Beveiliging

Onze missie

Het is SafetyCulture’s missie om bedrijven over de hele wereld te helpen veiligere en kwalitatief betere werkomgevingen te realiseren door middel van innovatieve, mobiele producten. We realiseren onze missie via onze vlaggenschip Software-as-Service (SaaS) producten zoals: SafetyCulture (iAuditor) en EdApp. Onze producten worden gebruikt door meer dan 75.000 bedrijven wereldwijd in een verscheidenheid aan sectoren en gebruikssituaties.

We zijn er trots op dat SafetyCulture gezien wordt als een wereldleider in producten die veiligheid en kwaliteit bevorderen en we weten hoe belangrijk onze rol is om onze klanten te helpen hun dagelijkse activiteiten te verbeteren.

We zien onze benadering van cyberbeveiliging als een belangrijke pijler om onze status als leider op dit vlak te behouden en deze inhoud geeft een overzicht van hoe we cyberbeveiliging als organisatie benaderen.

Overzicht

SafetyCulture beschikt over een actief, robuust en continu verbeterend cyberbeveiligingsprogramma om ervoor te zorgen dat onze organisatie en de producten die we leveren veilig zijn. Het cyberbeveiligingsprogramma van SafetyCulture maakt gebruik van een aantal controles op technisch en operationeel niveaul om ervoor te zorgen dat we een effectieve, diepgaande aanpak hebben om ons te beschermen tegen cyberaanvallen en om de gegevens te beveiligen die door onze SaaS-toepassingen worden verwerkt.

De belangrijkste kenmerken zijn onder meer:

  • Een beveiligingsprogramma dat is afgestemd op de best practice-normen in de sector, inclusief het gebruik van cloudplatforms die voldoen aan vertrouwde beveiligingsbenchmarks, waaronder die van ISO27001 en SOC 2.
  • Een focus om de grondbeginselen correct te krijgen, en erkennen dat de basisprincipes van beveiliging het meest cruciaal blijven. Dit houdt ondermeer in:
    • Onze medewerkers opleiden over het belang van beveiliging.
    • Beschikken over een toegewijd beveiligingsteam dat verantwoordelijk is voor het beschermen van onze organisatie tegen actuele en dreigende bedreigingen voor ons bedrijf en de gegevens die klanten ons toevertrouwen.
    • Het gebruik van robuuste mechanismen om ervoor te zorgen dat de toegang tot de systemen en klantgegevens van SafetyCulture zorgvuldig wordt gecontroleerd.
    • Het versleutelen van de klantgegevens die we bewaren (zowel in transit als in rust).
    • Ervoor zorgen dat we zo snel mogelijk patches installeren binnen onze IT-omgeving en producten om de kans dat cyberaanvallers gebruik maken van eventuele kwetsbaarheden, tot een minimum te beperken.
    • Het actief bewaken en testen van onze IT-omgeving en producten op kwetsbaarheden en het met prioriteit verhelpen van eventuele problemen.
    • Over een gedefinieerd proces beschikken om effectieve ondersteuning en responses te bieden in het geval van een beveiligingsincident.
  • Het toepassen van due diligence om ervoor te zorgen dat onze serviceproviders voldoen aan de industrienormen als het gaat om beveiliging – we weten dat de veiligheid van onze partners rechtstreeks van invloed is op ons en onze klanten, dus we kiezen zeer zorgvuldig met wie we samenwerken.

De onderstaande inhoud geeft een overzicht van de verschillende onderdelen van ons beveiligingsprogramma.

Organisatorische beveiligingspraktijken

Onze benadering op het gebied van beveiliging is gericht op het afstemmen op aanbevolen best practices in erkende standaarden zoals de NIST, ISO27001- en SOC-kaders.

Beveiligingsbeheer

SafetyCulture heeft een gedocumenteerde reeks beleidsregels en procedures die onze benadering op het gebied van beveiliging als organisatie definiëren. Deze beleidslijnen en procedures worden gedeeld met al het personeel en worden minstens jaarlijks herzien en bijgewerkt (en vaker wanneer materiële wijzigingen nodig zijn) om ervoor te zorgen dat onze benadering van beveiliging actueel blijft.

