Inloggen

Security

Grub Kennisbank

Inhoud

Security

Als klant neem jij data security en privacy erg serieus, we begrijpen daarom dat onze security belangrijk voor je is. We willen je niet te veel technische details met je delen over onze security toepassing (en mensen van informatie willen zien waartegen we je beschermen), om deze reden hebben we hieronder de algemene informatie opgenomen waarmee wij jou het vertrouwen geven in de manier waarop wij de data beveiligen.

Datacenter Security

De applicatie Grub wordt gehost op AWS. De datacenters van AWS worden beveiligd door gebruik te maken van de laatste standaarden in de markt. Voor meer informatie klik hier.

Protectie tegen dataverlies

De applicatie Grub heeft te maken met meerdere vormen van data. Om deze data te kunnen beschermen tegen dataverlies is het volgende ingericht:

  • Alle databases zijn van elkaar gescheiden, om corruptie en kruising van data te voorkomen. We hebben meerdere lagen ingebouwd waardoor klantomgeving worden gescheiden.

  • Van de data wordt elke dag een back-up gemaakt. In combinatie met de systeem logging kunnen we elk moment tot 10 dagen herstellen.

  • Bestanden worden opgeslagen inclusief versiebeheer, waardoor we bestanden terug kunnen halen inclusief verouderde versies.

  • Een data recovery plan. Deze kan opgevraagd worden door een mail te sturen naar services@grubvooraccountants.nl

Applicatie level security

Om de applicatie Grub te kunnen benaderen heeft de eindgebruiker de URL nodig. Deze URL geeft toegang tot de applicatie, dit noemen we ook wel ‘Application level’. De ‘application level’ staat het dichts bij de klant en moet daarom ook goed beveiligd worden. De volgende maatregelen zijn genomen om de ‘Application level’ te beveiligen:

  • Klantomgevingen zijn in de ‘application layer’ van elkaar gescheiden en beveiligd met de hoogste standaarden beschikbaar gesteld door onze hosting provider.

  • Klantomgeving wachtwoorden worden gehasht. Onze eigen werknemers hebben geen toegang tot deze wachtwoorden. Als jij je wachtwoord kwijtraakt dan kunnen we geen nieuwe aanleveren, maar moet je zelf je wachtwoord resetten.

  • Alle inlogpagina’s geven gegevens door via TLS 1.2.

  • De gehele applicatie is encrypt met het protocol TLS 1.2.

  • We voeren het hele jaar door externe security penetratietests door met een leverancier. De tests omvatten serverpenetratietests op hoog niveau en diepgaande tests voor kwetsbaarheden in de applicatie.
Reports en additionele informatie kan gedeeld worden, neem hiervoor contact op via services@grubvooraccountants.nl.

Third parties

Persoonlijke data worden gedeeld met derde partijen om de hieronder beschreven processen te faciliteren. De persoonlijke data die gedeeld worden zijn; Cliënt informatie en Informatie over cliënten van cliënt.

  • Facturatie: Voor de facturatie gebruiken we mogelijk de NAW- en bank-gegevens van de cliënt.

  • Relatie beheer/support: Om de relatie met de cliënt te beheren en om support te kunnen leveren gebruiken we mogelijk NAW-gegevens van onze cliënt en informatie die is ingevoerd in de desbetreffende omgeving van de cliënt. Deze data worden alleen gebruikt na toestemming van de contactpersoon van de cliënt.

  • Ophalen van cliënt informatie t.b.v. Wwft onderzoek: Om de hoofdservice van Grub aan te kunnen bieden dienen we KvK gegevens van cliënten van onze cliënt te delen met een derde partij. Deze partij levert de data aan die het mogelijk maakt om de structuur op te bouwen en de partijen uit de structuur te reviewen.

  • Hosten van de applicatie: De applicatie wordt gehost op het platform van AWS. De cliënt data en de informatie die is ingevoerd in de desbetreffende omgeving van de cliënt worden opgeslagen op de servers van AWS deze zijn beveiligd volgende de geldende wetgeving in Nederland en Europa. Voor meer informatie klik hier.
Voor meer informatie, security reports en eventuele contracten met derde partijen neem contact op via services@grubvooraccountants.nl

SOC II compliant PCI DSS certificatie

De leverancier van creditcardverwerking van CW gebruikt beveiligingsmaatregelen om uw informatie te beschermen, zowel tijdens de transactie als nadat deze is voltooid. Onze leverancier is gecertificeerd als in overeenstemming met de beveiligingsinitiatieven van kaartverenigingen, waaronder de Visa Cardholder Information Security and Compliance (CISP), MasterCard Site Data Protection Program (SDP) en Discovery Information Security and Compliance (DISC). We voeren ook jaarlijkse SOC II-audits uit.

Op verzoek verstrekken wij ons SOC II-rapport. Klik op ‘Rapport aanvragen’ en voeg eventuele aanvullende vragen toe.

