Beveiligingsbeleid

Onderstaand beveiligingsbeleid is van toepassing op onze dienstverlening

header image

Beveiligingsbeleid

Veiligheid is één van de belangrijkste prioriteiten voor ons omdat ze van fundamenteel belang zijn voor uw ervaring met het product. Wij doen er alles aan om de gegevens van uw toepassing te beveiligen, waardoor de kwetsbaarheid van systemen wordt geëlimineerd en de continuïteit van toegang wordt gewaarborgd.

We maken gebruik van een verschillende technologieën en diensten om uw gegevens te beveiligen tegen ongeoorloofde toegang, openbaarmaking, gebruik en verlies.

Vulnerability Disclosure

Als u een kwetsbaarheid wilt melden of beveiligingsproblemen hebt met een Shiftbase-product, neemt u contact op met info@shiftbase.com. Voeg een proof of concept, een lijst met gebruikte tools (inclusief versies) en de uitvoer van de tools toe. Wij nemen alle onthullingen zeer serieus. Nadat de meldingen zijn ontvangen, controleren we snel elk beveiligingslek voordat we de nodige stappen ondernemen om het probleem te verhelpen. Na verificatie sturen we regelmatig statusupdates naarmate de problemen worden verholpen.

Infrastructuur and Network Beveiliging

Fysieke toegangscontrole
Wij hosten op Google Cloud Platform. Google-datacenters hebben een gelaagd beveiligingsmodel, inclusief uitgebreide beveiligingen zoals:

  • Op maat ontworpen elektronische toegangskaarten
  • Alarmen
  • Toegangsbarrières voor voertuigen
  • Omgevingsbeveiliging
  • Metaal detectoren
  • Biometrie

 

Volgens de Google Security Whitepaper: “The data center floor features laser beam intrusion detection. Data centers are monitored 24/7 by high-resolution interior and exterior cameras that can detect and track intruders. Access logs, activity records, and camera footage are reviewed in case an incident occurs. Data centers are also routinely patrolled by professional security guards who have undergone rigorous background checks and training.”

Wij hebben geen fysieke toegang tot datacenters, servers, netwerkapparatuur of opslag van Google.

Logische toegangscontrole

Shiftbase is de toegewezen beheerder van zijn infrastructuur op Google Cloud Platform en alleen aangewezen geautoriseerde Shiftbase administrators hebben toegang om de infrastructuur naar behoefte te configureren achter een door twee factoren geverifieerd virtueel privénetwerk.

Externe audit
Google Cloud Platform ondergaat op regelmatige basis diverse externe onafhankelijke audits en kan verificatie van compliance controles voor zijn datacenters, infrastructuur en operaties bieden. Dit omvat, maar is niet beperkt tot SSAE 16-conforme SOC 2-certificering en ISO 27001-certificering.

Intrusion Detection and Prevention
Ongebruikelijke netwerkpatronen of verdacht gedrag behoren tot onze grootste zorgen voor hosting en beheer van de infrastructuur.

De intrusion detection and prevention systems (IDS / IPS) van Google Cloud Platform en CloudFlare zijn gebaseerd op zowel handtekening beveiliging als algoritme beveiliging om verkeerspatronen te identificeren die vergelijkbaar zijn met bekende aanvalsmethoden.

IDS / IPS omvat het nauw regelen van de grootte en de samenstelling van het aanvalsoppervlak, gebruikmakend van intelligente detectie op gegevens invoerpunten.

IDS / IPS wordt continue doorontwikkeld en nieuwe technologieën worden toegepast zodat automatisch gevaarlijke situaties worden geweerd.

Bedrijfscontinuïteit en Herstel na calamiteiten

High Availability
Elk onderdeel van onze dienst heeft redundante servers verdeeld over meerdere datacenters (bijv. Meerdere load balancers, webservers, back-ups).

Bedrijfscontinuïteit
We maken dagelijks back-ups van de database, deze slaan we in meerdere regio's binnen Google Cloud Platform versleuteld op. In het geval van verlies van productiegegevens kunnen we de gegevens vanaf deze back-ups herstellen.

Noodherstel
In het geval van een uitval van de hele regio, starten we een duplicaat omgeving in een andere regio binnen Google Cloud Platform. Mocht het zo zijn dat heel Google Cloud niet beschikbaar is, dan zullen we uitwijken naar een alternatief.

Data Flow
Uw gegevens kunnen over een beveiligde HTTPS verbinding beheerd en bekeken worden via onze gebruikers interface en REST APIs.

We kunnen op aanvraag koppelen met externe applicaties zodat u gegevens uit ons systeem kunt samenvoegen met gegevens van uw andere systemen.

Gegevensbeveiliging en privacy

Gegevens versleuteling
Alle gegevens op onze servers worden tijdens opslag automatisch versleuteld.

