Het beveiligen van de gegevens van onze klanten is een absolute topprioriteit bij WeGroup. Ons doel is om een veilige omgeving te bieden en tegelijkertijd rekening te houden met de prestaties van de applicaties en de algemene gebruikerservaring.
Systemen worden beschermd door middel van key-based authenticatie en de toegang wordt beperkt door Role-Based Access Control (RBAC). RBAC zorgt ervoor dat alleen de gebruikers die toegang tot een systeem nodig hebben, kunnen inloggen. Wij beschouwen elk systeem dat klantgegevens bevat die wij verzamelen, of systemen die de gegevens bevatten die klanten bij ons opslaan, als het meest gevoelige. De toegang tot deze systemen is dus uiterst beperkt en wordt nauwlettend in de gaten gehouden.
WeGroup hanteert strenge beveiligingsnormen en -maatregelen in de hele organisatie. Elk teamlid wordt getraind en op de hoogte gehouden van de nieuwste beveiligingsprotocollen. Wij ondergaan regelmatig testen, trainingen en audits van onze praktijken en ons beleid.
De infrastructuur van Mircrosoft Azure is beveiligd door middel van een verdediging in de diepte gelaagde aanpak. Toegang tot de beheersnetwerk infrastructuur wordt verleend via multi-factor authenticatie punten die de toegang tot de infrastructuur op netwerkniveau beperken op basis van de job functie, waarbij gebruik wordt gemaakt van het principe van least privilege. Alle toegang tot de ingangspunten wordt nauwlettend in de gaten gehouden en is onderworpen aan strenge controlemechanismen voor wijzigingen.
Alle WeGroup webapplicatie communicatie wordt via HTTPS verstuurd, we gebruiken hoge industriële standaard algoritmen zoals aes256 en sha256. WeGroup houdt ook actief toezicht op de voortdurende beveiliging, prestaties en beschikbaarheid, 24 uur per dag, 7 dagen per week, 365 dagen per jaar.
Met betrekking tot privacy zijn wij lid van het Privacy Shield framework en kunt u ons volledige privacybeleid hier bekijken: https://wegroup.be/privacy
Wat voor een document is dit, waarom bestaat het, waarop heeft het betrekking en wie is er verantwoordelijk voor?
Dit beleid definieert gedrags-, proces-, technische en governance controles met betrekking tot de beveiliging bij WeGroup die door alle personeelsleden moeten worden toegepast om de vertrouwelijkheid, integriteit en beschikbaarheid van de dienst en gegevens van WeGroup te garanderen (“Beleid”).
Al het personeel moet kennisnemen van de onderstaande regels en acties, en zich ermee vertrouwd maken.Dit Beleid bepaalt beveiligingsvereisten voor:
In geval van een conflict zijn de meer beperkende maatregelen van toepassing.
Dit beleid is opgesteld in nauwe samenwerking met en goedgekeurd door leidinggevenden van WeGroup. Het wordt ten minste eenmaal per jaar herzien en zo nodig aangepast om te zorgen voor duidelijkheid, voldoende reikwijdte, aandacht voor de belangen van klanten en personeel, en algemene afstemming op het zich ontwikkelende veiligheidslandschap en de best practices van de sector.
Het beveiligingsteam van WeGroup ziet toe op de implementatie van dit Beleid, dat onder meer het volgende omvat:
Wat verwacht WeGroup van zijn personeel en de werkplek wat systemen en gegevens betreft?
WeGroup zet zich in om zijn klanten, personeel, partners en de onderneming te beschermen tegen al dan niet bewuste onwettige of schadelijke handelingen van individuen, in de context van zijn gevestigde arbeidscultuur van openheid, vertrouwen, maturiteit en integriteit.In deze afdeling wordt het verwachte personeelsgedrag beschreven dat van invloed is op de beveiliging en het aanvaardbare gebruik van informaticasystemen bij WeGroup. Deze regels zijn van kracht om ons personeel en WeGroup zelf te beschermen, omdat ongepast gebruik klanten en partners kan blootstellen aan risico’s zoals malware, virussen, compromittering van netwerksystemen en -diensten, en juridische kwesties.
