Veiligheidsmaatregelen
itslearning de in deze bijlage beschreven beveiligingsmaatregelen heeft geïmplementeerd, zowel organisatorische als technische maatregelen, in overeenstemming met de industrienormen.
itslearning kan dergelijke beveiligingsmaatregelen van tijd tot tijd bijwerken of Wijzigen bijwerken, op voorwaarde dat dergelijke updates en wijzigingen niet resulteren in een verslechtering van de algehele beveiliging van de services.
Organisatorische maatregelen
Het managementteam van itslearning is actief betrokken bij de ontwikkeling van een Informatie beveiligingscultuur binnen het bedrijf via een doorlopend bewustmakingsprogramma, en heeft een managementstructuur opgezet om de implementatie van Informatie beveiliging in zijn diensten te beheren met duidelijke rollen en verantwoordelijkheden binnen de organisatie.
Bedrijfsmanagement
Er bestaan meerdere best-practice processen en beleidsregels om de best mogelijke vertrouwelijkheid, beschikbaarheid en integriteit van het platform te garanderen. Dit beleid is opgebouwd rond strenge eisen op een aantal gebieden, zoals;
- Informatie beveiliging
- Beveiliging hostingomgeving
- Toegang door derden
- Capaciteitsregeling
- Beheer van veranderingen
- Back-up en herstel
- Toegangscontrole
- Documentatie
- Registratie en bewaking
- Reactie op incidenten
- Beheer van releases
Beveiligingsteam
itslearning hebben een team van beveiligingsexperts die verantwoordelijk zijn voor de algehele Informatie beveiliging van de organisatie. Zij zijn onder andere verantwoordelijk voor;
- Coördinatie van veiligheidsgerelateerde Taken
- Bedrijfsomgeving, netwerk en apparaten beveiligen
- Beveiliging van de applicatie (in-house penetratietests en applicatie-audits)
- Monitoren en loggen
- Beheer van processen en Beleid (rampherstel, patchbeheer enz.)
- Training en opleiding van werknemers op het gebied van Informatie beveiliging
- Coördinatie van beveiligingsaudits door derden en follow-up van bevindingen
- Code controleren op mogelijke zwakke plekken in de beveiliging.
Rollen en verantwoordelijkheden
Alle werknemers hebben een duidelijke rol binnen het bedrijf en krijgen alleen toegang tot gegevens die nodig zijn voor hun specifieke rol. Een beperkt aantal medewerkers heeft administratieve toegang tot onze productieomgeving en hun rechten zijn sterk gereguleerd en worden op gezette tijden herzien. Elke grote wijziging aan de applicatie, omgeving of hardware van de productieomgeving wordt altijd geverifieerd door minimaal twee personen.
Personeelsveiligheid
Alle itslearning personeelsleden zijn verplicht om een strikte geheimhoudingsovereenkomst aan te gaan. Alle Medewerker moeten zich houden aan het bedrijfsbeleid met betrekking tot vertrouwelijkheid, bedrijfsethiek en professionele normen. Medewerker die betrokken zijn bij het beveiligen, verwerken en behandelen van klantgegevens moeten een training volgen die geschikt is voor hun rol.
Toegangscontrole
Er gelden strenge eisen voor elke werknemer, ingehuurde consultant of derde partij die toegang vraagt tot de informatiesystemen van itslearning . Toegangscontrole wordt geregeld door een authenticatiesysteem. De Gebruiker is verplicht om:
- Goedkeuring van het management hebben voor de gevraagde toegang
- Zorg voor sterke wachtwoorden die in overeenstemming zijn met de corporate Wachtwoord Beleid
- Verwissel regelmatig hun Wachtwoord
- Documenteren dat de gevraagde toegang vereist is voor hun specifieke rol/Taak
- Zorg ervoor dat het gebruikte apparaat (pc, tablet, mobiele telefoon) goed beveiligd is en vergrendeld is als Gebruiker niet aanwezig is.
itslearning zorgt voor automatische tijdelijke blokkering van de Gebruiker terminal als deze inactief blijft.
Interne processen en beleidsregels voor gegevenstoegang zijn ontworpen om te voorkomen dat onbevoegde personen en/of systemen toegang krijgen tot systemen die worden gebruikt om persoonsgegevens te verwerken. Alle wijzigingen in gegevens worden vastgelegd op Maken om een controlespoor te creëren voor verantwoording.
Fysieke beveiliging
- Datacenters
itslearning beheert al zijn klantenservices vanuit datacenters die gescheiden zijn van de werkruimte van het hoofdkantoor. De toegang tot datacenters wordt streng gecontroleerd en beveiligd om de kans op onbevoegde toegang, brand, overstroming of andere schade aan de fysieke omgeving te verkleinen. Fysieke toegang tot datacenters is beperkt tot een klein aantal werknemers binnen itslearning en/of haar hosting centre providers. Strikte veiligheidsmachtigingen zijn vereist en moeten worden goedgekeurd door het beveiligingsmanagement voordat een datacenter wordt betreden.