Google Cloud Platform slaat cryptografische sleutels op en beheert deze in zijn redundante en wereldwijd gedistribueerde Key Management Service. Dus als een indringer ooit in staat is om toegang te krijgen tot een van de fysieke opslagapparaten, dan zouden de daarin aanwezige gegevens nog steeds niet kunnen worden ontsleuteld zonder de sleutels, waardoor de informatie een nutteloze warboel van willekeurige tekens is.

Versleuteling tijdens opslag maakt ook continuïteitsmaatregelen mogelijk, zoals back-up en infrastructuurbeheer, zonder afbreuk te doen aan de beveiliging en privacy van gegevens.

We verzenden uitsluitend gegevens via HTTPS-transportlaagbeveiliging (TLS) met gecodeerde verbindingen voor extra beveiliging tijdens de gegevensoverdracht van en naar de applicatie.

Dataretentie en removal
We bewaren uw gegevens zolang we een overeenkomst met u hebben.

Systeem logs worden 7 dagen bewaard.

We verwijderen al uw gegevens 30 dagen na opzegging van uw overeenkomst met ons, eventuele database backups worden 60 dagen na verwijdering van uw gegevens ook automatisch verwijdert.

Gegevens kunnen via onze REST API en gebruikersinterface verwijdert en/of aangepast worden.

Applicatiebeveiliging
Multi-Factor Authenticatie
Naast inloggen met een email en wachtwoord combinatie bieden we ook een Multi-Factor Authenticatie (MFA) aan, dit voegt een extra beveilingslaag toe aan het inloggen door middel van een tijdgebaseerd eenmalig wachtwoordalgoritme (TOTP).

Up-to-date software
We raden al onze klanten aan om gebruik te maken van up-to-date software. Hiermee bedoelen we dat het besturingssysteem alsmede de internet browser voorzien moeten zijn van een recente versie met de laatste beveiligingsupdates.

REST API Authenticatie (API Key)
Onze REST API maakt gebruik van persoonlijke autorisatie tokens of een API key voor authenticatie. Deze tokens worden via een Auth header meegestuurd om toegang tot de REST API te verifiëren.

Email Beveiliging
Onderdeel van onze dienst is het versturen van email. Sender Policy Framework (SPF) is een systeem om spoofing van e-mailadressen te voorkomen en inkomende spam te minimaliseren. We hebben SPF-records via onze domain name service (DNS), en “domain-based message authentication, reporting, and conformance (DMARC)” ingesteld voor email om de mogelijkheid van phishing-zwendel te voorkomen.

Gebruikersbeheer
Gebruikersbeheer is een centraal onderdeel van beveiliging en management, en is de eerste stap in het beveiligen van uw gegevens.

Uw account is onder te verdelen in Vestigingen, Afdelingen en teams. De autorisatie van uw gebruikers is door middel van rollen op afdelingsniveau in te stellen. U kunt in de gebruikersinterface de rollen en toegangsrechten beheren, zodat u zeer gedetailleerd kan aangeven wie wat mag.

Secure Application Development
Shiftbase maakt gebruik van continuous delivery (CD), wat betekent dat alle code wijzigingen in een snelle opeenvolging worden vastgelegd, getest, verzonden en geïtereerd. Een continuous delivery methodiek, aangevuld met reviews van code wijzigingen, continuous integration (CI) en geautomatiseerde foutopsporing, vermindert de kans op een beveiligingsprobleem aanzienlijk en verbetert de reactietijd en het effectief oplossen van fouten en kwetsbaarheden.

Bedrijfsbeveiliging

Risico Management
Al onze code wijzigingen worden door een tweede ontwikkelaar en middels CI gecontroleerd op kwaliteit, bugs en kwetsbaarheden.

Vervolgens worden de wijzigingen op een pre-productie omgeving nogmaals nagekeken. Wanneer alles naar behoren werkt kan één van onze administrators de wijziging goedkeuren waarna een geautomatiseerde uitrol van de wijziging plaatsvindt op de productieomgeving.

Beveiligingsbeleid
We onderhouden intern een serie documenten die samen het beveiligingsbeleid voor de organisatie vormen. Deze worden voortdurend aangevuld, bijgewerkt en jaarlijks gecontroleerd op hiaten.

Beveiligingstraining
Alle nieuwe medewerkers ontvangen onboarding- en systeemtrainingen, inclusief omgevings- en rechten instellingen en een evaluatie van het beveiligingsbeleid.

Alle ontwikkelaars beoordelen het beveiligingsbeleid als onderdeel van onboarding en worden aangemoedigd om het beleid te herzien en eraan bij te dragen via interne documentatie. Belangrijke updates worden per e-mail gecommuniceerd aan alle onze medewerkers.