De eerste verdedigingslinie bij gegevensbeveiliging is het geïnformeerde gedrag van het personeel, dat een belangrijke rol speelt bij het instaan voor de beveiliging van alle gegevens, ongeacht het formaat.Dergelijke gedragingen omvatten die welke in deze sectie worden opgesomd, evenals alle bijkomende vereisten die in het personeelshandboek worden gespecificeerd, specifieke beveiligingsprocessen en andere toepasselijke gedragscodes.
Alle werknemers en aannemers moeten het beveiligingsopleidingsprogramma van WeGroup volgen, dat ten minste tweemaal per jaar wordt aangeboden en als doel heeft alle gebruikers te informeren over de vereisten van dit Beleid.
Het volledige personeel is ervoor verantwoordelijk om positieve actie te ondernemen om de fysieke beveiliging in stand te houden.Spreek elke niet-erkende persoon die zich op een kantoorlocatie met beperkte toegang bevindt, aan. Elke aangesproken persoon die niet gepast reageert, moet onmiddellijk worden aangemeld bij het toezichthoudend personeel en het beveiligingsteam. Alle bezoekers van de kantoren van WeGroup moeten als zodanig geregistreerd zijn of vergezeld zijn van een werknemer van WeGroup.
Het personeel moet de werkplekken vrijhouden van gevoelig of vertrouwelijk materiaal en ervoor zorgen dat de werkplekken op het einde van elke werkdag vrij zijn van dergelijk materiaal.
Onbeheerde apparaten moeten vergrendeld zijn. Alle apparaten hebben een automatische schermblokkeerfunctie die automatisch na maximaal vijftien minuten inactiviteit wordt geactiveerd.
De systemen moeten worden gebruikt voor bedrijfsdoeleinden in het belang van het bedrijf, en van onze klanten en partners in het kader van de normale bedrijfsvoering. Het personeel moet zelf naar behoren beoordelen of het persoonlijk gebruik van systemen redelijk is. Alleen door WeGroup beheerde hardware en software mag worden aangesloten of geïnstalleerd op bedrijfsapparatuur of -netwerken en worden gebruikt om toegang te krijgen tot gegevens van WeGroup. Door WeGroup beheerde hardware en software omvat die welke eigendom zijn van WeGroup of die welke eigendom zijn van het personeel van WeGroup, maar die zijn ingeschreven in een apparaten beheersysteem van WeGroup. Alleen software die door WeGroup is goedgekeurd voor bedrijfsgebruik mag op bedrijfsapparatuur worden geïnstalleerd. Al het personeel moet de lijst met verboden activiteiten die in dit beleid zijn beschreven, lezen en begrijpen. Aanpassingen of configuratie wijzigingen zijn niet toegestaan zonder de uitdrukkelijke schriftelijke toestemming van het beveiligingsteam van WeGroup.
Het gebruik van verwijderbare media zoals USB-sticks is verboden. Het personeel mag bedrijfsapparaten niet zo configureren dat ze back-ups of kopieën van gegevens maken buiten het bedrijfsbeleid om. In plaats daarvan wordt van het personeel verwacht dat het in de eerste plaats “in de cloud” werkt en gegevens alleen kortstondig lokaal opslaat. Gegevens vanWeGroup moeten worden opgeslagen in door het bedrijf goedgekeurde veilige cloud opslag (bv. Google Docs) om ervoor te zorgen dat deze gegevens zelfs in het geval van verlies, diefstal of beschadiging van een bedrijfsapparaat onmiddellijk kunnen worden gerecupereerd op een vervangingsapparaat.
De volgende activiteiten zijn verboden. Onder bepaalde voorwaarden en met de uitdrukkelijke schriftelijke toestemming van het beveiligingsteam kan personeel worden vrijgesteld van bepaalde van deze beperkingen tijdens de uitoefening van hun legitieme functieverantwoordelijkheden (bv. geplande penetratietests, het is mogelijk dat systeembeheer personeel de netwerktoegang van een host moet uitschakelen als die host de productie diensten verstoort).