We richten ons op het waarborgen van de verantwoordelijkheid op het gebied van beveiliging in ons hele bedrijf. Om dit te verwezenlijken hebben we een forum voor het beheer van informatiebeveiliging opgezet met belangrijke belanghebbenden uit de hele SafetyCulture-organisatie die regelmatig bijeenkomen om veiligheidsgerelateerde zaken te bekijken en bespreken, en om beslissingen te nemen die van invloed zijn op onze benadering op het gebied van cyberbeveiliging.

Toegang tot interne systemen en cloudplatforms

Wij zorgen ervoor dat toegang tot systemen in onze IT-omgeving, inclusief de cloudplatforms die we gebruiken, is beperkt tot medewerkers die deze toegang specifiek nodig hebben voor hun werkzaamheden.

Alle beheerderstoegang vereist multi-factor authenticatie en medewerkers die toegang hebben tot onze omgeving moeten een goedgekeurde VPN-oplossing gebruiken.

De toegangsrechten tot onze systemen worden regelmatig per medewerker beoordeeld en onmiddellijk gewijzigd. Als onderdeel van ons off-boardingproces wordt elke toegang tot systemen en diensten voor vertrekkende medewerkers ingetrokken.

Beveiliging van derden

We beoordelen zorgvuldig de beveiligingspraktijken van derden die we inschakelen – in eerste instantie en doorlopend om ervoor te zorgen dat hun praktijken voldoen aan de industrienormen en in overeenstemming zijn met ons eigen privacy- en beveiligingsbeleid en -procedures. Als een derde partij toegang nodig heeft tot onze systemen dan zorgen wij ervoor dat de toegang specifiek wordt beperkt tot het doel waarvoor ze zijn ingeschakeld.

Amazon Web Services (AWS) is een van onze belangrijkste leveranciers, en we werken met hen samen op basis van het Model voor gedeelde verantwoordelijkheid op het gebied van beveiliging en naleving, en we zorgen ervoor dat er een duidelijke definitie is van de beveiligingverantwoordelijken van elke partij. AWS is geaccrediteerd door en voldoet aan een groot aantal van de meest recente industrienormen – meer informatie is te vinden op: https://aws.amazon.com/artifact.

Voor de verwerking van financiële en creditcardgegevens gebruikt SafetyCulture meerdere partners (Chargify, eWay en Stripe) wiens beveiligingspraktijken voldoen aan de standaard voor de betaalkaartensector en gegevensbeveiliging (PCI-DSS).

Netwerkbeveiliging

SafetyCulture’s bedrijfsnetwerken worden beveiligd met firewalls. We hebben Intrusion Detection System (IDS)- en Intrusion Penetration System (IPS)-technologieën aan de perimeter die wordt geboden door speciale netwerkbeveiligingsapparaten, zodat we kwaadaardig verkeer kunnen detecteren en ons er tegen beschermen.

Voor onze cloudgebaseerde platforms gebruiken we voornamelijk Amazon Web Services (AWS) die een meerlagige strategie bieden voor bescherming tegen aanvallen van buitenaf. Op infrastructuurniveau gebruikt AWS strategieën zoals toegangscontrole op netwerkapparaten, gegevensscheiding met behulp van firewalls en virtuele privéclouds om kwaadaardig verkeer uit te filteren en gebruik te maken van uitgebreide logging en bewaking om netwerkgebaseerde aanvallen te voorkomen. Op het niveau van de toepassingen profiteren we van Cloudflare’s Web Application Firewall (WAF) en Distributed Denial of Service (DDoS) bescherming om webgebaseerde en Denial-of-Service-aanvallen tegen onze producten te voorkomen.

