Organisatiebeveiliging

We hebben een informatiebeveiligingsbeheersysteem (ISMS) geïmplementeerd dat rekening houdt met onze beveiligingsdoelstellingen, evenals de risico's en de bijbehorende verminderingen voor alle belanghebbenden. We maken gebruik van strikte criteria en procedures die de veiligheid, beschikbaarheid, verwerking, integriteit en vertrouwelijkheid van klantgegevens omvatten.

Controle van de antecedenten van werknemers en medewerkers

Elke werknemer of medewerker è onderworpen aan een proces van verificatie van zijn of haar verleden. We maken gebruik van gerenommeerde externe bureaus om deze controle namens ons uit te voeren. We doen dit om de strafregisters, eerdere werkervaringen, indien aanwezig, en diploma's te verifièren. Totdat deze controle is uitgevoerd, worden er geen activiteiten toegewezen aan de werknemer of medewerker die risico's voor de gebruikers met zich mee kunnen brengen.

Bewustzijn van veiligheid

Elke werknemer of medewerker tekent bij indiensttreding een geheimhoudingsovereenkomst en een beleid voor acceptabel gebruik, waarna hij deelneemt aan de training over informatiebeveiliging, privacy en naleving. Bovendien beoordelen we het opleidingsniveau van de werknemer of medewerker door middel van tests en quizzen om te bepalen welke onderwerpen verdere verdieping vereisen. We bieden training aan over specifieke aspecten van beveiliging, waarvan de werknemer of medewerker mogelijk behoefte heeft op basis van zijn rol. We trainen onze werknemers en medewerkers continu op het gebied van informatiebeveiliging, privacy en naleving in onze interne community, waartoe onze werknemers en medewerkers regelmatig toegang hebben, voor voortdurende persoonlijke updates over de beveiligingspraktijken van de organisatie. Daarnaast organiseren we interne evenementen om het bewustzijn te vergroten en innovatie op het gebied van beveiliging en privacy te bevorderen.

Team gewijd aan veiligheid en privacy

We hebben teams die zich richten op veiligheid en privacy die onze veiligheids- en privacyprogramma's implementeren en beheren. Deze teams ontwerpen en beheren onze verdedigingssystemen, ontwikkelen beoordelingsprocessen voor de veiligheid en monitoren voortdurend onze netwerken om verdachte activiteiten te detecteren. Ze bieden specifieke adviesdiensten en richtlijnen voor het domein aan onze ontwerpteams.

Interne controle en conformità

We hebben een team dat zich richt op compliance dat de procedures en beleidslijnen van Framework360 beoordeelt om deze af te stemmen op de normen en te bepalen welke controles, processen en systemen nodig zijn om aan de normen te voldoen. Dit team voert ook periodieke interne audits uit en faciliteert onafhankelijke controles en beoordelingen door derden. Voor meer details, raadpleeg onze compliance-portfolio.

Eindpuntbeveiliging

Alle werkplekken die aan medewerkers en samenwerkingspartners worden verstrekt, draaien op een bijgewerkte versie van het besturingssysteem en zijn voorzien van antivirussoftware. Ze zijn geconfigureerd om te voldoen aan onze beveiligingsnormen, die vereisen dat alle werkplekken correct zijn ingesteld, geïnstalleerd met de toegepaste patches en gemonitord worden door de endpoint-beheeroplossingen van Framework360. Deze werkplekken zijn standaard veilig, omdat ze zijn geconfigureerd om inactieve gegevens te versleutelen, complexe wachtwoorden hebben en vergrendeld worden als ze inactief zijn. De mobiele apparaten die voor zakelijke doeleinden worden gebruikt, zijn geregistreerd in het mobiele apparaatbeheer systeem, om ervoor te zorgen dat ze voldoen aan onze beveiligingsnormen.

Fysieke beveiliging in de werkomgeving

We controleren de toegang tot onze middelen (gebouwen, infrastructuur en faciliteiten), die het verbruik, de toegang en het gebruik omvatten, via toegangspassen. We verstrekken verschillende toegangspassen aan medewerkers, aannemers, leveranciers en bezoekers die alleen toegang geven voor specifieke doeleinden van toegang tot de faciliteiten. Het HR-team stelt specifieke doeleinden voor de rollen vast en beheert deze. We houden toegangsregisters bij om afwijkingen te identificeren en op te lossen.

