Veiligheidsbeleid

Shared Contacts for Gmail® heeft te maken met contactinformatie, die heel vaak persoonlijke gegevens bevat, waarvan de manipulatie streng gereglementeerd is.

We nemen gegevensbeveiliging zeer serieus en als Google Premium Partner zijn we verplicht om ons aan tal van beveiligingsregels te houden. Tot onze klanten behoren bovendien financiële instellingen, ziekenhuizen en Fortune 500-bedrijven die van ons eisen dat wij de beste beveiligingsprocessen leveren.

De algemene benadering van veiligheid is volgens de EBIOS-methode (de belangrijkste methode in Frankrijk)

De aanpak om ongeoorloofde toegang tot onze klantgegevens te voorkomen is gebaseerd op de volgende principes:

Risicobronnen

Voor 3 belangrijke risicobronnen wordt gezorgd:

  • Interne personen: Werknemers en contractanten
  • Externe personen: Providers, concurrenten, bevoegde derden…
  • Niet-menselijke bronnen: Virussen, natuurrampen, brandbare materialen…

Activa

Hardware

Gegevens worden uitsluitend gehost op beveiligde servers, geleverd door Google Cloud(Google Compute Platform Infrastructure) en gegevens worden nooit doorgegeven op andere soorten hardware (USB, CD’s, mobiele telefoons, lokale computers enz…).

Databases

Databases met gegevens van onze klanten zijn beveiligd en met een wachtwoord beveiligd binnen het netwerk. Alleen managers/teamleiders hebben toegang tot de live gegevens. Ontwikkelaars werken op staging data en hebben geen toegang tot live data.

De wachtwoorden van de database en de gateways zijn beveiligd in een hard encryptiebestand dat op een aparte server is opgeslagen en dat bij elke inzet eenmalig door de live server wordt gebruikt.


Softwares

We gebruiken een minimaal aantal tools van derden (Mongo DB, Zabbix enz.) en elke installatie van nieuwe software moet een strenge veiligheidscontrole ondergaan, inclusief trojans of spyware. Net als bij de Database hebben alleen de gebruikers die toegang moeten hebben tot deze software geloofsbrieven en toestemming om ze te gebruiken.

Netwerk

Ons netwerk is uitsluitend webgebaseerd op de architectuur van Google. Wij hebben één werknemer die zich voltijds bezighoudt met veiligheidsbeheer en toegangsrechten.
De toegang tot de infrastructuur (bijvoorbeeld FTP) wordt beschermd door 4 niveaus van beperkingen :

  • Google-account (alleen goedgekeurde Google e-mail-ID’s hebben toegang tot het GCP-platform)
  • 2-staps authenticatie van de Google account : Gebruikers die inloggen op de GCP infrastructuur moeten hun identiteit bevestigen met behulp van SMS authenticatie.
  • IP-adressen : Alleen een reeks opgesomde IP-adressen. Thuiswerkers moeten elke dag hun IP-adres doorgeven.
  • Een aanvullend intern authenticatiesysteem in twee stappen, met het Time-based One-time Password Algorithm (TOTP; gespecificeerd in RFC 6238) en HMAC-based One-time Password Algorithm (HOTP; gespecificeerd in RFC 4226), voor de authenticatie van gebruikers.
  • Er zijn ook maatregelen genomen om DDos of SQL-injecties te voorkomen.
  • Onze medewerkers zijn ook getraind om phishing of “cloud-based” virussen te vermijden (die hen bijvoorbeeld zouden vragen in te loggen op hun Google-account om een bestand te openen).

Mensen

  • Alle werknemers en contractanten worden gescreend voordat ze worden aangenomen. Zij ondertekenen een NDA en worden regelmatig herinnerd aan de beveiligings- en privacymaatregelen en de risico’s en sancties in verband met gegevensinbreuk.
  • Het aantal gebruikers dat toegang heeft tot klantgegevens is strikt beperkt tot beveiligings- en beheerspersoneel.
  • Ontwikkelings- en ondersteuningsteams kunnen zich voordoen als gebruikers en toegang krijgen tot hun contacten, uitsluitend voor probleemoplossing en ondersteuning.
  • Alle activiteit op servers en platforms wordt gelogd en gecontroleerd. Elke abnormale activiteit zal onmiddellijk worden ontdekt (bijvoorbeeld een werknemer die zich in korte tijd zonder duidelijke reden voordoet als verschillende gebruikers van hetzelfde domein) en zal deze activiteit moeten rechtvaardigen.