Beveiliging
      Terug naar start
      1. Help Center
      2. Beveiliging

      Controle op de informatiebeveiliging

      Dit artikel geeft een uitgebreid overzicht van onze beveiligingsmethoden

      Inhoudsopgave:

      Het te allen tijde beschermen van de gegevens van onze klanten is onze hoogste prioriteit. Dit beveiligingsoverzicht biedt een overzicht op hoog niveau van de beveiligingspraktijken die zijn ingevoerd om dat doel te bereiken. Hebt u vragen of feedback? Neem gerust contact met ons op via security@web1on1.chat.

      Web1on1 past administratieve, technische en fysieke controles toe op systemen en gegevens om de vertrouwelijkheid, integriteit en beschikbaarheid ervan te beschermen. De controles worden uitgevoerd in overeenstemming met de beste praktijken op het gebied van industrie en beveiliging om het juiste risiconiveau aan te pakken. Hieronder volgt een overzicht van de informatiebeveiligingscontroles die Web1on1 voor zijn gehele infrastructuur heeft geïmplementeerd.

      Administratieve controles

      Beveiliging Management

      Peter de Vos (CTO) ) is verantwoordelijk voor de informatiebeveiliging en zorgt voor de geheimhouding, integriteit en beschikbaarheid van systemen en gegevens (hierna: Beveiligingscontroles).

      Alle partijen die met of voor Web1on1 werken en die persoonsgegevens verwerken waarop het Data Processing Agreement van toepassing is, moeten adequate veiligheidscontroles handhaven.

      Human Resources

      • Werknemers/aannemers erkennen de verantwoordelijkheid voor de beveiliging.

      • Werknemers hebben kennis van het beveiligingsbeleid.

      • Werknemers beloven zowel bij indiensttreding als jaarlijks te voldoen aan het beginsel van aanvaardbaar gebruik.

      • Een beveiligingsbewustzijnsprogramma voorziet in instructies over beveiligings- en privacyprocedures.

      Beleid en normen, Gebruikersbewustzijn

      • Beveiligingsbeleid en -normen worden ontwikkeld en gehandhaafd.

      • Het beveiligingsbeleid wordt jaarlijks geëvalueerd en indien nodig of vereist bijgewerkt.

      • Er is beveiligingsbeleid opgesteld over de volgende onderwerpen:

        • Beleid voor aanvaardbaar gebruik;

        • Beleid inzake informatieclassificatie;

        • Clean Desk beleid;

        • Wachtwoordbeleid;

        • Beleid inzake wachtwoordbeveiliging;

        • Beleid inzake datalekken;

        • Beleid inzake internationale reizen;

        • Beleid inzake fysieke toegang en controle.

      • Het beveiligingsbeleid is aan de belanghebbenden meegedeeld.

      • Er zijn beleidslijnen en procedures om de noodzaak van risicobeoordeling vast te stellen en het gebruik en beheer van opkomende of ontwrichtende technologieën aan te pakken.

      Risicobeoordeling en -audits

      • Er wordt jaarlijks een beveiligingsrisicobeoordeling uitgevoerd om bedreigingen en kwetsbaarheden vast te stellen en te prioriteren.

      • Gegevens worden geclassificeerd overeenkomstig de risicobeoordeling.

      • Er wordt een risicobeoordeling van het gebruik van nieuwe technologieën of gegevensverwerkingsactiviteiten met een hoog risico uitgevoerd voordat dergelijke technologieën/gegevensverwerkingsactiviteiten met een hoog risico worden geïmplementeerd.

      • Jaarlijks worden via interne audits periodieke nalevingscontroles uitgevoerd.

      • Met partners en leveranciers worden contractuele beveiligingsaudits op naleving uitgevoerd.

      Incidentenbeheer

      • Beheersprogramma voor beveiligingsincidenten is geïmplementeerd en geïntegreerd in de algemene nood- en probleembeheersprocessen.

      • Er is een beleid inzake inbreuken op gegevens.

      • Er is een register voor inbreuken op gegevens.

      Contact met de autoriteiten

      • In het geval van een datalek die melding aan de autoriteiten vereist.

      • In het geval autoriteiten vragen om bewijs van naleving van de geldende privacywet- en regelgeving of toegang eisen tot de gegevens van Web1on1.

      Technische en operationele controles

      Toegang

      • Voor toegang tot systemen en gegevens, zowel on-site als off-site, is de juiste authenticatie vereist.

      • Alle systemen die beschermde gegevens bevatten zijn alleen toegankelijk via authenticatie met twee factoren en of single sign-on.

      • Authenticatie wordt verleend op basis van gegevensclassificatie en op basis van noodzaak tot toegang.

      • Authenticatie wordt verleend onder voorbehoud van beveiligings- en vertrouwelijkheidsverbintenissen.

