Beveiliging

CONTACT: [email protected]

begrijpen we het cruciale belang van informatiebeveiliging in het huidige digitale landschap. De toenemende frequentie en geavanceerdheid van cyberaanvallen onderstrepen de noodzaak voor bedrijven om prioriteit te geven aan beveiliging om hun gegevens te beschermen en het vertrouwen van hun klanten te waarborgen. Door beveiligingsmaatregelen en best practices te implementeren die aan de industrienormen voldoen, tonen we onze niet aflatende inzet voor de bescherming van gevoelige informatie en het behoud van de integriteit van onze activiteiten. We zijn trots op de strenge beveiligingsprotocollen die we hanteren en zijn toegewijd aan het handhaven van de hoogste normen van uitmuntende beveiliging.

Hoe is dit bereikt?

Als organisatie begrijpen we hoe belangrijk het is om te blijven voldoen aan beveiligingspraktijken en -normen. Daarom maken we gebruik van automatiseringsplatforms voor beveiliging en compliance om ervoor te zorgen dat we voortdurend compliant blijven en ons houden aan de relevante beveiligingsprotocollen.

We hebben een gecentraliseerd platform dat de beoordeling en bewaking van verschillende beveiligingscontroles en -procedures automatiseert. Door de integratie met onze bestaande systemen en tools bieden onze platforms ons een uitgebreid overzicht van onze beveiligingshouding, identificeren ze mogelijke problemen en zorgen ze ervoor dat we altijd op de hoogte zijn van de nieuwste beveiligingsprotocollen en industrienormen. Dit geeft ons het vertrouwen dat we de best practices in de branche volgen en dat we onze klanten en belanghebbenden een veilige omgeving bieden.

Wat gebeurt er als iets niet aan de regels voldoet?

Als er iets niet in overeenstemming met de voorschriften zou zijn, zou ons automatiseringsplatform voor naleving het probleem detecteren en ons onmiddellijk waarschuwen. Zo kunnen we onmiddellijk actie ondernemen om het probleem aan te pakken en snel weer aan de compliance-vereisten te voldoen. Door een dergelijk compliance automation platform te gebruiken, kunnen we bovenop onze compliance verplichtingen blijven zitten en proactief stappen ondernemen om ervoor te zorgen dat we blijven voldoen aan de relevante beveiligingspraktijken en -normen. Dit geeft ons het vertrouwen dat we onze klanten en belanghebbenden een veilige omgeving bieden en helpt ons om onze reputatie als betrouwbare organisatie hoog te houden.

Procedures en controles

Veilig beleid en veilige procedures

Schriftelijk informatiebeveiligingsbeleid en procedures zorgen ervoor dat het bedrijf gedocumenteerde en geteste controles heeft om klantgegevens te beschermen en effectief te reageren op beveiligingsincidenten.

Kwetsbaarheid en penetratietesten

Regelmatige kwetsbaarheids- en penetratietests helpen om potentiële zwakke plekken in de beveiliging te identificeren en aan te pakken voordat aanvallers er misbruik van kunnen maken. We voeren regelmatig interne penetratietests uit. We scannen ook automatisch op kwetsbaarheden in onze code en de afhankelijkheden daarvan.

Gegevenscodering

Encryptie van gevoelige gegevens helpt ervoor te zorgen dat onbevoegden geen toegang hebben tot de gegevens of deze niet kunnen lezen. Doordat onze database versleuteld is, voelen klanten zich veilig bij het gebruik van ons product, omdat gegevens tijdens het transport of in rusttoestand worden beschermd.

Multi-factor verificatie

Multi-factor authenticatie helpt onbevoegde toegang tot de systemen van het bedrijf te voorkomen, wat kan helpen om klantgegevens te beschermen tegen diefstal of geknoei.

Veilige ontwikkelingscyclus

Multi-factor authenticatie helpt om ongeautoriseerde toegang tot de systemen van het bedrijf te voorkomen, wat kan helpen om klantgegevens te beschermen tegen diefstal of geknoei. Alle wijzigingen in onze codebase worden beschermd met branch protection, wat betekent dat om een nieuwe codewijziging naar productie te kunnen pushen, de codewijziging moet zijn goedgekeurd door een andere engineer, en dat de codewijziging een aantal geautomatiseerde tests moet doorstaan die controleren op beveiligingsproblemen die door de code of de afhankelijkheden ervan worden geïntroduceerd, evenals end-to-end tests en meer. Op deze manier kunnen slechte actoren, intern of extern aan novonto.com, geen kwaadaardige code pushen dankzij ons veilige reviewproces.