Monitoring

We monitoren alle inkomende en uitgaande bewegingen op al onze locaties, in al onze businesscentra en datacenters via gesloten circuitlevenscamera's die zijn verspreid in overeenstemming met de lokale regelgeving. Een back-upkopie van de opnames is beschikbaar voor een bepaalde periode, afhankelijk van de specifieke vereisten van de faciliteit.

Infrastructuurbeveiliging netwerkbeveiliging

Onze beveiligings- en netwerkbewakingstechnieken zijn ontworpen om meerdere niveaus van bescherming en verdediging te bieden. We gebruiken firewalls om ongeautoriseerde toegang tot ons netwerk en ongewenst verkeer te voorkomen. Onze systemen zijn verdeeld over gescheiden netwerken om gevoelige gegevens te beschermen. De systemen die de test- en ontwikkelingsactiviteiten ondersteunen, worden gehost op een apart netwerk ten opzichte van de systemen die de productie-infrastructuur van Framework360 ondersteunen. We monitoren de toegang tot de firewall met een strikte en regelmatige planning. Een netwerktechnicus controleert elke dag alle wijzigingen aan de firewall. Bovendien worden deze wijzigingen elke drie maanden geanalyseerd om de regels bij te werken en te herzien. Het toegewijde team van ons Network Operations Center houdt de infrastructuur en toepassingen in de gaten om eventuele discrepanties of verdachte activiteiten op te sporen. Alle kritieke parameters worden voortdurend gemonitord via onze proprietary tool en meldingen worden geactiveerd in het geval van ongewone of verdachte activiteit in onze productieomgeving.

Netwerkredundantie

Alle componenten van ons platform zijn redundant. We gebruiken een gedistribueerde netwerkarchitectuur om ons systeem en onze diensten te beschermen tegen mogelijke serverfouten. In dat geval kunnen gebruikers zoals gewoonlijk blijven werken omdat hun gegevens en de diensten Framework360 nog steeds beschikbaar zullen zijn. Bovendien gebruiken we meerdere switches, routers en beveiligingsgateways om redundantie op apparaatsniveau te garanderen. Op deze manier worden storingen op enkele punten in het interne netwerk voorkomen.

DDoS-aanvalpreventie

We maken gebruik van technologieën van gevestigde en betrouwbare dienstverleners om DDoS-aanvallen op onze servers te voorkomen. Deze technologieën bieden meerdere functies voor het mitigeren van DDoS-aanvallen, om onderbrekingen veroorzaakt door schadelijk verkeer te vermijden, terwijl goed verkeer wordt toegestaan. Op deze manier zijn onze websites, onze applicaties en onze API's altijd beschikbaar en presterend.

Geavanceerde serverbescherming

Alle servers die zijn voorzien van provisioning voor ontwikkelings- en testactiviteiten worden versterkt (door ongebruikte poorten en accounts uit te schakelen, standaardwachtwoorden te verwijderen, enz.). De basisafbeelding van het besturingssysteem (OS) is uitgerust met een geïntegreerde serververbetering en de afbeelding van dit besturingssysteem wordt geleverd op de servers om consistentie tussen de servers te waarborgen.

Inbraakdetectie en -preventie

Onze inbraakdetectiemechanisme houdt signalen op basis van hosts op individuele apparaten en netwerkgebaseerde signalen bij, afkomstig van monitoringspunten binnen onze servers. Toegang tot beheer, het gebruik van geprivilegieerde commando's en systeemaanroepen op alle servers van ons productie-netwerk worden geregistreerd. De regels en de intelligentie van machines gebaseerd op deze gegevens bieden beveiligingstechnici waarschuwingen voor mogelijke incidenten. Op applicatieniveau hebben we onze eigen WAF die werkt op whitelist- en blacklistregels. Op het niveau van internet service providers (ISP) is een multilayer beveiligingsaanpak geïmplementeerd met scrubbing, netwerkrouting, snelheidsbeperking en filtering om aanvallen op alle niveaus te bestrijden, van netwerk tot applicatie. Dit systeem garandeert schone traffic, betrouwbare proxyservice en onmiddellijke rapportage van eventuele aanvallen. 