De onderstaande lijst is geenszins volledig, maar tracht een kader te bieden voor activiteiten die tot de categorie van onaanvaardbaar gebruik behoren.
Personeelsapparaten en de softwareconfiguratie ervan kunnen door leden van het beveiligingsteam op afstand via configuratie- handhavingstechnologie worden beheerd. Dergelijke technologie kan worden gebruikt voor doeleinden zoals het controleren/installeren/verwijderen van softwaretoepassingen of systeemdiensten, het beheren van netwerkconfiguratie, het handhaven van wachtwoordbeleid, het versleutelen van schijven, het kopiëren van gegevensbestanden naar/van apparaten van werknemers en elke andere ingreep die is toegestaan om ervoor te zorgen dat apparaten van werknemers overeenstemmen met dit beleid.
Alle softwareprogramma’s, gegevens en documentatie die door personeel worden gegenereerd of verstrekt tijdens het leveren van diensten aan WeGroup of ten behoeve van WeGroup zijn eigendom van WeGroup, tenzij zij anderszins onder een contractuele overeenkomst vallen.
Hoewel het netwerkbeheer van WeGroup in een redelijk niveau van privacy wil voorzien, dienen gebruikers zich ervan bewust te zijn dat de gegevens die zij aanmaken op de bedrijfssystemen eigendom blijven vanWeGroup. Gelet op de noodzaak om het netwerk van WeGroup te beschermen, heeft het management niet de bedoeling de privacy te garanderen van de persoonlijke informatie van het personeel die op een netwerkapparaat van WeGroup is opgeslagen. Het personeel moet zelf naar behoren beoordelen of het persoonlijke gebruik, zoals het gewoon surfen op het web of persoonlijk e-mailverkeer, redelijk is. In geval van onzekerheid dient het personeel het beveiligingsteam of zijn manager te raadplegen.
Het personeel moet alle elektronische communicatie structureren met inachtneming van het feit dat de inhoud kan worden gecontroleerd en dat alle elektronische communicatie door anderen kan worden doorgestuurd, onderschept, afgedrukt of opgeslagen.
WeGroup behoudt zich het recht voor om naar eigengoeddunken bestanden of elektronische communicatie van het personeel te controleren voor zover dat nodig is om ervoor te zorgen dat alle elektronische media en diensten in overeenstemming met alle toepasselijke wetten en voorschriften en met het bedrijfsbeleid worden gebruikt.
WeGroup behoudt zich het recht voor om netwerken en systemen periodiek te controleren om de naleving van dit beleid te garanderen.Om veiligheidsredenen en met het oog op netwerkonderhoud mogen gemachtigde personen binnen WeGroup apparatuur, systemen en netwerkverkeer steeds controleren.
Elke werknemer kan vóór de datum waarop hij begint te werken aan een achtergrondcontrole worden onderworpen. De gevolgen van het problematische resultaat van een achtergrondcontrole kunnen variëren van een beperking van de beveiligingsvoorrechten, tot de intrekking van een werkaanbieding of tot ontslag.
Het beveiligingsteam organiseert minstens eenmaal per jaar voor alle personeelsleden een bedrijfsbreed programma over beveiligingsbewustzijn. Het programma omvat beveiligingsbewustzijn,-beleidslijnen, -processen en -training om ervoor te zorgen dat het personeel voldoende geïnformeerd is om aan zijn verplichtingen te voldoen. De personen die het meest verantwoordelijk zijn voor het in stand houden van de beveiliging bij WeGroup, waaronder het beveiligingsteam zelf en het belangrijkste ingenieurs-/operationeel personeel, krijgen een meer technische bijscholing.
Wanneer een personeelslid wordt ontslagen of ontslag neemt, coördineert het beveiligingsteam samen met de personeelsafdeling de uitvoering van een gestandaardiseerde vertrekprocedure om ervoor te zorgen dat alle accounts, inlog gegevens en toegangsrechten van vertrekkende werknemers naar behoren worden uitgeschakeld.
