Enterprise security
you can rely on

Onze Software Development Life Cycle (SDLC) zorgt ervoor dat onze applicaties en programmeerinterfaces (API's) worden ontworpen, geïmplementeerd en getest in overeenstemming met toonaangevende industrienormen, zoals OWASP, ISO en SOC, en voldoen aan wettelijke, statutaire of regelgevende nalevingsverplichtingen.

Je wordt aan boord genomen zodra alle overeenkomsten en beleidsregels voor het gebruik van de service zijn geaccepteerd. U bent ervoor verantwoordelijk dat uw gebruik van Caseware Cloud in overeenstemming is met toepasselijke wet- en regelgeving.

Juridische bijzonderheden zijn hier te vinden in de Cloud Services-overeenkomst:

https://docs.caseware.com/latest/webapp/en/Setup/Licenses/CaseWare-Cloud-Services-Agreement.htm

‍

Ons beleid en onze procedures zijn opgesteld en worden gehandhaafd ter ondersteuning van gegevensbeveiliging, waaronder vertrouwelijkheid, integriteit en beschikbaarheid voor meerdere systeeminterfaces, rechtsgebieden en bedrijfsfuncties om ongepaste openbaarmaking, wijziging of vernietiging te voorkomen.

Onafhankelijke audits worden uitgevoerd door geregistreerde derde partijen als onderdeel van ons complianceprogramma voor ISO 27001 en SOC 2 voor onze cloudservices. We hebben ook een intern auditprogramma, externe penetratietests en regelmatig geplande interne kwetsbaarheidstests. Resultaten van kwetsbaarheidstests worden gedeeld met klanten zoals beschreven in het beleid voor testen op initiatief van de klant. De resultaten

van deze processen worden bijgehouden via ons verbeteringsproces. De methodologie en tools die worden gebruikt om penetratietests uit te voeren, worden voor elke beoordeling op maat gemaakt voor specifieke doelen en aanvallerprofielen. SOC 2-rapporten worden onder NDA aan klanten verstrekt. Ons SOC 3-rapport is hier beschikbaar in PDF-formaat.

‍

Productiegegevens worden opgeslagen op Amazon Web Services (AWS). De applicatie zorgt voor een logische scheiding van clientgegevens door middel van database-isolatie. Gegevens die worden overgedragen van en naar onze service (inclusief back-ups) zijn 100% versleuteld via een SSL-verbinding (AES-256-bit - dezelfde sterkte die wordt gebruikt bij online bankieren). De gegevensoverdracht vindt plaats tussen client en server en databases. Er zijn controlemaatregelen om de overdracht van gegevens in bulk te garanderen en te versleutelen. Er worden geen e-mails verzonden. Zie voor meer informatie over beveiliging:

https://www.casewarecloud.com/security.html.

Ons juridische team houdt toezicht op onze wettelijke verplichtingen. Raadpleeg onze Cloud Services-overeenkomst voor de wettelijke vereisten:

https://docs.caseware.com/latest/webapp/en/Setup/Licenses/CaseWare-Cloud-Services-Agreement.htm

Caseware heeft een consistent en robuust raamwerk voor bedrijfscontinuïteitsplanning en heeft BCP's opgesteld, gedocumenteerd en aangepast om ervoor te zorgen dat alle bedrijfscontinuïteitsplannen consistent zijn in het aanpakken van prioriteiten voor testen, onderhoud en informatiebeveiligingseisen.

De vereisten voor bedrijfscontinuïteitsplannen omvatten het volgende:

• Gedefinieerd doel en toepassingsgebied, afgestemd op relevante afhankelijkheden
• Toegankelijk voor gebruikers
• Eigendom van een of meer met name genoemde personen die verantwoordelijk zijn voor de beoordeling, actualisering en goedkeuring
• Gedetailleerde lijst van communicatie, rollen en verantwoordelijkheden
• Gedetailleerde herstelprocedures, handmatige work-around en referentie-informatie
• Methode voor planaanroeping

Onze plannen voor bedrijfscontinuïteit en respons op beveiligingsincidenten worden getest met geplande tussenpozen of bij belangrijke organisatorische of omgevingsveranderingen. Plannen voor respons op incidenten hebben betrekking op getroffen klanten (huurder) en andere zakelijke relaties die kritieke afhankelijkheden van bedrijfsprocessen binnen detoeleveringsketenvertegenwoordigen.

