photo-1504639725590-34d0984388bd.jpg

Security

KorènCRM neemt de volgende technische en organisatorische beveiligingsmaatregelen ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige verwerking.

Datacenter & hosting

KorènCRM wordt uitsluitend gehost vanuit datacentra op private dedicated servers die zich in Nederland bevinden en welke uitsluitend via de eerder genoemde beveiligde procedures te benaderen zijn. Korèn heeft gekozen voor de datacentra van TransIP en deze is hiermee sub-bewerker van de klantdata. TransIP heeft de beschikking over een eigen ruimte in datacenter DCG (The Datacenter Group Amsterdam). De fysieke locatie is Kabelweg 48a, 1014 BB Amsterdam. Het datacentrum is ISO 9001, ISO 27001, ISO 14001, NEN 7510 en PCI DDS gecertificeerd. Daarmee zijn kwaliteitsmanagement, beveiliging en milieumanagement optimaal gewaarborgd. De servers zelf bevinden zich in een afgesloten ruimte, waar slechts een select aantal medewerkers toegang toe hebben. Het datacenter beschikt over 24/7 on-site bewaking. Biometrische identificatie en een HD CCTV netwerk waarborgen dat de server veilig staat. Brandveiligheid wordt gegarandeerd door een VESDA detectiesysteem in combinatie met een Argonite blussysteem. Alle racks in het datacentrum zijn voorzien van redundante netwerkpoorten. Een Uninterruptible Power Supply (UPS) en twee SDMO NSA diesel generatoren zorgen ervoor dat zelfs bij stroomuitval het datacenter volledig operationeel blijft. Er worden iedere 4 uur offsite backups van de data gemaakt naar een datacenter op een andere locatie. De datacentra vallen onder Nederlandse wet- en regelgeving. Gebruikers kunnen namens de Verantwoordelijke alleen toegang krijgen tot de software via een beveiligde SSL-verbinding. Hierdoor wordt de mogelijkheid van ‘afluisteren’ door derden geëlimineerd. Gebruikers kunnen enkel inloggen via een twee-weg authenticatie welke gebruik maakt van de e-mailaccount van de gebruiker. Derden zouden zowel de logingegevens van de KorènCRM gebruiker als de accountgegevens van de e-mail account van gebruiker moeten bemachtigen.

Isolatie van gegevens

De gegevens van de Verantwoordelijke zijn binnen de infrastructuur van Korèn geïsoleerd. De database waar de gegevens in worden opgeslagen is niet direct via internet toegankelijk en kan alleen via de KorènCRM software worden benaderd. De documenten en dossiers in de software zijn niet direct toegankelijk, waardoor eventuele virussen op het netwerk van een gebruiker niet zelfstandig kunnen propageren naar de desbetreffende documenten in de software.

Virussen

De Verantwoordelijke dient zelf zorg te dragen voor een toereikende virusscanner op haar eigen systeem. Korèn kan niet voorkomen dat door het gebruik van een geïnfecteerd systeem, gegevens worden blootgesteld aan derden, of dat bestanden welke in KorènCRM worden opgeslagen, het virus bij zich dragen. Korèn draagt er zorg voor dat eventuele virussen afkomstig uit het netwerk van de gebruiker, niet kunnen propageren binnen de instantie van KorènCRM, of tussen verschillende instanties van KorènCRM.

Medewerkers van Korèn

Alle medewerkers van Korèn die toegang hebben tot vertrouwelijke gegevens zijn contractueel verplicht om correct en vertrouwelijk met alle gegevens van de Verantwoordelijke om te gaan. Alle medewerkers als ook eventueel ingehuurde krachten hebben een geheimhoudingsverklaring getekend. Dit betreft alle communicatie met de Verantwoordelijke en indien van toepassing, de persoonsgegevens van de klanten in de database. Een beperkt aantal medewerkers van Korèn heeft toegang tot de software en de persoonsgegevens van klanten. Deze toegang wordt uitsluitend gebruikt voor het leveren van support en onderhoud aan de software en servers en uitdrukkelijk niet voor het wijzigen van gegevens.

Medewerkers kunnen alleen toegang krijgen tot de software vanuit de werklocaties via een beveiligde digitale sleutel. Hierdoor is zelfs in het geval dat het wachtwoord bij derden terecht komt, niet mogelijk dat hier direct misbruik van gemaakt wordt; het wachtwoord geeft alleen op de werklocatie en met gelijktijdig gebruik van de unieke digitale sleutel toegang tot het systeem. De computers waarmee ingelogd wordt om onderhoud en support te verlenen zijn geheel versleuteld en kunnen niet worden opgestart zonder two-factor authenticatie.

Extra kosten

Extra technische en organisatorische maatregelen op maat zijn mogelijk maar daar zijn extra kosten aan verbonden die door de verantwoordelijke, de klant gedragen moeten worden.