Bewaking

Voortdurende bewaking van systeemtoegangslogs en netwerkverkeer helpt bij het detecteren van en reageren op potentiële beveiligingsincidenten, waardoor de kans kleiner wordt dat klantgegevens worden gecompromitteerd.

Training en bewustwording van werknemers

Regelmatige training en bewustwordingsprogramma's voor werknemers helpen ervoor te zorgen dat ze zijn toegerust om veilig met klantgegevens om te gaan, waardoor de kans op menselijke fouten of opzettelijke datalekken wordt verkleind. We maken er een prioriteit van dat deze direct worden voltooid voor alle nieuwe werknemers en jaarlijks worden voltooid voor alle bestaande werknemers.

Toegangscontroles en achtergrondcontroles

Toegangscontroles voor werknemers, externe leveranciers en serviceproviders helpen ervoor te zorgen dat ze betrouwbaar zijn en dat er op vertrouwd kan worden dat ze veilig met klantgegevens omgaan. Alleen toegang geven tot applicaties voor bepaalde toepassingen is belangrijk om compliant te blijven. Elk kwartaal bekijken we de toegang tot applicaties en de toegangsniveaus voor alle medewerkers om er zeker van te zijn dat ze alleen toegang hebben tot applicaties die nodig zijn voor het uitvoeren van hun functie.

Inbraakdetectie

novonto.com maakt gebruik van inbraakdetectiesystemen om onze systemen voortdurend te controleren op mogelijke bedreigingen die zich op elk moment kunnen voordoen. Als we in een vroeg stadium weten dat een bedreiging van kritiek belang kan zijn, kunnen we snel en efficiënt handelen om te voorkomen dat een bedreiging problemen op korte of lange termijn veroorzaakt.

Openbaarmaking van kwetsbaarheden

Bij novonto.com beschouwen we de beveiliging van onze systemen als een topprioriteit. Maar hoeveel moeite we ook doen om onze systemen te beveiligen, er kunnen nog steeds kwetsbaarheden aanwezig zijn.

Als je een kwetsbaarheid ontdekt, willen we dat graag weten zodat we stappen kunnen ondernemen om deze zo snel mogelijk te verhelpen. We willen u vragen ons te helpen onze klanten en systemen beter te beschermen.

Kwetsbaarheden buiten bereik:

• Clickjacking.
• Cross-Site Request Forgery (CSRF)
• Aanvallen waarbij MITM of fysieke toegang tot het apparaat van een gebruiker nodig is.
• Elke activiteit die kan leiden tot de verstoring van onze service (DoS).
• Problemen met inhoudspoofing en tekstinjectie zonder een aanvalsvector te tonen/zonder HTML/CSS te kunnen wijzigen.
• E-mail spoofing
• Ontbrekende DNSSEC, CAA, CSP headers
• Ontbreken van Secure of HTTP only vlag op niet-gevoelige cookies
• Deadlinks
• Alles met betrekking tot DNS of e-mailbeveiliging
• Snelheidsbeperking
• XSS (Cross-Site Scripting)

Opmerking: novonto.com behoudt zich het recht voor om een gemelde kwetsbaarheid aan te merken als buiten scope.

Wat wel en niet te doen

• Laat geen geautomatiseerde scanners draaien op onze infrastructuur of ons dashboard. Als u dit toch wilt doen, neem dan eerst contact met ons op.
• Maak geen misbruik van de kwetsbaarheid of het probleem dat je hebt ontdekt, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen of door gegevens van anderen te verwijderen of te wijzigen,
• Maak het probleem pas bekend aan anderen als het is opgelost,
• Gebruik geen aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of toepassingen van derden en

Een kwetsbaarheid melden

U kunt kwetsbaarheden per e-mail melden aan [email protected]. Zodra we je e-mail hebben ontvangen, kan het even duren voordat we contact met je opnemen terwijl ons team het probleem onderzoekt.

Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar voor complexe kwetsbaarheden kan meer uitleg nodig zijn.

• Als u de bovenstaande instructies hebt opgevolgd, zullen wij geen gerechtelijke stappen tegen u ondernemen met betrekking tot het rapport.
• We behandelen je rapport strikt vertrouwelijk en geven je persoonlijke gegevens niet door aan derden zonder jouw toestemming.
• We houden je op de hoogte van de voortgang van het oplossen van het probleem
• In de openbare informatie over het gemelde probleem vermelden we uw naam als de ontdekker van het probleem (tenzij u anders wenst)
• We streven ernaar om alle problemen zo snel mogelijk op te lossen en we willen graag een actieve rol spelen in de uiteindelijke publicatie over het probleem nadat het is opgelost.

laatste update: 01-08-2024