Het beschermen van de gegevens van onze klanten te allen tijde is onze hoogste prioriteit. Deze beveiligingsoverzicht biedt een overzicht van de beveiligingspraktijken die zijn ingesteld om dit doel te bereiken. Heb je vragen of feedback? Neem gerust contact met ons op via security@novonto

TOEGEWIJD BEVEILIGINGSTEAM

Ons beveiligingsteam bestaat uit beveiligingsexperts die zich richten op het verbeteren van de beveiliging van onze organisatie. Onze medewerkers krijgen training in het reageren op beveiligingsincidenten en zijn 24/7 beschikbaar.

INFRASTRUCTUUR

Cloudinfrastructuur: al onze diensten draaien in de cloud. We hosten of draaien geen eigen routers, load balancers, DNS-servers of fysieke servers. Onze service is gebouwd op Amazon Web Services en Private VPS-servers. Ze bieden sterke beveiligingsmaatregelen om onze infrastructuur te beschermen en voldoen aan de meeste certificeringen.

Beveiliging van het datacenter: ons datacenter bevindt zich in Duitsland. Het is een Tier IV-, PCI DSS- en ISO 27001-compatibele faciliteit. Onze servers zijn fysiek gescheiden van andere klanten in het datacenter. De datacenterfaciliteiten zijn 24/7 beveiligd met verschillende beveiligingsmaatregelen (bewakers, CCTV, elektronische toegangscontrole, enz.). Er is toezicht en alarmering voor beveiligingsinbreuken, stroomvoorziening, HVAC en temperatuur.

BEVEILIGING EN MONITORING OP NETWERKNIVEAU

Onze netwerkbeveiligingsarchitectuur bestaat uit meerdere beveiligingszones. We monitoren en beschermen ons netwerk om ervoor te zorgen dat er geen ongeoorloofde toegang plaatsvindt met behulp van: 1. Een virtuele privé-cloud (VPC), een bastion host of VPN met netwerktoegangscontrolelijsten (ACL’s) en geen openbare IP-adressen. 2. en firewall die inkomend en uitgaand netwerkverkeer controleert en beheert. 3. Een Intrusion Detection en/of Prevention-technologie (IDS/IPS)-oplossing die potentieel schadelijke pakketten controleert en blokkeert. 4. IP-adresfiltering.

DDOS BESCHERMING

We maken gebruik van Distributed Denial of Service (DDoS) mitigatiediensten die worden aangedreven door een toonaangevende oplossing uit de branche.

GEGEVENSVERSLEUTELING

Versleuteling tijdens verzending: Alle gegevens die naar of van onze infrastructuur worden verzonden, worden versleuteld tijdens verzending via industriestandaarden zoals Transport Layer Security (TLS). U kunt ons SSLLabs-rapport hier bekijken. Versleuteling in rust: Al onze gebruikersgegevens (inclusief wachtwoorden) worden versleuteld met beproefde versleutelingsalgoritmen in de database.

GEGEVENSBEHOUD EN -VERWIJDERING

Elke gebruiker kan het verwijderen van gebruiksgegevens aanvragen door contact op te nemen met de klantenondersteuning. Meer informatie over onze privacy-instellingen vindt u in ons Privacy Statement.

BEDRIJFSCONTINUÏTEIT EN RAMPHERSTEL

We maken back-ups van al onze kritieke bronnen en proberen regelmatig de back-up te herstellen om een snelle hersteltijd in geval van een ramp te garanderen. Al onze back-ups zijn versleuteld.

MONITORING VAN APPLICATIEBEVEILIGING

We maken gebruik van een beveiligingsmonitoringoplossing om inzicht te krijgen in de beveiliging van onze applicaties, aanvallen te identificeren en snel te reageren op een datalek. We maken gebruik van technologieën om uitzonderingen te monitoren, logs bij te houden en afwijkingen in onze applicaties te detecteren. We verzamelen en bewaren logs om een audit trail van de activiteiten van onze applicaties te bieden.

VEILIGE ONTWIKKELING

We ontwikkelen volgens beveiligingsbest practices en frameworks (OWASP Top 10, SANS Top 25). We hanteren de volgende best practices om het hoogste beveiligingsniveau in onze software te waarborgen: Ontwikkelaars nemen regelmatig deel aan beveiligingstrainingen om op de hoogte te blijven van veelvoorkomende kwetsbaarheden en bedreigingen. We controleren onze code regelmatig op beveiligingskwetsbaarheden. We werken onze afhankelijkheden regelmatig bij en zorgen ervoor dat er geen bekende kwetsbaarheden zijn.

GEBRUIKERSBESCHERMING

Twee-factor authenticatie: We bieden een twee-factor authenticatiemechanisme aan om onze gebruikers te beschermen tegen accountovername-aanvallen. Het instellen van deze extra beveiligingsmaatregel is optioneel, maar sterk aanbevolen om de beveiliging van gevoelige gegevens te vergroten. Bescherming tegen accountovername: We beschermen onze gebruikers tegen datalekken door het monitoren en blokkeren van brute force aanvallen.

Bescherming tegen accountovername: We beschermen onze gebruikers tegen datalekken door het monitoren en blokkeren van brute force aanvallen.

Rollen gebaseerde toegangscontrole: Rollen gebaseerde toegangscontrole (RBAC) wordt aangeboden op al onze accounts en stelt gebruikers in staat om rollen en permissies te definiëren.

COMPLIANCE

EU-VS en Zwitserland-VS Privacy Shield: Ons bedrijf voldoet aan de EU-VS en Zwitserland-VS Privacy Shield Frameworks voor de regulering van gegevensprivacy tussen de Europese Unie en de Verenigde Staten.

ISO 27001: Ons bedrijf volgt het ISO/IEC 27001 framework. Deze standaard biedt een raamwerk voor het opzetten en onderhouden van een informatiebeveiligingsmanagementsysteem (ISMS) om gevoelige informatie te beveiligen via een risicobeheerproces dat IT-systemen, mensen en processen combineert.

GDPR: We voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Het doel van de AVG is om de privégegevens van EU-burgers te beschermen en hen meer controle te geven over hun persoonlijke gegevens. Neem contact met ons op voor meer informatie over hoe we voldoen aan de AVG.

BETALINGSINFORMATIE

Alle verwerking van betalingsinstrumenten wordt veilig uitbesteed aan een PCI Level 1 Service Provider. We verzamelen geen betalingsgegevens en zijn daarom niet onderhevig aan PCI-verplichtingen. We verwerken en bewaren uw betalingsgegevens veilig volgens de strikte Payment Card Industry Data Security Standards (PCI DSS). We zijn gecertificeerd als een PCI Service Provider.

MEDEWERKERSTOEGANG

Ons strenge interne proces voorkomt dat medewerkers of beheerders toegang krijgen tot gebruikersgegevens. Beperkte uitzonderingen kunnen worden gemaakt voor klantenondersteuning. Al onze medewerkers tekenen een geheimhoudings- en vertrouwelijkheidsovereenkomst bij het in dienst treden van het bedrijf om de gevoelige informatie van onze klanten te beschermen.

Laatst gewijzigd: 1 januari 2024.