Gegevensbeveiliging Veiligheid vanaf het ontwerp

Alle wijzigingen en nieuwe functies worden gereguleerd door een wijzigingsbeheerbeleid, om ervoor te zorgen dat alle wijzigingen aan de applicaties zijn goedgekeurd voordat ze in de productieomgeving worden geïmplementeerd. Onze softwareontwikkelingscyclus (SDLC) vereist naleving van de richtlijnen voor veilige codering, evenals het screenen van codewijzigingen op potentiële beveiligingsproblemen met onze code-analysehulpmiddelen, kwetsbaarheidsscanners en handmatige beoordelingsprocessen. Ons robuuste beveiligingsraamwerk gebaseerd op OWASP-standaarden, geïmplementeerd op toepassingsniveau, biedt functionaliteit om bedreigingen zoals SQL-injectie, Cross-Site Scripting en DOS-aanvallen op toepassingsniveau te verminderen.

Datasegregatie

Ons framework distribueert en beheert de cloudruimte voor onze klanten. De gegevens met betrekking tot de ondersteuning van elke klant zijn logisch gescheiden van de gegevens van andere klanten door een reeks veilige protocollen in het framework te gebruiken. Dit garandeert dat geen van de gegevens met betrekking tot de klantenondersteuning toegankelijk zal zijn voor een andere klant. De gegevens met betrekking tot de ondersteuning worden op onze servers opgeslagen wanneer je onze diensten gebruikt. Jouw gegevens zijn jouw eigendom en niet die van Marketing Studio. We delen deze gegevens niet met derden zonder jouw toestemming.

Crittografia In transit: Alle klantgegevens die naar onze servers op openbare netwerken worden verzonden, zijn beschermd door strikte versleutelingsprotocollen. We vereisen het gebruik van Transport Layer Security (TLS 1.2/1.3) met complexe versleutelsleutels voor alle verbindingen met onze servers, inclusief webtoegang, API-toegang, mobiele apps en toegang tot IMAP/POP/SMTP-e-mailclients. Dit garandeert een veilige verbinding door de authenticatie van beide partijen die bij de verbinding betrokken zijn en de versleuteling van de te verzenden gegevens. Bovendien gebruiken onze diensten standaard opportunistische TLS voor e-mail. TLS versleutelt en levert e-mail veilig af, waardoor onderschepping tussen de mailservers waar peer-diensten dit protocol ondersteunen, wordt verminderd. We hebben volledige ondersteuning voor Perfect Forward Secrecy (PFS) met onze versleutelde verbindingen, wat ons verzekert dat zelfs in het geval van toekomstige compromittering geen eerdere communicatie kan worden ontsleuteld. We hebben de HTTP Strict Transport Security (HSTS) header ingeschakeld voor al onze webverbindingen. Dit geeft moderne browsers de instructie om alleen via een versleutelde verbinding met ons te verbinden, zelfs als op onze site de URL van een onveilige pagina wordt ingevoerd. Bovendien zijn al onze authenticatiecookies op het web gemarkeerd als veilig.

A rust: De inactieve gevoelige gegevens van klanten worden versleuteld met behulp van Advanced Encryption Standard (AES) met 256-bits. De versleutelde gegevens in rust variëren afhankelijk van de gekozen diensten. We bezitten en beheren de sleutels via onze interne Key Management Service (KMS). We bieden extra beveiligingsniveaus door de versleutelingssleutels van gegevens te versleutelen met master-sleutels. De master-sleutels en de versleutelingssleutels van gegevens zijn fysiek gescheiden en opgeslagen op verschillende servers met beperkte toegang.

Bewaring en verwijdering van gegevens

We bewaren de gegevens in je account voor de periode dat je ervoor kiest om Framework360 te gebruiken. Nadat je je gebruikersaccount bij Framework360 hebt gesloten, worden je gegevens verwijderd uit de actieve database tijdens de volgende schoonmaak, die elke 6 maanden plaatsvindt. Gegevens die uit de actieve database zijn verwijderd, worden na 1 maand uit de back-ups verwijderd. Een geverifieerde en goedgekeurde leverancier voert de verwijdering van onbruikbare apparaten uit. Tot dat moment classificeren we ze en bewaren we ze op een veilige plek. Alle informatie die zich binnen de apparaten bevindt, wordt vóór verwijdering gewist.