      • Aan personen worden unieke gebruikersidentiteiten toegekend en voor de toegang tot toepassingen zijn wachtwoorden en authenticatie met twee factoren vereist.

      • Er worden toegangslogboeken bijgehouden.

      • Bij beëindiging van het dienstverband of de opdracht worden werknemers en contractanten onmiddellijk verwijderd van de toegang tot alle bedrijfsdiensten en worden alle door het bedrijf verstrekte eigendommen verzameld.

      Gegevensoverdracht

      • Passende gegevenscontroles (toegang, gebruik, vernietiging, enz.) worden uitgevoerd op basis van de gegevensclassificatie van Web1on1.

      • Waar nodig zijn veilige protocollen vereist.

      • IPS/IDS en firewalls worden geïmplementeerd om het bedrijfsnetwerk te beveiligen.

      • Het gebruik van openbare netwerken voor de overdracht van persoonlijke gegevens is niet toegestaan.

      Integriteit gegevensverwerking

      • Procedures voor incidenten-, wijzigings- en probleembeheer worden toegepast om de integriteit van de verwerking te waarborgen.

      • Voor kritieke systemen worden een architectuur met hoge beschikbaarheid en back-ups gebruikt en onderhouden.

      Monitoring

      • Netwerkbewaking wordt uitbesteed aan een managed services provider.

      • Auditlogs worden bijgehouden en gecontroleerd voor kritieke systemen.

      • Qualis voert periodieke kwetsbaarheidsscans en scans van broncodes uit.

      • Jaarlijkse penetratietests worden uitbesteed.

      Backup

      • Back-upfaciliteiten voor reservekopieën voor noodgevallen en noodherstel.

      Risicobeoordeling door derden

      • Periodieke kwetsbaarheidsscans met betrekking tot diensten en middelen van derden.

      Fysieke Controles

      Toegang tot Web1on1-faciliteiten

      • Alle bezoekers worden geregistreerd.

      • Periodieke toegangscontroles worden uitgevoerd.

      • Werkplekken hebben veilige opslaglocaties en een beleid inzake individuele veiligheidsverantwoordelijkheden aan het einde van de dag.

      Data Center

      • Web1on1 data centers zijn uitbesteed; geen Web1on1 personeel heeft toegang tot de data centers.

      Apparatuur

      • Geplande controle en onderhoud van apparatuur en structuren wordt uitgevoerd.

      • Uitgifte en configuratie van gebruikerssystemen wordt gestandaardiseerd en centraal beheerd.

      • Veilige processen voor de verwijdering en overdracht van apparatuur worden toegepast.

      Infrastructuur

      Cloud infrastructuur

      Al onze diensten draaien in de cloud. Wij hosten of beheren geen eigen routers, load balancers, DNS-servers of fysieke servers. Onze dienst is gebouwd op Google Cloud Platform. Zij bieden sterke beveiligingsmaatregelen om onze infrastructuur te beschermen en voldoen aan de meeste certificeringen. U kunt hier meer lezen over hun praktijken: Google Cloud Platform.

      Wij gebruiken Google-datacenters in Nederland en België.

      Controle en bescherming van de beveiliging op netwerkniveau

      Onze netwerkbeveiligingsarchitectuur bestaat uit meerdere beveiligingszones. Wij bewaken en beschermen ons netwerk, om ervoor te zorgen dat er geen ongeautoriseerde toegang wordt uitgevoerd met behulp van:

      • Een firewall die inkomend en uitgaand netwerkverkeer bewaakt en controleert;

      • Een oplossing voor intrusion detection en/of prevention technologies (IDS/IPS) die potentiële kwaadaardige pakketten bewaakt en blokkeert;

      • Filteren van IP-adressen.

      DDoS bescherming

      Wij gebruiken Distributed Denial of Service (DDoS)-mitigatiediensten die worden aangedreven door een toonaangevende oplossing.

      Data encryptie

      Encryptie in doorvoer: Alle gegevens die naar of van onze infrastructuur worden verzonden, worden tijdens het transport gecodeerd volgens de beste praktijken in de sector, waarbij gebruik wordt gemaakt van Transport Layer Security (TLS). U kunt ons SSLLabs-rapport hier bekijken. Encryptie in rust: Al onze gebruikersgegevens (inclusief wachtwoorden) worden versleuteld met behulp van versleutelingsalgoritmen in de database.

      Bewaring en verwijdering van gegevens

      Wij bewaren uw gebruiksgegevens voor een periode van 90 dagen na uw proefperiode, of 30 dagen na het archiveren van een organisatie. Alle gegevens worden daarna volledig verwijderd van de servers en databases.

      Standaard worden conversatieberichten, resultaten, rapporten en bijbehorende metadata ouder dan 18 maanden automatisch en permanent verwijderd.  Persoonlijke informatie in contactformulieren wordt ook verwijderd, tenzij de bezoeker in de tussentijd opnieuw een gesprek is aangegaan, hoewel hun oudere berichten wel worden verwijderd.