Onze service wordt gehost op Amazon's AWS en de nutsvoorzieningen en omgevingscondities (bijvoorbeeld water, stroom, temperatuur- en vochtigheidscontroles, telecommunicatie en internetconnectiviteit) worden beveiligd, bewaakt, onderhouden en getest op voortdurende effectiviteit met geplande tussenpozen om bescherming tegen ongeautoriseerde onderschepping of schade te garanderen, en zijn ontworpen met automatische failover of andere redundanties in het geval van geplande of ongeplande onderbrekingen.

Onze cloudservice is volledig virtueel en wordt gehost op Amazon Web Services (AWS). Amazon voldoet aan ISO en SOC2 en is verantwoordelijk voor het beperken van de toegang tot faciliteiten die het cloudplatform huisvest tot geautoriseerde personen. AWS is ook verantwoordelijk voor milieubescherming en het fysieke onderhoud van productiesystemen. AWS heeft controles gepubliceerd die details geven over milieuwaarborgen en verantwoordelijkheden. De omgeving heeft strenge operationele praktijken, systeembewaking en beveiligingswaarborgen. Meer informatie over fysieke controles, milieucontroles en verplichtingen en verbintenissen worden beheerd en gecertificeerd door AWS. Informatie over AWS fysieke beveiliging is te vinden op: https://aws.amazon.com/compliance.

‍

Caseware heeft ons beveiligingsprogramma afgestemd op ISO 27001 en we hebben bedrijfscontinuïteitsprocessen om verstoringen van kritieke services aan te pakken. We bewaken alle cloudinstanties op prestaties en beschikbaarheid en nemen het volgende op:

• Kritieke producten en diensten identificeren
• Alle afhankelijkheden identificeren, inclusief processen, applicaties, zakelijke partners enexterneserviceproviders
• Bedreigingen voor kritieke producten en diensten begrijpen
• Bepaal de gevolgen van geplande of ongeplande verstoringen en hoe deze kunnen variëren in de tijd
• De maximaal aanvaardbare periode voor verstoring vaststellen
• Prioriteiten voor herstel vaststellen
• Hersteltijdsdoelstellingen vaststellen voor het hervatten van kritieke producten en diensten binnen de maximaal aanvaardbare periode van verstoring
• De middelen schatten die nodig zijn voor hervatting

Klanten kunnen onzerealtimeoperationele status zien op onze statuspagina hier: https://caseware.statuspage.io/

We onderhouden een centraal systeem voor documentatie en trainen alle medewerkers in de processen. De procedures omvatten wijzigingsbeheer, beveiligingsprocessen, rollen en verantwoordelijkheden van interne gebruikers. Onze procedures worden naarbehoeftebijgewerkt en de revisiegeschiedenis wordt bijgehouden. Daarnaast omvatten beleid en procedures gedefinieerde rollen en verantwoordelijkheden die worden ondersteund door regelmatige training van het personeel.

‍

Caseware hanteert een documentatie- en bewaarbeleid voor Cloud-diensten. Het bewaarbeleid is nietklantspecifiek. Back-up- en herstelprocedures zijn gedocumenteerd en dagelijks worden geautomatiseerde waarschuwingen verstuurd naar de operationele medewerkers. Back-up- en herstelmaatregelen zijn opgenomen in de bedrijfscontinuïteitsplanning en dienovereenkomstig getest op effectiviteit. Zie hieronder het bewaarbeleid voor elke categorie documenten.

Systeemtransactielogboeken

Beschrijving: Database journals en andere logs die gebruikt worden voor databaseherstel.

Bewaartermijn: 30 dagen.

Reden voor aanhouden: Gebaseerd op back-up- en herstelstrategie.

Toegestane opslagmedia: Elektronisch.

