Security
Visma | Raet levert u een zo veilig mogelijke dienst door over de hele linie de verantwoordelijkheid voor de beveiliging van systemen en gegevens te nemen. Onze visie is vastgelegd in het Visma | Raet Informatiebeveiligingsbeleid, dat is opgesteld volgens de internationale norm ISO27001.
De beveiliging van onze HR en payroll systemen
Met onze systemen heeft u de mogelijkheid om veel beveiligingsmaatregelen aan te passen aan uw eigen beveiligingsbeleid:
- Unieke gebruikersnamen waarmee relevante activiteiten in Youforce direct tot op persoonsniveau herleidbaar zijn.
- Beheersing van het aantal foutieve inlogpogingen.
- Uitgebreide configuratie van wachtwoorden.
- Mogelijkheden voor multi-factor authenticatie.
- Wachtwoorden worden altijd versleuteld opgeslagen.
Bij het ontwikkelen en beheren van onze software hanteren wij best practices, zoals:
ISO27001/ ISO27002: de ISO-standaard voor informatiebeveiligingssystemen.
Visma Security Program (VSP): Visma standaarden voor het veilig ontwikkelen van software. Bekijk de website van Visma voor meer informatie.
Documentatie van het Nationaal Cyber Security Centrum: ICT-beveiligingsrichtlijnen voor webapplicaties.
OWASP top 10: De tien grootste beveiligingsrisico’s voor webapplicaties door het Open Web Application Security Project (OWASP).
Microsoft SDL and the CWE/SANS Top 25: de door Microsoft samengestelde lijst van de 25 meest gevaarlijke programmeerfouten en kwetsbaarheden bij softwareontwikkeling.
Toegang tot onze systemen
U heeft alleen toegang tot uw gegevens met een geldige gebruikersnaam, wachtwoord en multi-factor authenticatie. Aangeraden wordt ook om gebruik te maken van Single Sign-On (SSO). Door gebruik te maken van een SSL/TLS versleutelde verbinding, wordt uw data tijdens transport beveiligd. Na aanmelding krijgt u toegang tot de functionaliteit waarvoor u gemachtigd bent. Zo kunnen managers, medewerkers, HR-medewerkers en beheerders andere rechten hebben.
Monitoren van de beveiliging
De veiligheid van uw data wordt 24 uur per dag, 7 dagen per week, actief gemonitord. Hiervoor werken we samen met specialisten in de markt, en vertrouwen we op onze intrusion-detectionsystemen. Om ook achteraf te kunnen vaststellen wat er met uw informatie is gebeurd, zorgen wij ervoor dat:
- toegang tot systemen, systeemgebruik en systeemfouten worden vastgelegd. Voor alle gebeurtenissen leggen wij altijd gebruikersnaam, datum, tijdstip en de gebeurtenis vast.
- de logging wordt bewaard voor forensisch onderzoek.
- de logging zodanig is vastgelegd dat verwijderen of aanpassen van gelogde gegevens niet mogelijk is.
- ook de wijzigingen op systemen en componenten (o.a. firewalls, routers, netwerk switches) worden gelogd.
Beveiliging incidenten beheren
We zien toe op de strikte navolging van de beveiligingsmaatregelen. Afwijkingen van de maatregelen worden gedetecteerd, onderzocht en geclassificeerd. Inbreuk op de beveiligingsmaatregelen registreren wij. Op basis van incidenten en de registratie nemen we aanvullende beveiligingsmaatregelen.
Meldingen kwetsbaarheden
Visma | Raet neemt de veiligheid van klantdata en het veilig gebruik van onze Saas toepassingen uitermate serieus en bewaakt de veiligheid actief. Om ook gebruikers van onze systemen de mogelijkheid te geven hier actief aan bij te dragen is het mogelijk om meldingen van misbruik of vermeende zwakke plekken in de beveiliging direct te melden aan onze beveiligingsmedewerkers.
Zie onze Visma responsible disclosure pagina.
We bieden 2 mogelijkheden om hiervan melding te doen:
1. Ons officiële e-mail adres security@visma.com. De incidenten worden onderzocht door een security analist voordat ze met het betreffende ontwikkelteam afgestemd worden. Voor het versleutelen van de e-mail kan gebruik gemaakt worden van de PGP sleutel zoals op de Visma responsible disclosure pagina weergegeven.
2. Het Visma Responsible Disclosure Program is ook beschikbaar via Intigriti.
Visma | Raet verzoekt bij vermeende kwetsbaarheden altijd gebruik te maken van de informatie op deze pagina. Meldingen of openbaar maken van informatie via sociale media wordt ten stelligste afgeraden om mogelijke risico’s voor betrokkenen zo beperkt mogelijk te houden.
Certificering en toetsing
De kwaliteit, veiligheid en privacy van onze software en diensten wordt aangetoond op basis van verschillende audits en certificeringen.
ISO27001 en ISO9001 certificaat
Visma | Raet heeft het Informatiebeveiligingsmanagementsysteem (ISMS) en het kwaliteitsmanagementsysteem gecertificeerd conform de internationale ISO27001 en ISO9001 normen voor "Ontwikkelen, leveren en implementeren van SaaS-producten HR diensten en inkomensberekening voor HR- en salarisprocessen.”.
ISAE3402 type II rapport
Youforce
Visma | Raet heeft een ISAE 3402 type II assurance-rapport van een onafhankelijk auditor voor “De werking van Raet beheersmaatregelen met betrekking tot HR, Payroll, Pensioen Excasso en BPO Services”. Dit rapport heeft betrekking op de Youforce producten gerelateerd aan de jaarrekening controle en is voor Visma | Raet klanten beschikbaar op basis van een geheimhoudingsverklaring. Stuur een e-mail naar isae3402.raet@visma.com als je het rapport wilt ontvangen.
Penetratietest
We toetsen de infrastructuur en software minimaal jaarlijks op kwetsbaarheden en daarnaast bij grote functionele of technische wijzigingen. Dit doen we deels zelf, maar dit wordt daarnaast ook gedaan door een hiervoor gekwalificeerde externe organisatie. Hun bevindingen worden vervolgens geclassificeerd en opgelost.
Continuïteit
Om storingen door een technische oorzaak te voorkomen, leveren we onze diensten vanuit storingongevoelige, dubbel uitgevoerde omgevingen op meerdere locaties. Dit betekent dat bij het uitvallen van een component de taken automatisch worden overgenomen.
Bij calamiteiten kan Visma | Raet de productieomgevingen relatief snel aanpassen en overgaan naar gespiegelde uitwijklocaties. Om historische data veilig te stellen, worden er dagelijks, wekelijks en maandelijks back-ups gemaakt van de systemen en data. Deze worden van de productie gescheiden bewaard . De back-up logs worden gecontroleerd en mogelijke problemen gecorrigeerd. Deze back-up voorziening is bedoeld voor het herstel van systemen bij een calamiteit en heeft niet als doel data van individuele klanten te archiveren.
Calamiteitenplan
Onze continuïteitsplanning richt zich op de voortgang van alle activiteiten, zowel de SaaS-omgevingen als de ondersteuning vanuit de Service Desk. Verder zorgen we dat we onze eigen bedrijfsvoering bij een calamiteit kunnen garanderen met behulp van business-recoveryplannen. De technische aspecten van een uitwijk testen we periodiek.
Leveranciers
Ook met leveranciers hebben we, waar relevant, afspraken gemaakt over continuïteit van de dienstverlening.
Blijf op de hoogte!
Meld je aan voor onze nieuwsbrief en ontvang nieuwe artikelen en updates van Visma | Raet.
Aanmelden nieuwsbrief