Intern protocol en onderwijs

Naast de applicatie gebruiken wij uw data ook om interne processen te faciliteren. Hierbij kun je denken aan support leveren, factureren en relatie beheer. Bij deze interne processen zijn medewerkers van ComplianceWise betrokken. Om de data van onze cliënten te beschermen nemen we de volgende maatregelen:

  • We trainen doorlopend onze werknemers op de beste security toepassing, zoals het identificeren phising en hackers.

  • Werknemers in teams die toegang hebben tot klantdata (zoals onze support en ontwikkelaars) ondergaan criminele historie en krediet achtergrond checks voordat ze worden aangenomen.

  • Alle werknemers tekenen een privacybeschermingsovereenkomst waarin hun verantwoordelijkheid voor de bescherming van klantdata wordt uiteengezet.
  • Om ons bedrijf te beschermen tegen verschillende soorten verliezen, heeft CW een uitgebreid verzekeringsprogramma opgezet. Dekking omvat, maar is niet exclusief: Cyberincidenten, data inbreuk, cyber bedrijfsonderbreking, hacker schade, cyber afpersing.

Onszelf tegen jou beschermen

Ja, dat heb je goed gehoord. We kunnen onszelf maximaal beveiligen, maar als je computer wordt gecompromitteerd en iemand toegang krijgt tot je CW-account, dan is dat voor ons allebei niet goed.

  • We controleren en zullen accounts automatisch opschorten op tekenen van onregelmatige of verdachte inlogactiviteit.

  • Bepaalde wijzigingen in je account, zoals je wachtwoord, zullen e-mailnotificaties activeren.

  • We monitoren accounts op tekenen van misbruik.

  • Naast onze schaalbare algoritmen gebruiken we menselijke beoordelaars, die controleren op afwijkende account- en e-mailactiviteit.

  • We bieden de mogelijkheid om gelaagde toegangsniveaus binnen accounts in te stellen.
  • We stellen 2-Factor Authentication beschikbaar voor onze klanten en bieden korting op accounts die gebruikmaken van deze functie.

Investeren in jouw privacy

ComplianceWise blijft zich constant ontwikkelen op het gebied van data beveilig en privacy, dit doen wij op de volgende manieren:

  • We hebben een advocatenkantoor in Nederland om te overleggen over EU-privacy kwesties.

  • Het advocatenkantoor werkt samen met onze technische om ervoor te zorgen dat onze producten en functies voldoen aan de toepasselijke internationale spam- en privacywetten.

  • We ondergaan jaarlijks een gecertificeerde pentest.

Programma voor verantwoorde openbaarmaking

CW doet er alles aan om de veiligheid van onze diensten en klantinformatie te waarborgen. Als onderdeel van deze toewijding moedigen we beveiligingsonderzoekers aan om contact met ons op te nemen om mogelijke zwakke punten te melden die zijn geïdentificeerd in producten en systemen. Dit programma is niet bedoeld als een openbaar programma voor bugbounty’s en we bieden geen beloning of compensatie aan voor het indienen van mogelijke problemen. We waarderen uw inzet om de CW-diensten te verbeteren.

Richtlijnen voor verantwoorde openbaarmaking

Beveiligingsonderzoekers zullen mogelijke zwakke punten bekendmaken in overeenstemming met de volgende richtlijnen:

Do’s

  • Deel het beveiligingsprobleem met ons voordat je het openbaar maakt (bijvoorbeeld op prikborden, mailinglijsten of andere forums).
  • Wacht totdat we je een melding geven dat de kwetsbaarheid is opgelost voordat je deze aan derden bekendmaakt. We zijn gefocust op de beveiliging van onze klanten en onze systemen, en sommige kwetsbaarheden hebben meer tijd nodig dan andere om te verhelpen.
  • Geef een duidelijke, beknopte beschrijving van de stappen die nodig zijn om een door u ingediende kwetsbaarheid te reproduceren.
  • Geef de volledige details met betrekking tot het beveiligingsprobleem, inclusief proof-of-concept (POC) URL, evenals de details van het systeem of de systemen waarop tests zijn uitgevoerd.

Don’ts

  • Veroorzaak geen schade aan Grub, zijn klanten, aandeelhouders, partners of werknemers.
  • Voer geen handelingen uit die een storing kunnen veroorzaken of de diensten van Grub kunnen stoppen.
  • Neem geen deel aan illegale activiteiten of handelingen die in strijd zijn met internationale wetten of voorschriften, of federale of staatswetten of voorschriften.
  • Bewaar, deel, compromitteer of vernietig geen Grub-gegevens of klantgegevens tijdens het uitvoeren van onderzoeksactiviteiten. Als persoonlijk identificeerbare informatie (PII) wordt aangetroffen, moet je stoppen en Grub onmiddellijk op de hoogte stellen.
  • Voer geen frauduleuze activiteiten uit of voltooi geen frauduleuze financiële transacties als onderdeel van je onderzoek.

Out-of-scope

De volgende soorten kwetsbaarheden vallen buiten het bereik van dit programma:

  • Phishing
  • Social engineering
  • Fysieke beveiligingsbeoordelingen
  • Elke vorm van denial of service (DoS)-aanval
Inloggen?
Grub Services Portal