Controlelogboeken

Beschrijving: Beveiligingslogs, bijvoorbeeld records van aan/afmelden en wijzigingen in rechten.

Bewaartermijn: 30 dagen.

Reden voor aanhouden: Maximale periode van vertraging voor forensisch onderzoek.

Toegestane opslagmedia: Elektronisch.

Operationele procedures

Beschrijving: Records die verband houden met de voltooiing van operationele procedures.

Bewaartermijn: 2 jaar.

Reden voor aanhouden: Maximumtermijn voor geschil.

Toegestane opslagmedia: Elektronisch.

Klant

Beschrijving: Back-ups van klanten.

Bewaartermijn: 90 dagen.

Reden voor aanhouden: Vereiste gegevensbescherming.

Toegestane opslagmedia: Elektronisch.

‍

Wijzigingsbeheercontroles zijn ingesteld voor elke nieuwe ontwikkeling en/of aankoop van nieuwe gegevens, fysieke of virtuele toepassingen, infrastructuurnetwerk en systeemcomponenten, of alle bedrijfs-, operationele en/of datacenterfaciliteiten zijnvooraf geautoriseerddoor de bedrijfsleidingvande organisatie of andere verantwoordelijke bedrijfsrollen of -functies. Onze SDLC heeft een gedefinieerde kwalificerende wijzigingscontrole en testprocedure met vastgestelde basislijnen, test- en releasenormen die zich richten op systeembeschikbaarheid, vertrouwelijkheid en integriteit van systemen en services.

Er zijn beleidsregels en procedures opgesteld en ondersteunende bedrijfsprocessen en technische maatregelen geïmplementeerd om de installatie van niet-geautoriseerde software te beperken op gebruikersapparaten en mobiele apparaten die eigendom zijn van en beheerd worden door deorganisatieen op netwerk- en systeemcomponenten van de IT-infrastructuur binnen de productiecloudomgeving. Ons beleid en onze procedures voor wijzigingsbeheer beschrijven de risico's die gepaard gaan met het toepassen van wijzigingen opbedrijfskritiekeapplicaties of applicaties die van invloed zijn op de klant, en opsysteemgerelateerdeinterface (API)-ontwerpen of configuraties. Er zijn ook technische maatregelen geïmplementeerd om zekerheid te bieden dat alle wijzigingen direct overeenkomen met een geregistreerd wijzigingsverzoek, bedrijfskritischof klant, en/of autorisatie door de klant volgens afspraak voorafgaand aan de implementatie.

Caseware heeft beleid en procedures en ondersteunende bedrijfsprocessen en technische maatregelen om de gegevensstromen binnen het SaaS-netwerk en de systemen voor elke geografische locatie te inventariseren en te onderhouden. Er zijn controles om ervoor te zorgen dat gegevens in het door de klant bepaalde geografische gebied worden geplaatst. Abonneegegevens in de productiecloudomgeving bevinden zich op eenlow-tierinfrastructuur en zijn niet rechtstreeks toegankelijk vanaf het internet.

‍

Ons beveiligingsbeleid definieert vier niveaus van gegevensclassificatie: vertrouwelijk, beperkt, operationeel en openbaar. Alle gegevens die worden opgeslagen in de productiecloudinfrastructuur worden beschouwd als vertrouwelijk, wat ons hoogste beveiligingsniveau is, en alleen bevoegde medewerkers hebben toegang tot deze omgeving. Logische toegang tot de productiecloudomgeving is beperkt tot het operationele team.

Alle abonneegegevens worden opgeslagen in de productiecloudomgeving. Het gebruik van klantgegevens inniet-productieomgevingenwordt gecontroleerd door middel van veilige processen voorgegevensverwerking, waarvoor expliciet gedocumenteerde toestemming nodig is van de klanten van wie de gegevens worden beïnvloed, en die moeten voldoen aan de vereisten van wet- en regelgeving voor het scrubben van gevoelige gegevenselementen.

Er is een aangewezen operationeel team dat verantwoordelijk is voor alle operationele functies met betrekking tot de infrastructuur en opslag met toegewezen verantwoordelijkheden die zijn gedefinieerd, gedocumenteerd en gecommuniceerd.

