Bestuur in SuperOffice
Het SuperOffice Quality Management System (SQS) is gebaseerd op ISO-normeringen, evenals op het GRC-principe: Governance (Bestuur) + Risk management (Risicobeheersing) + Compliance (Naleving).
De processen die zijn vastgelegd en worden uitgevoerd door de raad van bestuur van SuperOffice, worden weerspiegeld in de organisatiestructuur en de wijze waarop de organisatie wordt bestuurd en geleid om haar doelen te bereiken.
SuperOffice SQS omvat momenteel het Information Security Management System voor alle interne systemen en de cloud-service van SuperOffice CRM Online die wordt aangeboden aan klanten. Verder omvat SQS alle processen die zijn gerelateerd aan privacy en die zijn voorgeschreven door de General Data Protection Regulation (GDPR).
SuperOffice Gedragscode
Bij SuperOffice houden we ons intensief bezig met leven, genoeg ruimte voor iedereen en het uitdragen van onze hoge morele normen. Wij zijn overtuigd van de kracht van onze relaties en van de manier waarop wij als bedrijf kunnen samenwerken met al onze belanghebbenden om een gezonde omgeving te creëren voor onze medewerkers, klanten, partners, eigenaars, leveranciers en alle andere relevante zakenpartners. Als deel van dit werk hebben we twee afzonderlijke documenten waarin niet alleen onze verwachtingen uiteen worden gezet, maar ook onze eisen aan hoe individuen, bedrijven en anderen zich moeten gedragen wanneer ze zakendoen met SuperOffice. Dat geldt natuurlijk ook voor onszelf en alle medewerkers in ons bedrijf. Onze Gedragscode is opgesteld door ons Duurzaamheidscomité samen met onze directie en geverifieerd door onze auditpartner PWC.
Klik hier om onze Gedragscode te downloaden en te lezen.
Risicobeheersing
Er is een algehele risicobeoordeling geïmplementeerd met betrekking tot informatieobjecten en deze wordt elk jaar geactualiseerd. Onze benadering van beveiliging is gebaseerd op risicobeoordelingen volgens Artikel 24 in de EU General Data Protection Regulation (EU-GDPR) en de ICT-verordeningen §3.
Risicobeheersing bestaat uit een aantal processen waardoor het management van SuperOffice op tijdige en doeltreffende wijze risico’s kan identificeren, analyseren en pareren die een ongunstige invloed hebben op de realisatie van de bedrijfsdoelen van onze organisatie. Het pareren van risico’s is met name afhankelijk van de vermeende ernst en omvat het controleren, voorkomen, accepteren of overdragen aan derden.
We beheersen een breed scala aan risico’s: technologische risico's, informatiebeveiligingsrisico's, commerciële/financiële risico’s en, uiteraard, nalevingsrisico's op het vlak van externe wet- en regelgeving.
Informatieclassificatie en -controle
Het is belangrijk dat inbreuken op de vertrouwelijkheid en een gebrek aan integriteit niet voorkomen. Het is daarom belangrijk dat we informatie beschermen op basis van het kritische gehalte ervan. Daarom worden alle belangrijke informatie en middelen geregistreerd en toegewezen aan een specifieke eigenaar.
De informatie wordt ook geclassificeerd om noodzakelijke en toepasselijke beveiligingscontroles te kunnen toepassen. De eigenaar van de informatie is verantwoordelijk voor het onderhoud en de voortdurende toepassing van goedgekeurde en toepasselijke controles en verbeteringen.
Toegang tot gegevens voor derden
Alle informatie die is opgeslagen in SuperOffice CRM Online, wordt als vertrouwelijk behandeld en wordt niet openbaar gemaakt of verkocht aan derden. Alle informatie is veilig opgeslagen en is alleen toegankelijk voor de klant en geautoriseerd personeel van SuperOffice voor beheerdoeleinden.
Naleving
SuperOffice volgt de wettelijke vereisten van de EU die zijn vastgelegd in de VERORDENING 2016/679 VAN HET EUROPESE PARLEMENT EN VAN DE RAAD van 27 april 2016 voor de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en voor het vrije verkeer van dergelijke gegevens, en intrekking van de RICHTLIJN 95/46/EG (General Data Protection Regulation - GDPR). Alle SuperOffice gegevens worden opgeslagen in EU/EEA. Indien SuperOffice ervoor kiest om gebruik te maken van onderaannemers buiten de EU/EER, moet deze verwerking in overeenstemming zijn met de standaard contractuele bepalingen van de EU voor de overdracht naar derde landen, of een andere specifiek vermelde wettelijke basis voor de overdracht van persoonsgegevens naar een derde land.
Gegevensverwerkersovereenkomsten
Bij het tekenen van het contract voor SuperOffice CRM Online worden de gegevensverwerkersovereenkomsten getekend tussen SuperOffice en de klant. Het doel van de gegevensverwerkersovereenkomst is regulering van de verwerking van persoonlijke gegevens door SuperOffice namens de klant die gebruik maakt van SuperOffice CRM Online. Er worden deel-gegevensverwerkersovereenkomsten getekend tussen SuperOffice en subverwerkers en met App Store-partners.