De toegang tot de kantoren van WeGroup wordt geregeld door een elektronisch controlesysteem dat voorziet in toegang op basis van identiteitserkenning, programmeerbare controle over de toegangstijd en gebruiksaudits. Onder normale bedrijfsomstandigheden zijn alle deuren steeds vergrendeld. Het beveiligingsteam kan toestemming verlenen om deuren voor korte tijd te ontgrendelen om tegemoet te komen aan soepelere fysieke toegangsnoden. Internet beveiligingscamera’s zijn opgesteld om tijd gestempelde beelden van het binnenkomen/het buitengaan te maken die off-site worden opgeslagen.
Apparaten krijgen via bekabeld ethernet en WPA2-wifi toegang tot het internet. Netwerkschakelaars en routers moeten in een vergrendelde netwerkkast worden geplaatst waar alleen het beveiligingsteam toegang toe heeft. De leidinggevenden van WeGroup en het beveiligingsteam kunnen individuele personen geval per geval, indien nodig toegang geven tot de netwerkkast. Er moet een netwerk firewall worden geïnstalleerd die al het WAN-verkeer blokkeert. WAN-toegankelijke netwerkdiensten mogen niet worden gehost binnen de kantooromgeving.
Hoe definieert, controleert en handhaaft WeGroup de gebruikersidentiteit en de toegangsrechten van personeel?
Iedereen die toegang heeft tot een door WeGroup beheerd systeem doet dat via een G Suite-gebruikersaccount die zijn/haar systeemidentiteit aangeeft. Dergelijke gebruikersaccounts moeten beschikken over een unieke gebruikersnaam, een sterk wachtwoord van ten minste 8 tekens en een twee-factor authenticatie mechanisme (2FA).
Het personeel mag uitsluitend inloggen vanaf door WeGroup beheerde apparaten. De authenticatie wordt uitgevoerd door het account beheersysteem van Google, waarvan de gegevens worden vermeld op https://gsuite.google.com/security. WeGroup maakt gebruik van de faciliteiten van G Suite om kwaadwillige pogingen tot authenticatie op te sporen. Herhaaldelijke mislukte pogingen tot authenticatie kunnen leiden tot de blokkering of intrekking van de inbreuk maken de gebruikersaccount.
Indien mogelijk, moeten systemen van derden aldus worden geconfigureerd dat zij de authenticatie delegeren aan het G Suite-account-authenticatiesysteem van WeGroup (zoals hierboven beschreven), zodat authenticatie controles worden samengevoegd tot een enkel gebruikersaccountsysteem dat centraal door het beveiligingsteam wordt beheerd.Indien authenticatie via G Suite niet mogelijk is, moeten unieke, sterke wachtwoorden worden aangemaakt en opgeslagen in het doorWeGroup goedgekeurde wachtwoord beheersysteem. Wachtwoorden moeten gepaard gaan met twee-factor authenticatie/MFA-authenticatie.
Gebruikersaccounts worden onmiddellijk na het vertrekvan personeel ingetrokken (dat wil zeggen uitgeschakeld maar niet verwijderd). Bovendien worden alle gebruikersaccounts ten minste eenmaal per kwartaal gecontroleerd en worden alle inactieve gebruikersaccounts ingetrokken.
WeGroup past het least privilege-principe toe en elke actie die door een gebruikersaccount wordt ondernomen, is onderworpen aan toegangscontrole.
WeGroup gebruikt een rolgebaseerd toegangscontrolemodel (RBAC) met behulp van door Google geleverde faciliteiten zoals organisatie-eenheden, gebruikersaccounts, gebruikersgroepen en gedeelde controles.
WeGroup kan het gebruik van (een) bepaalde webbrowser(s) eisen voor normaal zakelijk gebruik en voor toegang tot bedrijfsgegevens zoals e-mail. Voor bepaalde specifieke rollen, zoals softwareontwikkeling en webdesign, vereisen andere dan de hierboven genoemde functieactiviteiten het gebruik van verschillende browsers en deze rollen kunnen verschillende browsers gebruiken voor zover dat nodig is voor die activiteiten. Elke browser die toegang heeft tot bedrijfsgegevens zoals e-mail, is onderworpen aan een op een witte lijst gebaseerde beperking waarop browserextensies geïnstalleerd kunnen worden.