Caseware Cloud wordt gehost op webservers van Amazon over de hele wereld. Bij het afsluiten van een abonnement op de Caseware Cloud Diensten informeert CWC klanten over het rechtsgebied waarin de server staat die is toegewezen voor het hosten van uw Abonneegegevens en/of Persoonlijke Informatie. U kunt instemmen met een dergelijke toewijzing of een aldus toegewezen server weigeren.

Om prestatieredenen stellen we je meestal in:

• Verenigde Staten/Noord-Virginia als je je in de Verenigde Staten of Zuid-Amerika bevindt
• Canada/Montreal als je je in Canada bevindt
• Australië/New South Wales als je je in de regioAzië/StilleOceaan bevindt
• Ierland/Leinster als je je in een andere regio bevindt

De productie-infrastructuur wordt volledig gehost binnen Amazon's AWS. AWS is verantwoordelijk voor het beperken van de toegang tot faciliteiten waarin de productiesystemen zijn ondergebracht tot bevoegde personen. AWS is ook verantwoordelijk voor milieubescherming en preventief onderhoud van productiesystemen. Fysieke toegang wordt gecontroleerd door AWS aan de perimeter en aan de ingang van het gebouw. Alle details zijn hier te vinden: https://aws.amazon.com/whitepapers/#security

Extra details: https://aws.amazon.com/compliance/data-center/controls/

‍

Onze productie-infrastructuur wordt volledig gehost binnen Amazon's AWS. AWS heeft SOC 2-rapporten, die jaarlijks worden beoordeeld. De bestuursprocessen van AWS zijn hier te vinden: https://aws.amazon.com/compliance/

‍

Ons cryptografiebeleid en onze cryptografieprocedures zijn ontworpen om bedrijfsprocessen te ondersteunen. Er zijn technische maatregelen geïmplementeerd op basis van bedrijfsvereisten voor de bescherming van gegevens in ruste en gegevens in doorvoer volgens de toepasselijke wettelijke, statutaire en regelgevende nalevingsverplichtingen.

Ons cryptografiebeleid vereist dat alle encryptiesleutels identificeerbare eigenaars hebben binnen de organisatie. Het beheer van de levenscyclus van cryptografische sleutels zorgt ervoor dat er toegangscontroles zijn voor veilige sleutelgeneratie, -uitwisseling en -opslag, inclusief scheiding van sleutels die worden gebruikt voor versleutelde gegevens of sessies.

Gegevens die zijn opgeslagen op serverniveau (data-at-rest) worden versleuteld met het industriestandaard algoritmeAES-256. Gegevens die worden overgedragen van en naar onze service (data-in-transit) worden versleuteld via TLS met kortstondige sleuteluitwisseling met behulp vanindustrieelgeaccepteerde sterke cijfers. Certificaten gebruiken minimaal2048-bitssleutelsterkte metSHA-2of sterkere handtekeningalgoritmen. Privé sleutels worden gegenereerd en opgeslagen in onze systemen voor het beheren van geheimen. Ze worden naar behoefte ingezet en gebruikt op productiesystemen via onze processen voor wijzigingsbeheer. Certificaten worden verkregen via een gerenommeerde leverancier en volgen hetingebouwdeen standaard vernieuwings-/rotatieproces op basis van vervaldatum of intrekking, indien nodig.

Evaluaties van beveiligingsrisico's worden minstens jaarlijks uitgevoerd en houden rekening met het volgende:

• Bewustzijn van waar gevoelige gegevens worden opgeslagen en verzonden in applicaties, databases, servers en netwerkinfrastructuur
• Naleving van gedefinieerde bewaarperioden
• Classificatie en bescherming van gegevens tegen ongeoorloofd gebruik, toegang, verlies, vernietiging en vervalsing

We hebben een beheersysteem voor informatiebeveiliging geïmplementeerd op basis van ISO 27001 en SOC 2-controles. Ons ISMS omvat de volgende gebieden voor zover deze betrekking hebben op de kenmerken van het bedrijf:

• Informatiebeveiligingsbeleid (dit document)
• Beleid voor toegangscontrole
• Beheer van beschikbaarheid
• Clean Desk Policy
• Cryptografiebeleid
• Beleid IS Leveranciersbeheer
• Beleid voor registratie en bewaking
• Beleid mobiele apparaten
• Netwerkbeveiligingsbeleid
• Beleid wachtwoordbeheer
• Beleid voor patchbeheer
• Softwarebeleid
• Beleid voor technisch kwetsbaarheidsbeheer
• Methodologie voor risicobeoordeling
• Malware, e-mail en ISMS-beleid
• Beleid voor aanvaardbaar internetgebruik
• Beleid voor penetratietesten
• Beleid telewerken
• Bewaring en bescherming van gegevens

Afdelingsmanagers zijn verantwoordelijk voor het bekend zijn met en het naleven van beveiligingsbeleid, -procedures en -normen die relevant zijn voor hun verantwoordelijkheidsgebied.

De risicoaanvaardingsniveaus zijn gedefinieerd binnen de risicobeheermethodologie en alle risico's zijn beperkt tot een aanvaardbaar niveau met redelijke oplossingstermijnen en goedkeuring van belanghebbenden.

Ons informatiebeveiligingsbeleid en onze informatiebeveiligingsprocedures worden gepubliceerd en kunnen worden ingezien door alle betrokken medewerkers en externe zakenrelaties. De Information Security Steering Committee is verantwoordelijk voor het ontwikkelen, onderhouden en handhaven van het informatiebeveiligingsbeleid van onze service. Het informatiebeveiligingsbeleid wordt jaarlijks herzien en goedgekeurd door de Information Security Steering Committee. Het uitvoerend management en het lijnmanagement bieden ondersteuning voor informatiebeveiliging door middel van duidelijk gedocumenteerde richtlijnen en toezeggingen, en zorgen ervoor dat er actie wordt ondernomen. Er is een senior managementlid verantwoordelijk voor het beheer en de activiteiten op het gebied van informatiebeveiliging, waaronder de bescherming van klantgegevens - deze rol rapporteert aan de CFO.

Het beleid wordt jaarlijks herzien door de Information Security Steering Committee of als gevolg van wijzigingen in de organisatie om ervoor te zorgen dat het nog steeds in lijn is met de beveiligingsstrategie, het bedrijfsbeheer, de relevantie en de toepasbaarheid op wettelijke, statutaire of regelgevende nalevingsverplichtingen.

Jaarlijks worden corrigerende risicobeoordelingen uitgevoerd en worden alle wijzigingen in bestaande systemen geëvalueerd om de waarschijnlijkheid en impact van alle geïdentificeerde risico's te bepalen.

Risicobehandeling en impact van geïdentificeerde risico's worden geëvalueerd en gekoppeld aan geplande budgettaire overwegingen, waarbij alle risicocategorieën in overweging worden genomen op basis van auditresultaten, dreigings- en kwetsbaarheidsanalyse, sector- en nalevingsrisico's. Alle risicobeoordelingen worden uitgevoerd om beleid, procedures, normen en controles te verifiëren om ervoor te zorgen dat ze relevant en effectief blijven voor het risico van elk nalevingsrisico.

Resultaten van risicobeoordelingen zijn:

• Gerapporteerd aan het senior management als het risico betrekking heeft op risicobehandelingsprocessen
• Bijgewerkt in het risicoregister
• Geprioriteerd op basis van mogelijke impact op productiesystemen

