Deze Security Policy beschrijft de maatregelen, procedures en richtlijnen die Guardey volgt om de security van data en systemen te waarborgen. Dit beleid is van toepassing op alle medewerkers, contractors en derden die toegang hebben tot de systemen en data van Guardey.
Guardey streeft ernaar om:
• De vertrouwelijkheid, integriteit en beschikbaarheid van data te beschermen.
• Ongeautoriseerde toegang en bedreigingen te voorkomen.
• Te voldoen aan relevante wetten, regelgeving en industriestandaarden.
• Least Privilege: Toegang wordt alleen verleend tot de noodzakelijke data en systemen.
• Accountability: Iedereen binnen Guardey is verantwoordelijk voor het naleven van beveiligingsmaatregelen.
• Identification and Authentication: Alle gebruikers moeten authenticeren via multi-factor authentication (2FA) met e-mail. Single Sign-On (SSO) via Microsoft wordt ook gebruikt om toegang te stroomlijnen en te beveiligen.
• Authorization: Guardey maakt gebruik van een role-based access control (RBAC) model dat organisatorische eenheden, gebruikersaccounts en gebruikersgroepen beheert.
• Account Management: Het aanmaken, onderhouden en verwijderen van accounts volgt strikt gedefinieerde procedures.
• Encryption: Alle data in transit is beveiligd met TLS.
• Data Classification: Data wordt geclassificeerd op basis van gevoeligheid en dienovereenkomstig behandeld.
• Backups: Dagelijkse backups van de database worden gemaakt en versleuteld opgeslagen in meerdere regio's binnen onze hosting. In geval van verlies van productiedata kunnen deze backups worden gebruikt om de data te herstellen.
• Firewall: Guardey gebruikt de Cloudflare Web Application Firewall (WAF) om applicaties te beschermen tegen aanvallen.
• Network Segmentation: Er wordt een dedicated productieomgeving onderhouden, wat garandeert dat klantdata nooit wordt opgeslagen of verwerkt in niet-productiesystemen.
• Intrusion Detection: Continue monitoring en logging van de netwerkinfrastructuur om ongeautoriseerde toegang te detecteren en te voorkomen.
• Development Guidelines: Ontwikkelaars volgen beveiligingsrichtlijnen en best practices voor secure coding.
• Secure Application Development: Al onze codewijzigingen worden gecontroleerd door een tweede ontwikkelaar en via CI op kwaliteit, bugs en kwetsbaarheden.
Vervolgens worden de wijzigingen in een pre-productieomgeving opnieuw gecontroleerd. Als alles correct werkt, kan een van onze beheerders de wijziging goedkeuren, waarna een geautomatiseerde roll-out van de wijziging plaatsvindt in de productieomgeving.
• Vulnerability Management: Regelmatige scans en updates om kwetsbaarheden te identificeren en te verhelpen.
• Security Testing: Periodieke penetration testing en code reviews.
• Data Centers: De data van Guardey wordt gehost in beveiligde data centers in Nederland (EU) om te voldoen aan de EU-wetgeving voor databescherming en privacy. Deze data centers maken gebruik van fysieke toegangsbeperkingen, bewakingssystemen en omgevingsbeveiliging.
• Toegang tot Fysieke Locaties: Alleen geautoriseerd personeel heeft toegang tot gevoelige locaties.
• Incident Response Plan: Gedetailleerde procedures voor het melden en afhandelen van security incidents.
• Communication: Gedefinieerde interne en externe communicatieprotocollen tijdens incidenten.
• Forensics: Onderzoek en analyse van incidenten om oorzaken en impact vast te stellen.
• Monitoring Tools: Guardey gebruikt diverse monitoring tools om wijzigingen in de infrastructuur te overzien en te beheren.
• Logging: Alle wijzigingen en acties binnen de Guardey-omgeving worden nauwgezet gelogd. Alerts worden gegenereerd op basis van de ernst of potentiële impact van wijzigingen.
• Data Erasure: Klanten zijn verantwoordelijk voor hun data en kunnen Guardey instrueren om al hun data te verwijderen in overeenstemming met de toepasselijke wetgeving, tenzij regelgeving retentie verplicht stelt.
• Qualys SSL Labs: Guardey heeft een A-grade kwalificatie.
• Regulatory Compliance: Guardey zorgt ervoor dat alle beveiligingsmaatregelen voldoen aan relevante wet- en regelgeving, zoals de AVG.
• Evaluatie en Updates: Dit beleid wordt regelmatig geëvalueerd en bijgewerkt om ervoor te zorgen dat het aansluit bij veranderende dreigingen en technologieën.
• Monitoring en Handhaving: Guardey monitort en handhaaft de naleving van dit beleid onder alle betrokken partijen.
Bij Guardey brengen we in de praktijk wat we prediken. Als bedrijf dat security awareness training aanbiedt via wekelijkse nano learning sessies, zorgen we ervoor dat al onze medewerkers ook grondig getraind worden met ons eigen product. Dit houdt ons team niet alleen op de hoogte van de nieuwste security practices, maar toont ook onze interne toewijding aan security. Onze medewerkers nemen deel aan deze boeiende en informatieve trainingen, waardoor security awareness altijd prioriteit heeft.