- Kantoorwerkruimte
Alle kantoorwerkruimte van itslearning wordt beschermd door toegangscontrole. Alleen uitgenodigde bezoekers en werknemers hebben toegang tot de itslearning werkruimte. Er zijn meerdere maatregelen getroffen om veiligheidsproblemen als gevolg van diefstal of verlies van computerapparatuur te voorkomen. Dit omvat beveiligingsrichtlijnen en een beleid voor aanvaardbaar gebruik, verificatiesystemen en versleuteling van opslageenheden indien van toepassing.
Technische maatregelen - systeembeschikbaarheid
itslearning industriestandaardmaatregelen heeft geïmplementeerd om ervoor te zorgen dat persoonlijke gegevens worden beschermd tegen onopzettelijke vernietiging of verlies, waaronder:
- infrastructuurredundantie (inclusief volledige redundantie van netwerk, stroomvoorziening, koeling, database, server en opslag)
- De back-up wordt opgeslagen op een alternatieve site en is beschikbaar voor herstel in geval van storing van het primaire systeem.
- passende bescherming tegen denial-of-service
- 365/24/7 personeel in dienst om te controleren en problemen op te lossen
Gegevensbescherming
itslearning heeft een reeks standaardmaatregelen geïmplementeerd om te voorkomen dat persoonlijke gegevens tijdens het transport of in rusttoestand door onbevoegden worden Lezen gekopieerd, gewijzigd of verwijderd.
Dit wordt bereikt door verschillende standaardmaatregelen in de sector, waaronder:
- Gebruik van gelaagde firewalls, VPN's en encryptietechnologieën om gateways en pijplijnen te beschermen
- HTTPS-encryptie (ook wel SSL- of TLS-verbinding genoemd) met veilige cryptografische sleutels
- Externe toegang tot datacenters wordt beschermd met een aantal lagen van netwerkbeveiliging
- Bepaalde gevoelige klantgegevens in rust worden beschermd door encryptie en/of hashing (pseudonimisering)
- Elke buiten gebruik gestelde schijf wordt onderworpen aan een schijfverwijderingsproces volgens onze "Schijfverwijdering Beleid", en de buitengebruikstelling wordt bijgehouden door het serienummer van de schijf.
- Regelmatige beveiligingsaudits door derden (minimaal jaarlijks), inclusief penetratietests, die beschikbaar worden gesteld aan klanten
Datacenters
itslearning gebruikt alleen ultramoderne datacenters, met 365/24/7 opsite beveiligings- en bewakingsactiviteiten. De datacenters zijn ondergebracht in moderne, brandveilige faciliteiten die elektronische toegang met keycards vereisen, met alarmen die gekoppeld zijn aan de beveiliging opsite . Alleen bevoegde werknemers en aannemers mogen elektronische toegang met keycards aanvragen tot deze faciliteiten. Alleen bevoegde werknemers en aannemers mogen elektronische sleutelkaarttoegang tot deze faciliteiten aanvragen.
Systeemontwikkeling
Het itslearning platform is gebaseerd op industriestandaard technologieën van bekende leveranciers, waaronder Microsoft, Linux, Dell, Fujitsu, Amazon, Cloudflare, F5 en Cisco. Systemen worden periodiek gepatcht naar de nieuwste versie om ervoor te zorgen dat de nieuwste beveiligingsverbeteringen worden toegepast. Het platform wordt over het algemeen meerdere keren per kwartaal bijgewerkt en bugfixes worden snel vrijgegeven op basis van prioriteit, na strenge kwaliteitscontroles.
itslearning maatregelen heeft genomen om het risico te minimaliseren dat code in haar platform wordt geïntroduceerd die de veiligheid of integriteit van de verwerkte klantendiensten en persoonsgegevens kan aantasten.
De maatregelen omvatten:
- Regelmatige training van Medewerker
- Codebeoordeling door beveiligingsarchitecten
- QA-proces voor rigoureus testen van wijzigingen voorafgaand aan de implementatie
Sub-processorbeveiliging
Bij het in dienst nemen van subverwerkers voert itslearning een audit uit van de beveiligings- en privacy praktijken van subverwerkers om ervoor te zorgen dat subverwerkers een niveau van beveiliging en privacy bieden dat geschikt is voor hun toegang tot gegevens en de reikwijdte van de diensten die zij moeten leveren. itslearning voert regelmatig beveiligingsaudits uit van de praktijken en levering voor bestaande subverwerkers.