Onze HR heeft een gedefinieerd screeningsproces voor alle medewerkers. Alle werknemers worden bij indiensttreding gecontroleerd op hun referenties en er worden strafrechtelijke en kredietrechtelijke antecedentencontroles uitgevoerd voor werknemers die operationele rollen vervullen in de product-cloudomgeving. Alle medewerkers moeten voorafgaand aan hun dienstverband een geheimhoudingsverklaring ondertekenen om de bescherming van klantgegevens te waarborgen. Tijdens het inwerken van werknemers wordt er een training gegeven om hen bewust te maken van informatiebeveiliging. Ontwikkelaars krijgen specifieke training over veilige codeerpraktijken. Er worden formele gegevens bijgehouden over de voltooiing van interne personeelsopleidingen. Werknemersbeëindigingen en functiewijzigingen worden geïnitieerd door afdelingsmanagers. Ons HR-team beoordeelt deze verzoeken en dient het verzoek in via ons ticketingsysteem voorde-provisioningen provisioning vereisten. Ons HR-team heeft een vertrekproces voor medewerkers om ervoor te zorgen dat alle apparatuur wordt ingeleverd en accounts worden opgezegd om ervoor te zorgen dat de toegang tot productieomgevingen wordt verwijderd.

Er is een trainingsprogramma voor beveiligingsbewustzijn opgesteld voor alle aannemers, externe gebruikers en werknemers. Alle personen met toegang tot vertrouwelijke en beperkt toegankelijke gegevens krijgen de juiste bewustwordingstraining en regelmatige updates van organisatorische procedures, processen en beleidsregels met betrekking tot hun functie binnen de organisatie. Rollen en verantwoordelijkheden van aannemers, werknemers en externe gebruikers zijn gedocumenteerd als ze betrekking hebben op informatiemiddelen en beveiliging.

‍

Gebruikersverantwoordelijkheden zijn vastgelegd in functiebeschrijvingen voor alle medewerkers en ze zijn op de hoogte van hun rollen en verantwoordelijkheden:

• Zich bewust blijven van en voldoen aan vastgesteld beleid en procedures en toepasselijke wettelijke, statutaire of regelgevende nalevingsverplichtingen
• Een veilige werkomgeving handhaven
• Verdachte activiteiten melden als ze worden ontdekt

We hebben een duidelijk beeldschermbeleid dat vereist dat onbeheerde werkruimten geen openlijk zichtbare gevoelige documenten hebben en dat computersessies van gebruikers zijn uitgeschakeld na een vastgestelde periode van inactiviteit.

We hebben een toegangscontrolebeleid waarin staat hoe we de toegangscontrole tot alle systeemcomponenten en gevoelige informatie in de organisatie moeten beheren. Beleid met betrekking tot aanvaardbaar gebruik van of toegang tot abonneegegevens en metadata is opgenomen in het Caseware privacybeleid (https://www.caseware.com/privacy-statement/). Caseware verzamelt, gebruikt en onthult informatie alleen voor de volgende doeleinden:

• Uw identiteit verifiëren
• Om u de Caseware Cloud Diensten te leveren
• Om contact met u op te nemen voor productinformatie, service-updates, factureringsmeldingen of meldingen met betrekking tot de Caseware Cloud Services
• Systeemgebruik en server- en softwareprestaties bewaken en/of verbeteren
• Assisteren bij technische ondersteuning

Om te voldoen aan wet- en regelgeving, gerechtelijke bevelen, dagvaardingen of andere wettelijke onderzoeksprocedures en om CWC, haar gelieerde ondernemingen en andere personen te beschermen tegen schade

CWC Dienstenaanbod verbeteren en uitbreiden.

Er zijn beleidsregels en procedures opgesteld om identiteitsinformatie op te slaan en te beheren over elke persoon die toegang heeft tot de productiecloudinfrastructuur en om hun toegangsniveau te bepalen. Beleid en procedures voor toegangscontrole zijn vastgesteld en ondersteunende bedrijfsprocessen en technische maatregelen zijn geïmplementeerd voor het beperken van gebruikerstoegang volgens de gedefinieerde scheiding van taken om bedrijfsrisico's aan te pakken die samenhangen met belangenverstrengeling tussen gebruiker en rol. De zoegangscontrolerepository wordt beheerd door de provider. We gebruiken een geprivilegieerde identiteitsbeheerder en wachtwoordbeheersysteem.

Toegang tot en gebruik van audittools die communiceren met de productiecloudomgeving is gesegmenteerd en beperkt om compromittering en misbruik van loggegevens te voorkomen. Gebruikerstoegang tot diagnostische en configuratiepoorten is beperkt tot geautoriseerde personen en toepassingen.

