Beveiliging

Meer dan alleen encryptie

Encryptie is een essentieel onderdeel van het leven geworden, maar het onterecht om aan te nemen dat daarmee de opgeslagen data veilig is. Encryptie dient ter beveiliging in het geval dat er een data lek heeft plaatsgevonden. Wat we eigenlijk willen is dat er überhaupt geen data lek kan plaatsvinden. In orde van belang: voorkomen, beperken, beschermen. 

En dat is waar wij als SECUREDD onze meerwaarde bewijzen. 

Certificeringen

ISO27001 & Datacenters

Bekijk ons ISO 27001 certificaat
SECUREDD is partner en officieel reseller van SSLPost Group Europe, volledig ISO 27001 gecertificeerd. We stellen dezelfde hoge eisen aan de partijen waar we onze software hosten, exclusief binnen Nederland. Al deze partijen voldoen minimaal aan ISO 27001. We willen geen bemoeienis vanuit Amerika en gebruiken dus geen Amazon AWS, Google, Microsoft Azure, Oracle of andere grote aanbieders. Wij zijn niet overtuigd dat deze partijen onder de Patriot Act geweigerd hebben de backdoors in te bouwen.  

Het Cyber Essentials certificaat wordt gesponsored door de overheid om bedrijven zich te helpen beschermen tegen cyber aanvallen. De focus ligt op vijf essentiële elementen van cyber security; beveiligde configuratie, firewalls, toegangscontrole, patch beheer en malware bescherming. 

Connecties en verbindingen

Alle connecties met de webserver worden geforceerd over TLS 1.3, inclusief de RESTful interface. Additionele beveiling van de API kan onder andere met API keys, IP whitelisting en hoge eisen aan het wachtwoord (32+ karakters).

Alle wachtwoorden worden opgeslagen middels Argon2i.

Servers

We investeren veel tijd in de beveiliging van onze servers. Al het verkeer wordt standaard geblokkeerd, waarna alleen de vereiste poorten worden heropend. Alle directe toegang tot de server wordt beheerd via doorgeef-servers met behulp van RSA sleutels. 

Ook op vlak van encryptie passen we alleen de hoogste standaarden toe. Ieder bestand heeft unieke sleutels gekoppeld aan de personen die toegang behoren te hebben, zodat er nooit iemand zonder rechten toegang kan krijgen tot deze bestanden. Daarnaast worden er nog meerdere lagen encryptie toegepast om te verzorgen dat de data uiterst goed beveiligd is. 

Audits & security scans

Dagelijks worden onze servers gescanned op kwetsbaarheden, en met behulp van "threat detection tools" behouden we inzicht op de login pogingen op deze servers. Onze klanten voeren jaarlijks eigen penetratie testen uit als extra zekerheid dat we aan onze beloftes voldoen, tot op heden zonder grote problemen. Er is met deze testen nooit toegang verkregen tot de omgevingen of de servers. We waarderen deze testen altijd, want het geeft wel inzicht in eventuele kleinere fouten die nog aanwezig kunnen zijn.

SECUREDD en onze partners zullen nooit de data die bij ons wordt opgeslagen analyseren, delen of verkopen. We passen geen tracking cookies toe. De enige uitzondering is uit noodzaak van beveiliging met Google reCAPTCHA, die alleen wordt toegepast op de login pagina's. 

Gevaarlijke aannames

  • Bedrijven claimen dat ze AVG/GDPR complaint zijn omdat de data centers die ze gebruiken een ISO certificering hebben. Dit maakt echter het bedrijf dat het gebruikt nog niet compliant, want zonder enige kennis over het gebruik of andere software kan een standaard server eenvoudig worden binnen gedrongen. Dat ligt buiten de verantwoordelijkheid van de data centers.
  • Een bedrijf dat voldoet aan de normen van ISO of iets als PCI-DSS is niet volwaardig aan een bedrijf dat is gecertificeerd. De certificering verzekerd dat er wordt voldaan middels jaarlijkse controles van derden. 
  • Het is onvoldoende om een wachtwoord toe te voegen aan de documenten die worden verzonden via traditionele email; deze zijn vaak eenvoudig te kraken. 
  • Het opslaan van data in een omgeving als Sharepoint is gevaarlijk zonder goed doordachte toegangsmanagement en MFA toepassingen. Alleen de tool maakt het geheel niet veilig.
  • Oplossingen als WeTransfer beveiligen je bestanden goed, maar de toegangscontrole is zeer gelimiteerd, en het verdienmodel leent zich met alle (meta)data die ze verzamelen van u en uw klanten. Dit geeft geen professioneel beeld af.

Wat u nodig heeft is een betrouwbare, robuuste, veilige en AVG compliant oplossing die ISO gecertificeerd is van een bedrijf dat zich specialiseert in data beveiliging. En laat SECUREDD nou exact dat zijn.