Veilige opslag (ISO 27001)
Opgeslagen gegevens in SuperOffice CRM Online worden beschermd door een ISO 27001-gecertificeerd Information Security Management System. Deze ISO-normeringen zijn internationale best practices voor informatiebeveiliging. Daarom stimuleert de GDPR ISO 27001-certificering, om te laten zien dat informatiebeveiliging serieus wordt genomen in alle geledingen van de organisatie.
Onze externe beveiligingsconsultants controleren het beveiligingsbeleid en testen op regelmatige basis de verdedigings- en beveiligingscontroles. SuperOffice en onze hostingpartners zetten zich volledig in om alle informatie in SuperOffice CRM Online te beschermen.
Audits en ISAE 3402
De klant heeft het recht om periodiek beveiligingsaudits, -controles en -inspecties uit te voeren. De audit kan inhouden dat de voornaamste routines, aselecte steekproeven, uitgebreidere controles op locatie en andere toepasselijke controles worden doorlopen. De partijen betalen hun eigen kosten die voortvloeien uit dergelijke audits, controles en inspecties. De klant moet voor de uitvoering van deze audits een bevoegde en gecertificeerde derde partij benaderen.
SuperOffice / Visma ITC voert als processor jaarlijks een veiligheidsaudit uit van een derde partij. Dergelijke audits hebben tot doel de toereikendheid van de technische en organisatorische beveiligingsmaatregelen door SuperOffice aan te tonen. Rapportages van de jaarlijkse audit, die wordt uitgevoerd door Ernst & Young (EY), worden voor klanten beschikbaar op aanvraag en zijn gebaseerd op ISAE 3402.
SuperOffice voert als Verwerker regelmatig audits, controles en inspecties uit door een gecertificeerde derde partij. Momenteel is dit PwC. Rapporten over de regelmatig audits die door PwC worden uitgevoerd, worden op aanvraag.
Veilige productontwikkeling
SuperOffice volgt bij de softwareontwikkeling de principes Beveiliging door ontwerp en Privacy door ontwerp. Alle toepassingscodes worden ontwikkeld met de integrale focus op veiligheid en privacy. Nieuwe versies worden getest door speciale testmedewerkers en worden ook onderworpen aan uitgebreide, externe tests (bèta-/pilottests).
SuperOffice voert verschillende tests uit, zoals functie-, integratie-, prestatie- en belastings-/stresstests. Er worden zowel automatische als handmatige tests uitgevoerd.
Alle systemen die voor SuperOffice worden ontwikkeld, beschikken over heldere veiligheidsvereisten, inclusief validatie van gegevens, beveiliging van de code voorafgaand aan productie en gebruik van cryptografie. Er worden gestructureerde methoden, zoals agile of scrum, gebruikt om alle onderdelen van het ontwikkelingsproces te controleren.
Alle wijzigingen in de productieomgeving volgen actuele procedures. Er worden speciale test- en ontwikkelingsomgevingen gebruikt om alle wijzigingen te testen, zoals oplossingen voor softwarefouten en nieuwe releases voorafgaand aan de productie. Onafhankelijke testmedewerkers testen regelmatig nieuwe functionaliteiten.
Bovendien wordt alle software getest en formeel geaccepteerd door een interne eigenaar en operator voordat de software doorgaat naar de productieomgeving.
Voordat nieuwe wijzigingen in productie gaan, worden er systematisch dreigings- en risicoanalyses, beveiligingscodebeoordelingen en penetratietests uitgevoerd en gedocumenteerd. Als er geen veiligheidsproblemen worden gedetecteerd, wordt de nieuwe functionaliteit geïmplementeerd in de bestaande SuperOffice-toepassing.
SuperOffice AS is een partnerschap aangegaan met een onafhankelijke veiligheidsadviseur – Watchcom AS, met als doel veilige toepassingen en services te ontwikkelen.
Watchcom assisteert SuperOffice bij veiligheidsbeoordelingen, testen van de toepassingsveiligheid, penetratietests en consultancy- en adviesdiensten. Watchcom werkt volgens internationale beveiligingsnormen, zoals: ISO27001, ISO27005, ISO 22301, ISO 30111, OWASP, WASC. Deze normen vormen de basis voor alle werkzaamheden en alle geleverde rapportages aan SuperOffice.
Exit-plan
Wanneer het abonnement van de klant op SuperOffice CRM Online-services wordt beëindigd of afloopt, wordt de account gedeactiveerd en zal deze niet langer toegankelijk zijn. Na beëindiging van de overeenkomst zullen de gebruikers van de klant met het beheerderstoegangsniveau bij aanmeldingspogingen worden doorgestuurd naar een site waar ze alle gegevens van de klant kunnen downloaden. Deze gegevens zijn beschikbaar in een generieke bestandsindeling. De download is tot 30 dagen na beëindiging van de overeenkomst beschikbaar. Na 30 dagen worden alle gegevens van de klant verwijderd van de servers en datacentrumfaciliteiten van SuperOffice. Back-ups blijven beschikbaar conform de back-upprocedures.