De toegang tot beheershandelingen is strikt beperkt tot leden van het beveiligingsteam en nog verder beperkt op basis van de functie en het least privilege-principe.
Het toegang controlebeleid wordt regelmatig herzien metals doel de toegangsrechten te beperken of te verfijnen waar dat mogelijk is.Wijzigingen in de functie van het personeel leiden ook tot een herziening van de toegangsrechten.
Bij vrijwillig of gedwongen ontslag van het personeel volgt het beveiligingsteam de vertrekprocedure voor het personeel van WeGroup.Deze procedure omvat de intrekking, vóór de laatste dag van tewerkstelling, van de betrokken gebruikersaccount en de terugvordering van apparatuur die eigendom is van de onderneming, kantoorsleutels of toegangskaarten en alle andere bedrijfsapparatuur en -eigendom.
Hoe bouwt, implementeert, configureert en onderhoudt WeGroup technologie om haar beveiligingsdoelstellingen na te komen?
WeGroup slaat broncode op in haar zelf-gehoste git service. De beveiligings- en ontwikkelingsteams verrichten codebeoordelingen en voeren een statische code-analysetool uit op elke code commit. De beoordelaars moeten de naleving controleren van de conventies en stijl van WeGroup, potentiële bugs, potentiële prestatieproblemen en of de commit beperkt is tot het beoogde doel ervan.
Beveiligingsbeoordelingen moeten worden uitgevoerd voor elke code commit die betrekking heeft op beveiligingsgevoelige modules. Deze modules omvatten die welke rechtstreeks betrekking hebben op authenticatie, autorisatie, toegangscontrole, auditing en versleuteling.
Alle belangrijke onderdelen van geïntegreerde open-source-software bibliotheken en -instrumenten moeten worden beoordeeld op deugdelijkheid, stabiliteit, prestaties, veiligheid en onderhoudbaarheid.
De beveiligings- en ontwikkelingsteams stellen een formeel software vrijgave proces vast en houden zich daaraan.
De beveiligings- en ontwikkelingsteams van WeGroup documenteren de configuratie van alle gebruikte systemen en diensten, ongeacht of ze door WeGroup dan wel door derden worden gehost. De beste praktijken uit de sector en leverancier specifieke richtsnoeren moeten worden geïdentificeerd en in systeemconfiguraties worden opgenomen. Alle configuraties worden tenminste jaarlijks herzien. Alle wijzigingen aan configuraties moeten door aangewezen personen worden goedgekeurd en tijdig worden gedocumenteerd.
Systeemconfiguraties moeten de volgende controles opeen risico gebaseerde manier en in overeenstemming met de rest van dit beleid uitvoeren:
Voor elke dienst van een derde waarvan WeGroup gebruikmaakt, zal het beveiligingsteam de dienst en de leverancier jaarlijks evalueren om zich ervan te vergewissen dat beveiligingsprocedures van de leverancier in overeenstemming zijn met die van WeGroup voor de soort en de gevoeligheid van de gegevens die in het kader van de dienst zullen worden opgeslagen.
Hoe beheert WeGroup gegevensclassificaties en gegevensverwerking?
WeGroup handhaaft de volgende klassen van en verwerkingsregels voor klantgegevens. Voor elke gegevensklasse moeten de beveiligings- en ontwikkelingsteams van WeGroup specifieke informatiesystemen in Microsoft Azure verstrekken en inzetten voor het opslaan en verwerken van gegevens van die klasse en alleen gegevens van die klasse, tenzij uitdrukkelijk anders vermeld in afdeling 5. Voor alle klassen van klantgegevens kunnen de desbetreffende systemen gegevensitems opslaan en verwerken die nodig zijn om de gegevens van elke klant goed gesegmenteerd te houden, zoals klant identificatoren van WeGroup.
Dit zijn gegevens die betrekking hebben op de loginaccounts voor de klanten webinterface www.wegroup.be, die door de klantenvertegenwoordigers van WeGroup worden gebruikt. Die gegevens worden at-rest versleuteld om de gegevens te beschermen in geval van ongeoorloofde toegangspogingen. Gebruiker accountgegevens moeten zodanig worden gehasht dat de wachtwoorden in gewone tekst niet kunnen worden achterhaald.