      Als alternatief kunt u op verzoek uw eigen bewaartermijn instellen.

      Elke gebruiker kan de verwijdering van gebruiksgegevens aanvragen door contact op te nemen met support. Lees meer over onze privacy-instellingen in onze Web1on1 - Privacy policy.

      Bedrijfscontinuïteit en noodherstel

      Wij maken een back-up van al onze kritieke activa en proberen regelmatig de back-up te herstellen om een snel herstel te garanderen in geval van een ramp. Al onze back-ups zijn versleuteld.

      Toezicht op de beveiliging van applicaties

      • Wij gebruiken een oplossing voor beveiligingsbewaking om zicht te krijgen op de beveiliging van onze toepassingen, aanvallen te identificeren en snel te reageren op een datalek.

      • Wij gebruiken technologieën om uitzonderingen en logs te controleren en anomalieën in onze toepassingen op te sporen.

      • Wij verzamelen en bewaren logboeken om een controlespoor van de activiteiten van onze toepassingen te bieden.

      • We gebruiken monitoring zoals open tracing in onze microservices.

      • Wij gebruiken telemetrie in onze client-side toepassingen om de prestaties te controleren en te verbeteren.

      Beveiliging van toepassingen

      • We gebruiken beveiligingsautomatiseringsmogelijkheden die automatisch bedreigingen detecteren en erop reageren die gericht zijn op onze apps.

      • We volgen best practices en kaders op het gebied van beveiliging (OWASP Top 10, SANS Top 25) bij het ontwikkelen van technische oplossingen.

      Verantwoorde openbaarmaking

      We moedigen iedereen die verantwoordelijke openbaarmaking toepast en zich houdt aan ons beleid en onze servicevoorwaarden aan om deel te nemen aan ons bug bounty-programma.

      Vermijd geautomatiseerde tests en voer alleen veiligheidstests uit met uw eigen gegevens. Maak geen informatie over de kwetsbaarheden bekend totdat we ze hebben verholpen. Beloningen zijn afhankelijk van de ernst van de gemelde kwetsbaarheid.

      U kunt kwetsbaarheden melden door contact op te nemen met security@web1on1.chat. Voeg een proof of concept toe. We zullen zo snel mogelijk reageren op uw inzending.

      Dekking

      • *.web1on1.chat

      Uitsluitingen

      • https://developers.web1on1.chat/webwidget

      • https://status.web1on1.chat/

      Geaccepteerde kwetsbaarheden zijn de volgende:

      • Cross-Site Scripting (XSS)

      • Open redirect

      • Cross-site Request Forgery (CSRF)

      • Command/File/URL inclusion

      • Authentication issues

      • Code execution

      • Code or database injections

      Dit bug bounty programma bevat NIET:

      • Logout CSRF

      • Account/email opsommingen

      • Denial of Service (DoS)

      • Aanvallen die de betrouwbaarheid/integriteit van ons bedrijf kunnen schaden

      • Spam aanvallen

      • Clickjacking op pagina's zonder authenticatie en/of gevoelige statuswijzigingen

      • Gemengde inhoud waarschuwingen

      • Gebrek aan DNSSEC

      • Inhoud spoofing / tekstinjectie

      • Timing aanvallen

      • Social engineering

      • Phishing

      • Onveilige cookies voor niet-gevoelige cookies of cookies van derden

      • Kwetsbaarheden die een zeer onwaarschijnlijke gebruikersinteractie vereisen

      • Exploits die fysieke toegang tot de machine van een gebruiker vereisen

      Gebruikersbescherming

      Bescherming tegen accountovername

      Wij beschermen onze gebruikers tegen datalekken door brute force attacks te controleren en te blokkeren.

      Single sign-on

      Single sign-on (SSO) is beschikbaar via uw Google-account. Andere identiteitsproviders worden ondersteund als een add-on voor onze zakelijke klanten.

      Rolgebaseerde toegangscontrole

      Rol-Based access control (RBAC) wordt aangeboden op al onze accounts en stelt onze gebruikers in staat rollen en machtigingen toe te wijzen.

      Conformiteit

      GDPR

      Wij voldoen aan de General Data Protection Regulation (GDPR) van de EU en de GDPR van het Verenigd Koninkrijk. Het doel van GDPR is om de privégegevens van EU-burgers te beschermen en hen meer controle te geven over hun persoonlijke gegevens. Lees meer over onze GDPR conformiteit.

      Betalingsinformatie

      Alle verwerking van betaalmiddelen is veilig uitbesteed aan Stripe, dat gecertificeerd is als PCI Level 1 Service Provider. Wij verzamelen geen betalingsinformatie en zijn daarom niet onderworpen aan PCI-verplichtingen.