Logging en bewaking

SafetyCulture maakt gebruik van een gecentraliseerd logsysteem dat auditgebeurtenissen voor toegang tot toepassingen omvat. Deze logs worden 90 dagen bewaard. We gebruiken ook Amazon Elastic Load Balancing (ELB)-logboeken om servicetoegangsverzoeken bij te houden (succesvol of niet). Logboeken die opgeslagen zijn in AWS kunnen niet worden gewijzigd en de toegang is beperkt tot degenen die dit nodig hebben voor hun functievereisten.

We erkennen het belang van het regelmatig controleren van logboeken om kwaadaardige gebruikersactiviteit en potentiële kwetsbaarheden met onze producten te identificeren; we hebben geautomatiseerde bewaking die ons waarschuwt voor specifieke soorten potentieel kwaadaardige gebeurtenissen binnen onze wereldwijde infrastructuur.

Training inzake beveiligingsbewustzijn

Al het personeel van SafetyCulture nemen regelmatig deel aan trainingen met betrekking tot beveiligingsbewustzijn voor technische en niet-technische functies. Indien nodig wordt aanvullend materiaal voor beveiligheidstraining verstrekt aan individuele medewerkers om ervoor te zorgen dat ze beschikken over de juiste middelen om de specifieke veiligheidsgerichte uitdagingen van hun functie aan te kunnen.

Patching- en kwetsbaarheidsbeheer

Het patchen van onze IT-omgeving is een van de meest fundamentele maatregelen die we nemen om beveiligd te blijven tegen een mogelijke inbreuk op onze beveiliging. Om dit te realiseren:

  • We gebruiken AWS System Manager om regelmatig patches voor onze cloudgebaseerde infrastructuur te installeren.
  • We maken gebruik van Mobile Device Management (MDM)-oplossingen om ervoor te zorgen dat belangrijke patches zo snel en efficiënt mogelijk worden geïnstalleerd.
  • Onze apparaten zijn beveiligd met eindpuntbeveiligingstechnologieën om beveiligingsbedreigingen, waaronder virussen, malware-aanvallen, te detecteren en te voorkomen en om te bewaken tegen kwaadwillende activiteiten.
  • We installeren eerst patches voor de meest kritieke kwetsbaarheden, met patches die worden geïnstalleerd in onze niet-productieomgeving voor eerste tests, waarna ze snel door de IT-omgeving wordt verspreid.

Beschermen van klantgegevens

SafetyCulture neemt de beveiliging van klantgegevens uiterst serieus. We ondernemen een aantal stappen om ervoor te zorgen dat klantgegevens zorgvuldig worden beschermd.

Toegang tot gegevens beperken

SafetyCulture onderneemt een aantal maatregelen om klantgegevens te beschermen tegen ongepaste toegang of gebruik door onbevoegde personen (extern of intern). Klantgegevens worden alleen opgeslagen in onze productieomgeving, en toegang tot die gegevens door medewerkers van SafetyCulture employees is beperkt tot de medewerkers die toegang nodig hebben om hun standaardtaken uit te voeren. Toegang tot klantgegevens wordt beheerd met behulp van tools voor toegangscontrole en authenticatie (inclusief het gebruik van tweefactorauthenticatie) geleverd door Amazon Web Services en onze andere cloudpartners.

Klantgegevens worden alleen gebruikt voor doeleinden die verenigbaar zijn met het leveren van de gecontracteerde diensten, zoals het oplossen van technische ondersteuningsverzoeken. Raadpleeg voor volledige details het privacybeleid van SafetyCulture, dat hier te vinden is: https://safetyculture.com/nl/juridisch/privacybeleid/.

In het zeldzame geval dat supportmedewerkers van SafetyCulture toegang nodig hebben tot specifieke klantgegevens (over het algemeen voor probleemoplossing of ondersteuningsdoeleinden) dan zal SafetyCulture altijd toestemming van een klant moeten verkrijgen voordat zij toegang kunnen krijgen tot deze gegevens.