Beheer van kwetsbaarheden

We hebben een speciaal proces voor het beheer van kwetsbaarheden, dat actieve scans uitvoert op beveiligingsbedreigingen met behulp van een combinatie van gecertificeerde externe scaninstrumenten en interne tools, met geautomatiseerde activiteiten en handmatige penetratietests. Bovendien onderzoekt ons beveiligingsteam actief binnenkomende beveiligingsrapporten en monitort het openbare mailinglijsten, blogposts en wiki's om beveiligingsincidenten te identificeren die de bedrijfsinfrastructuur kunnen beïnvloeden. In het geval van identificatie van een kwetsbaarheid die moet worden verholpen, wordt deze geregistreerd en krijgt deze een prioriteit toegewezen op basis van de ernst en een eigenaar. We identificeren verder de bijbehorende risico's en volgen de kwetsbaarheid totdat deze is opgelost, door patches toe te passen op kwetsbare systemen of relevante controles.

Malware- en spambescherming

We scannen alle gebruikersbestanden met ons geautomatiseerd scansysteem, ontworpen om de verspreiding van malware in het ecosysteem Framework360 te voorkomen. Onze op maat gemaakte anti-malware-engine ontvangt periodieke updates van externe bronnen over dreigingen en scant bestanden op zoek naar blacklistsignaturen en gevaarlijke patronen. Bovendien zorgt onze eigen detectiemotor, in combinatie met machine learning-technieken, voor de bescherming van klantgegevens tegen malware. Framework360 ondersteunt het DMARC-protocol (Domain-based Message Authentication, Reporting, and Conformance) als methode om spam te voorkomen. DMARC maakt gebruik van SPF en DKIM om te verifiëren dat berichten authentiek zijn. We gebruiken ook onze eigen detectiemotor om misbruik van de diensten Framework360 te identificeren, zoals phishing- en spamactiviteiten. Bovendien hebben we een toegewijd anti-spamteam voor het monitoren van signalen vanuit de software en het beheer van misbruikklachten.

Backup

Wij voeren dagelijkse incrementele back-ups en wekelijkse volledige back-ups van onze databases uit voor de datacenters (DC) van Framework360. De back-upgegevens in het DC worden op dezelfde locatie opgeslagen en versleuteld met behulp van het AES-algoritme met 256-bits. De gegevens worden opgeslagen in tar.gz-formaat. Alle back-upgegevens worden gedurende 1 maand bewaard. Als een klant om herstel van gegevens vraagt binnen de bewaartermijn, zullen we de gegevens herstellen en beschikbaar stellen met veilige toegang. De hersteltijden van gegevens zijn afhankelijk van de grootte en complexiteit van de gegevens zelf. Om de veiligheid van de back-upgegevens te waarborgen, wordt er gebruik gemaakt van een redundante array van onafhankelijke schijven (RAID) op de back-upservers. Alle back-ups worden regelmatig gepland en gemonitord. In geval van een fout wordt er een nieuwe uitvoering gestart en wordt het probleem onmiddellijk opgelost. We raden ten zeerste aan om regelmatige back-ups van gegevens te plannen door ze te exporteren vanuit de respectieve diensten Framework360 en lokaal op te slaan in uw eigen infrastructuur.

Noodherstel en continuïteit van de dienstverlening

De gegevens van de applicaties worden opgeslagen in een veerkrachtige opslag die wordt gerepliceerd in de datacenters. De gegevens in het primaire DC worden bijna in realtime gerepliceerd naar het secundaire. In geval van een storing van het primaire DC neemt het secundaire DC de controle over en worden de operaties soepel uitgevoerd, met een minimale of geen tijdsverlies. Beide centra zijn uitgerust met meer ISP's. We hebben back-upsystemen voor voeding, temperatuurcontrole en brandpreventie, naast fysieke maatregelen om de bedrijfscontinuïteit te waarborgen. Deze maatregelen helpen ons de veerkracht te waarborgen. Naast de gegevensredundantie hebben we een bedrijfscontinuïteitsplan voor onze kernoperaties, zoals ondersteuning en infrastructuurbeheer.