Dit zijn contactgegevens van klanten en vertegenwoordigers van WeGroup.
Dit zijn contactgegevens van klanten en vertegenwoordigers van WeGroup.
Dit zijn gegevens met betrekking tot de klant specifieke voorkeuren en configuraties van de dienst van WeGroup die door klantenvertegenwoordigers worden aangemaakt.
Dit zijn metagegevens overtransacties die zijn uitgevoerd op alle andere klassen van klantgegevens.Daaronder zijn begrepen organisatie- en gebruikersidentificatoren van klanten, standaard syslog-gegevens met betrekking tot gebruikers van de klant en gevallen van klantcontactgegevens en gegevens over klantvoorkeuren. Deze klasse omvat geen geregistreerde gegevens van klanten.
Klantcontactgegevens, gegevens over klantvoorkeuren entransactiemetagegevens over klantgebeurtenissen kunnen worden opgeslagen en verwerkt in systemen die worden gehost in andere omgevingen dan Microsoft Azure, zoals goedgekeurd door het beveiligingsteam.
Werknemers van WeGroup hebben alleen onder de volgende voorwaarden toegang tot klantgegevens:
WeGroup voorziet webgebruiker interfaces (UI’s), applicatieprogrammering-interfaces(API’s) en gegevensexport faciliteiten om klanten toegang te geven tot hun gegevens.
Het beveiligingsteam kan samen met het uitvoerend management nooduitzonderingen op een van bovenstaande regels goedkeuren, als reactie op veiligheidsincidenten, storingen in de dienst of belangrijke wijzigingen in de werkomgeving van WeGroup, wanneer wordt aangenomen dat dergelijke uitzonderingen de beveiliging en missie van WeGroup, klanten vanWeGroup en bezoekers van de websites van klanten van WeGroup ten goede zullen komen en beschermen.
Hoe detecteert WeGroup kwetsbaarheden en beveiligingsincidenten en hoe reageert ze daar op?
De beveiligings- en ontwikkelingsteams van WeGroup nemen alle volgende maatregelen om kwetsbaarheden op te sporen die zich in de informatiesystemen van WeGroup kunnen voordoen:
Het beveiligingsteam van WeGroup beoordeelt de ernst van elke vastgestelde kwetsbaarheid met name wat de waarschijnlijkheid en de potentiële impact van een exploitering betreft, en ontwikkelt dan overeenkomstige strategieën en schema’s voor de beperking ervan. Geschikte beperkende maatregelen zijn onder meer de volledige sanering of het uitvoeren van compenserende controles.
Het beveiligingsteam van WeGroup zal alle volgende maatregelen nemen om beveiligingsincidenten op te sporen:
Het beveiligingsteam van WeGroup zal bepalen of elke indicator representatief is voor een daadwerkelijk veiligheidsincident. De ernst, de omvang en de grondoorzaak van elk incident moeten worden beoordeeld en elk incident moet worden opgelost op een manier en binnen een tijdsbestek die in verhouding staat tot de ernst en de omvang.
Indien een gegevensinbreuk met betrekking tot een klant is ontdekt, zal WeGroup de communicatie met de klant verzorgen over de ernst, omvang, grondoorzaak en oplossing van de inbreuk.
Hoe zal WeGroup gebeurtenissen die de verwachte activiteiten kunnen verstoren, voorkomen en ervan herstellen?
Diensten van WeGroup die in Microsoft Azure worden gehost, zullen zo worden geconfigureerd dat zij bestand zijn tegen langdurige storingen in een beschikbaarheidszone en -regio. De infrastructuur en gegevens vanWeGroup worden in meerdere geografische regio’s gerepliceerd om dit niveau van beschikbaarheid te garanderen. WeGroup streeft naar een Data Recovery PointObjective (RPO, gegevensherstelpunt-doelstelling) van bijna nul voor minstens 7dagen en tot 24 uur na 7 dagen.