We slaan geen financiële gegevens van klanten op die worden gebruikt in combinatie met de facturering via het SafetyCulture-platform en onze medewerkers hebben geen directe toegang tot factureringsgegevens.

Fysieke toegang tot klantgegevens

Alle klantgegevens worden gehost op de infrastructuur van Amazon Web Services die de fysieke beveiliging van hun websites handhaaft met behulp van best practice-controles in de sector, zoals uiteengezet op hun website voor beveiliging en naleving, die hier te vinden is: https://aws.amazon.com/architecture/security-identity-compliance.

Op onze fysieke kantoorlocaties worden geen klantgegevens opgeslagen.

Versleuteling van gegevens

SafetyCulture beschikt over mechanismen om ervoor te zorgen dat de gegevens van onze klanten zowel in rust als onderweg beschermd worden. In rust worden alle klantgegevens die in systemen zijn opgeslagen, versleuteld met behulp van AES-256, met sleutels die beheerd worden via de Key Management Service van Amazon Web Services. Alle gegevens worden veilig opgeslagen en zijn onderworpen aan het beveiligingsbeleid en -procedures van AWS.

Om gegevens tijdens het transport te beschermen, gebruikt SafetyCulture Transport Layer Security (TLS) en handhaaft het een minimumnorm van TLS v1.2 door middel van cijfersleutels van 128-bit. Wij ondersteunen verbindingen met cijfersleutels tot maximaal 256-bit cvoor gebruik met een Advanced Encryption Standard (AES)-cijfer.

Back-ups van gegevens

Van de gegevens van SafetyCulture worden met regelmatige tussenpozen back-ups gemaakt naar ongelijksoortige oplossingen voor versleutelde gegevensopslag die worden geleverd door Amazon Web Services. Back-ups worden gerepliceerd naar meerdere AWS-faciliteiten binnen de regio van de klant (APAC, USA of EU).

Toegang tot gegevensback-ups is beperkt tot die specifieke medewerkers van SafetyCulture waar die toegang nodig is in het kader van hun functievereisten. Back-ups zijn versleuteld en worden opgeslagen als alleen-lezen.

Wissen en verwijdering van gegevens

Onze klantgegevens worden voornamelijk opgeslagen in, en onderworpen aan de wis- en verwijderingsprocedures van Amazon Web Services. Deze procedures omvatten een veilig proces om verlopen media logisch te wissen. De gewiste media wordt vervolgens geïnspecteerd om een succesvolle vernietiging van gegevens te garanderen.

Hardware die eigendom is van SafetyCulture en die vertrouwelijke gegevens bevat – waaronder SafetyCulture-back-ups, zijn onderworpen aan de industriestandaard voor logische gegevensvernietiging voordat ze worden gerecycleerd.

Onze producten beveiligen

We erkennen dat voor het meerendeel van de klanten hun belangrijkste ervaring met SafetyCulture plaats zal vinden via onze producten. Beveiliging vormt een belangrijk onderdeel van de manier waarop dit product wordt ontwikkeld en werkt, zoals hieronder wordt besproken.

Veilige softwareontwikkelingspraktijken

Als onderdeel van ons productontwikkelingsproces, wordt elke code- en infrastructuurwijziging beoordeeld voordat de wijziging in de productie wordt opgenomen. Deze beoordeling omvat de naleving van best practices op het gebied van beveiliging. We scheiden ook onze ontwikkel-, test- en productieomgevingen en gebruiken geen klantgegevens in onze niet-productieomgevingen.

Controle wijzigen

Alle wijzigingen in de producten van SafetyCulture worden tijdens hun ontwikkeling actief getest om ervoor te zorgen dat de impact op eindgebruikers voorafgaand aan de installatie wordt geëvalueerd. Alle belangrijke wijzigingen zijn opgenomen in de release-notities voor de productie.

