkundig buiten de deur gehouden. We hebben hiervoor een contract gesloten met Imperva Incapsula, specialist en een van de marktleiders op dit gebied, waarbij zij dit soort diensten ook leveren voor banken en verzekeraars. We draaien Incapsula hierbij in PCI-DSS compliant mode.
Opbouw van de software en privacy by design / privacy by default
Beveiliging en data privacy nemen we zeer serieus bij Simplicate. Hiervoor hebben we in het ontwerp van onze software een aantal belangrijke keuzes gemaakt:
- Fysiek gescheiden omgevingen
Wij ontwikkelden onze architectuur zo dat alle omgevingen van klanten fysiek gescheiden zijn. We hebben daarbij ons applicatieplatform volledig gecontaineriseerd opgebouwd, met applicatiecontainers per klant, waardoor klanten volledig in hun eigen omgeving werken. Daarnaast heeft elke klant zijn eigen gescheiden database, om vermenging van gegevens in iedere situatie te voorkomen. - Back-ups
Wij maken dagelijks beveiligde back-ups van gegevens op meerdere gescheiden locaties met een maximale retentie van 30 dagen Daarnaast hebben we een disaster recovery locatie in Enschede ingericht welke continue wordt gerepliceerd. - Multi-factor authenticatie
Naast een gebruikersnaam en wachtwoord ondersteunen wij multi-factor authenticatie. Wij adviseren iedere klant hier gebruik van te maken. Daarnaast is het goed om te melden dat alle wachtwoorden ge-encrypt en met een onomkeerbare hash worden opgeslagen in de database. - Uitgebreide rechten en autorisatie
Voor iedere gebruikersgroep is exact aan te geven tot welke modules en acties deze (API) gebruiker toegang heeft. Zo kan ongewenst handelen voorkomen worden. - AVG / GDPR compliance
Om als organisatie maximaal te kunnen voldoen aan AVG / GDPR wetgeving, is er in Simplicate voor 25 mei een AVG / GDPR functionaliteit beschikbaar. Deze bevat de volgende mogelijkheden:- Vastlegging van de AVG / GDPR contactpersoon binnen jouw organisatie en het digitaal ondertekenen van de verwerkersovereenkomst.
- GDPR compliance pagina, waarin je precies ziet welke personen en API keys op welke manier toegang hebben, of hebben gehad, tot persoonsgegevens.
- Optionele GDPR activering welke bij persoonsgegevens velden beschikbaar maakt voor toestemming, bron en bewaartermijn.
Datacenter
De Simplicate servers en netwerkverbindingen draaien op basis van de cloud diensten van Fundaments en DigitalOcean. Beiden werken vanuit beveiligde datacenters met state-of-the-art (elektronische) beveiliging. De locatie van het datacenter is in Amsterdam, Nederland (AMS2) en valt volledig binnen de Europese wetgeving. Wij hebben daarnaast met DigitalOcean een Data Processing Agreement gesloten.
Op de datacentra en de infrastructuur zitten de volgende certificaten:
- ISO27001
- ISO9001
- SOC 2 type 2 audits
Wij werken voor toegang tot de servers enkel met beveiligde VPN verbindingen en daarbij hebben wij strikt gecontroleerde toegang tot servers met Multi-Factor autorisatie.