Incidentbeheer Melding

We hebben een team dat zich richt op incidentbeheer. We informeren je over de incidenten in onze omgeving die jou aangaan, en geven aan welke acties je mogelijk moet ondernemen. We monitoren en lossen incidenten op met de juiste corrigerende maatregelen. Indien van toepassing, zetten we ons in om het nodige bewijs te identificeren, verzamelen, verwerven en te verstrekken in de vorm van applicatielogs en controles voor de incidenten die jou aangaan. Bovendien implementeren we controles om te voorkomen dat soortgelijke situaties zich herhalen. We reageren met de hoogste prioriteit op beveiligings- of privacy-incidenten die door gebruikers zijn gerapporteerd via assistenza@marketingstudio.it. In geval van algemene incidenten zullen we gebruikers op de hoogte stellen via onze blogs, forums en sociale media. In geval van specifieke incidenten van een enkele gebruiker of organisatie, zullen we de betrokken partij per e-mail op de hoogte stellen (met gebruikmaking van hun primaire e-mailadres of dat van de geregistreerde beheerder van de organisatie in ons systeem).

Schending kennisgeving

In de hoedanigheid van verwerkingsverantwoordelijken communiceren wij een inbreuk aan de bevoegde autoriteit inzake gegevensbescherming binnen 72 uur na ontdekking, overeenkomstig de Algemene Verordening Gegevensbescherming (AVG). Afhankelijk van de specifieke vereisten informeren we ook de klanten, indien nodig. In de hoedanigheid van verwerkers informeren wij de betrokken verwerkingsverantwoordelijken zonder onredelijke vertraging.

Beheer van leveranciers en derde partijen

Wij evalueren en kwalificeren onze leveranciers op basis van ons leveranciersbeheerbeleid. We integreren nieuwe leveranciers nadat we hun serviceleveringsprocessen hebben begrepen en risicobeoordelingen hebben uitgevoerd. We nemen de juiste maatregelen om onze veiligheidspositie te waarborgen, door overeenkomsten op te stellen die leveranciers verplichten zich aan de vertrouwelijkheids-, beschikbaarheids- en integriteitsverbintenissen te houden die we tegenover onze klanten zijn aangegaan. We monitoren de daadwerkelijke werking van de processen en beveiligingsmaatregelen van de organisatie door periodieke controles uit te voeren.

Klantenveiligheidscontroles

Tot nu toe hebben we beschreven wat we doen om onze klanten veiligheid op verschillende fronten te garanderen. Hieronder staan de dingen die je als klant kunt doen om de veiligheid te waarborgen:

  • Kies een unieke, complexe wachtwoord en bescherm het.
  • Gebruik authenticatie met meerdere factoren.
  • Gebruik de meest recente versies van browsers en mobiele besturingssystemen en bijgewerkte mobiele applicaties om ervoor te zorgen dat beveiligingspatches voor kwetsbaarheden zijn toegepast en dat de nieuwste beveiligingsfuncties worden gebruikt.
  • Neem redelijke voorzorgsmaatregelen bij het delen van gegevens vanuit onze cloudomgeving.
  • Classificeer uw informatie als persoonlijke of gevoelige gegevens en label ze dienovereenkomstig.
  • Controleer de apparaten die aan uw account zijn gekoppeld, actieve websessies en de toegang van derden om anomalieën in de activiteiten van uw account te identificeren en bijbehorende rollen en bevoegdheden te beheren.
  • Wees je bewust van phishing- en malwarebedreigingen, let op onbekende e-mailadressen, websites en links die mogelijk je gevoelige informatie kunnen misbruiken door zich voor te doen als Framework360 of andere diensten die je vertrouwt.

Conclusie

De veiligheid van jouw gegevens è een recht en een eindeloze missie voor Marketing Studio. We zullen hard blijven werken om jouw gegevens veilig te houden, zoals we altijd hebben gedaan. Voor verdere vragen over dit onderwerp, schrijf ons op assistenza@marketingstudio.it.   

Wil je leren hoe je Framework360 kunt gebruiken?

Kom bij de groep
Bekijk de tutorials

Vind je deze site leuk? Deze website è is gemaakt met Framework360.

Voorwaarden en condities VeiligheidAnti-spam informatieSoorten misbruikAuteursrechtinbreukReglement van affiliatiePrivacyCookiebeleidGDPR-voorkeuren

Marketing Studio Srl Unipersonale © Alle rechten voorbehouden.
P.IVA/C.F 12717710011 - Corso Re Umberto 8, 10121 Torino (TO) - REA 1311172 - Kapitaal € 10.000,00 I.V.