SafetyCulture maakt gebruik van systemen voor versiebeheer en het volgen van wijzigingen om wijzigingen in de codebasis of configuratie van onze infrastructuur actief te bewaken en beheren. We gebruiken geautomatiseerde processen om wijzigingen in onze omgevingen door te voeren en wijzigingen kunnen, indien nodig, ongedaan gemaakt worden. We gebruiken Amazon CloudTrail voor het volgen van eventuele onderliggende configuratiewijzigingen in het cloudplatform waarop onze producten geëxploiteerd worden.

Patchbeheer en identificatie van kwetsbaarheden

We werken er hard aan om het aantal kwetsbaarheden in onze producten te minimaliseren, en we erkennen dat het belangrijk is om proactieve stappen te ondernemen om ervoor te zorgen dat we eventuele kwetsbaarheden zo snel mogelijk aanpakken. Om dit te verwezenlijken voert SafetyCulture actief testen uit en bewaakt ze onze toepassingen op kwetsbaarheden. We voeren een particulier programma voor bug-opsporing uit als erkenning voor het feit dat een gemeenschap van onafhankelijke beveiligingsonderzoekers gemotiveerd wordt om onze producten doorlopend te testen om mogelijke problemen te identificeren. Dit programma zal enkel dienen om de veiligheid van onze producten te versterken.

Wanneer een kwetsbaarheid wordt geïdentificeerd (intern of extern), wordt het probleem gevolgd en geprioriteerd op basis van de mogelijke ernst en de impact op onze klanten. Onze ontwikkelaars kunnen 24 uur per dag werken aan problemen met een ‘kritiek’-status en zullen doorgaan totdat het probleem is verholpen.

Patches voor problemen worden ontwikkeld en vrijgegeven in de productieomgeving via een voordurend integratieproces (CI/CD) en zo snel mogelijk toegepast.

Afhandelen van beveiligingsincidenten

Hoewel we ons uiterste best doen om veiligheidsincidenten te voorkomen, erkennen we dat we ook voorbereid moeten zijn om deze incidenten aan te pakken als ze zich voordoen zodat de potentiële impact voor onze klanten en SafetyCulture geminimaliseerd wordt.

We hebben een reeks maatregelen getroffen, waaronder:

  • Een gedocumenteerde procedure voor incidentbeheer die ons proces definieert voor het omgaan met de vertrouwelijkheid, integriteit en beschikbaarheid van onze IT-omgeving en producten.
  • Beschikken over een wereldwijde organisatie om ondersteuning te bieden tijdens een incident.
  • Gevestigde rampenherstelplannen en noodstrategieën die kunnen worden uitgevoerd om ons te helpen de continuïteit van de operaties tijdens een incident te handhaven. Dit omvat het gebruik van meerdere geografische beschikbaarheidszones via Amazon Web Services en de replicatie van gegevens verspreid over meerdere systemen in elke zone. Dit zorgt voor continue toegang tot gegevens tijdens incidenten die de beschikbaarheid van het systeem beïnvloeden en biedt gegevensredundantie in het geval van storingen in de systeem- of gegevensopslag.

SafetyCulture brengt getroffen klanten onmiddellijk op de hoogte van grote incidenten die van invloed zijn op de beschikbaarheid van de diensten of gegevens van SafetyCulture, en van eventuele incidenten die de vertrouwelijkheid en integriteit van gebruikersgegevens aantasten overeenkomstig onze SafetyCulture Privacybeleid dat hier te vinden is: https://safetyculture.com/nl/juridisch/privacybeleid/.

Slotbedenkingen

SafetyCulture beschouwt cyberbeveiliging als een fundamenteel onderdeel van ons bedrijf en van de producten die we aan bedrijven over de hele wereld leveren. Hoewel de controles en maatregelen die we hebben ingevoerd veel verder gaan dan wat hier wordt behandeld, dient deze inhoud om een algemeen overzicht te geven van de veelzijdige benadering die we toepassen en onze toewijding aan beveiliging.

Als u vragen heeft over de inhoud, of meer informatie wilt ontvangen over onze benadering op het gebied van ondersteuning, beveiliging of privacy, neem dan contact met ons op via de onderstaande details:

Meer informatie