Als persoonlijke gegevens worden opgeslagen/verzonden in Corporater SaaS, worden deze in rust versleuteld in de database back-ups en versleuteld in transit (HTTPS) tussen de eindgebruiker en AWS.
Encryptie van persoonlijke gegevens
Artikel 32, lid 1, onder a) GDPR
Vertrouwelijkheid
Artikel 32, lid 1, onder b) GDPR
Fysieke toegangscontrole
AWS biedt fysieke toegang tot het datacenter alleen aan goedgekeurde werknemers. Alle medewerkers die toegang tot het datacenter nodig hebben, moeten eerst toegang aanvragen en een geldige zakelijke reden opgeven. Deze aanvragen worden toegekend op basis van het principe van de laagste privileges, waarbij de aanvragen moeten specificeren tot welke laag van het datacenter de persoon toegang nodig heeft, en zijn tijdsgebonden.
Verzoeken worden beoordeeld en goedgekeurd door bevoegd personeel en de toegang wordt ingetrokken nadat de gevraagde tijd is verstreken. Zodra toegang is verleend, zijn personen beperkt tot de gebieden die in hun rechten zijn gespecificeerd.
Toegang op afstand
Corporater SaaS platform infrastructuur en applicatielaag wordt op afstand benaderd door Corporater SaaS afdeling die ISO 27001 gecertificeerd is. Alle medewerkers die toegang hebben tot Corporater SaaS maken tijdens alle werkzaamheden gebruik van MFA-authenticatie en beveiligd VPN.
Alle gegevensverwerking in Corporater SaaS vindt plaats binnen de dedicated VPC van de klant, en alle bronnen daarin (applicatieserver en database) worden exclusief gebruikt voor één klant per VPC.
Tijdens upgrades bieden we een aparte Sandbox/Test-omgeving in dezelfde VPC.
Beschikbaarheid en veerkracht
Artikel 32, lid 1, onder b) GDPR
Het Corporater SaaS-platform en de AWS-infrastructuur worden 24/7 gemonitord door Corporater-medewerkers om de stabiliteit van de gebruikte componenten, de schaling op basis van datagroei en de up-time naar eindgebruikers te garanderen. Dit omvat het voorkomen van onopzettelijke of moedwillige vernietiging of verlies, back-up strategie (online/offline; on-site/off-site), Uninterruptible Power Supply (UPS), virusbescherming, firewall, rapportageprocedures en noodplannen.
De elektrische voedingssystemen van de AWS-datacenters zijn volledig redundant ontworpen en kunnen 24 uur per dag worden onderhouden zonder dat dit gevolgen heeft voor de activiteiten. Back-ups worden dagelijks gemaakt en 30 dagen bewaard.
Integriteit
Artikel 32, lid 1, onder b) GDPR
Controle gegevensoverdracht
Al het verkeer tussen Corporater SaaS en de webbrowser van eindgebruikers die toegang krijgen tot de applicatie, is versleuteld (HTTPS/SSL) met behulp van geldige certificaten. Eventuele integraties worden beveiligd op een manier die acceptabel is voor de klant met bijvoorbeeld VPN-tunnels, of indien van toepassing webservice-eindpunten op het bronsysteem van de klant.
Controle gegevensinvoer
Toegang tot onderhoud van het platform of configuratie van de software wordt gelogd in eigen audit logs. Onderhoud van het Corporater SaaS op AWS platform wordt gelogd binnen AWS.
Toegang tot en wijzigingen in de configuratie van de klant worden geregistreerd binnen het Corporater platform en zijn te allen tijde beschikbaar voor de beheerders van de klant.
Procedures voor noodherstel
Artikel 32, lid 1, onder c) GDPR
Corporater heeft, als onderdeel van de ISO 27001-certificering en ons interne controlesysteem, een escalatieproces opgesteld en gedefinieerd waarin is vastgelegd wie moet worden geïnformeerd in het geval van een netwerk-, opslag- of computerstoring die leidt tot een verslechtering van de dienstverlening en/of gegevensverlies. Het doel van dit escalatieproces is dat alle medewerkers in staat van paraatheid zijn in het geval dat er disaster recovery-procedures of data recovery moeten worden uitgevoerd, zodat systemen zo snel mogelijk kunnen worden hersteld. Daarnaast zijn het datacenter en de services van AWS zo ontworpen dat Corporater rampherstelscenario's kan bieden die aansluiten bij de behoeften van klanten, van kleine bedrijven tot grote ondernemingen.
Procedures voor regelmatige testen, beoordeling en evaluatie
Artikel 32 Lid 1 Clausule d GDPR; Artikel 25 Lid 1 GDPR
Corporater's Data Protection Organization zal, als onderdeel van onze interne controleprocedure, trainingen, beoordelingen en evaluaties uitvoeren die zijn afgestemd op de competenties van specifieke functies/afdelingen en locaties. Het doel hiervan is om ervoor te zorgen en te controleren dat de bestaande procedures zijn aangepast aan de werkelijke situatie, dat de procedures worden gevolgd door alle medewerkers of derden die toegang hebben tot persoonlijke gegevens en dat eventuele inbreuken op de beveiliging worden gemeld aan de verantwoordelijke persoon.