Er zijn controles aanwezig om ervoor te zorgen dat alleen goedgekeurde software wordt geïnstalleerd binnen de productiecloudinfrastructuur.

Toegang tot de applicatiecode-repository wordt streng gecontroleerd. Alleen bevoegd ontwikkelingspersoneel heeft toegang tot applicatiecode, IP en bedrijfseigen software in gecontroleerde omgevingen op basis van de functie en goedkeuring voordat toegang wordt verleend.

‍

Caseware Cloud Service vereist wachtwoordverificatie om toegang te krijgen tot het basissysteem. Eenmaal in het systeem moeten gebruikers beveiligingsrollen toegewezen krijgen om extra handelingen uit te voeren en toegang te krijgen tot bepaalde inhoud. Met beveiligingsrollen kun je bepalen wie toegang heeft tot welke inhoud. Uw organisatie is verantwoordelijk voor het ontwikkelen van een passend beveiligingsbeleid voor wachtwoorden en beveiligingsrollen met behulp van de beveiligingsfuncties in Caseware Cloud. Caseware biedt toegang aan klanten, die vervolgens hun eigen gebruikers en administratieve accounts beheren, inclusief provisioning ende-provisioning. Er wordt gebruikgemaakt vantwee-factorauthenticatie. Gebruikerstoegang wordt elk kwartaal geautoriseerd en opnieuw gevalideerd om de regel van de minste privileges op basis van de functie te garanderen. Voor geconstateerde schendingen van de toegang worden herstelmaatregelen genomen op basis van het vastgestelde beleid en de procedures voor gebruikerstoegang. Tijdigede-provisioning(intrekking of wijziging) van gebruikerstoegang tot gegevens of beheerde applicaties, infrastructuursystemen en netwerkcomponenten is geïmplementeerd volgens vastgesteld beleid en procedures en op basis van een verandering in de status van de gebruiker, zoals beëindiging van het dienstverband of een andere zakelijke relatie, verandering van baan of overplaatsing. De provider beheert de provisioning ende-provisioningvan serviceaccounts. Verificatie van serviceaccounts maakt gebruik vanmultifactorauthenticatie.

Caseware Cloud zet een SaaS-gebaseerd endpoint detection and response security endpoint in op alle hosts binnen onze infrastructuur. Alle gebruikers-, proces- en netwerkactiviteiten worden verzameld en opgeslagen op defraudebestendigecentrale locatie en in bijnarealtimegeanalyseerd op verdacht gedrag en op handmatig forensisch onderzoek. Bescherming, bewaring en levenscyclusbeheer van auditlogs, voldoen aan toepasselijke wettelijke, statutaire of regelgevende nalevingsverplichtingen en bieden unieke toegangsverantwoordelijkheden voor gebruikers om mogelijk verdacht netwerkgedrag en/of anomalieën in bestandsintegriteit te detecteren, die nodig zijn om forensische onderzoeksmogelijkheden te ondersteunen in het geval van een beveiligingsinbreuk. Onze tools kunnen ongeautoriseerd of afwijkend gedrag detecteren/voorkomen op basis van netwerkverkeer of hostactiviteit. Alle authenticatiegebeurtenissen, succesvol en mislukt, worden gelogd.

‍

Onze productie- enniet-productieomgevingenzijn gescheiden om ongeoorloofde wijzigingen of informatielekken te voorkomen.

Scheiding van de omgevingen omvat logische scheiding en scheiding van taken voor personeel dat toegang heeft tot deze omgevingen als onderdeel van hun taken.

‍

Ons productiesysteem en onze netwerkomgeving worden beschermd door centraal beheerde firewalls en zorgen voor een scheiding van productie- enniet-productieomgevingen. Onze productieomgeving is ontworpen, ontwikkeld, geïmplementeerd en geconfigureerd om ervoor te zorgen dat de toegang voor ons operationeel team en onze klanten op de juiste manier is gesegmenteerd van andere klantengebruikers, op basis van de volgende overwegingen:

• Vastgesteld beleid en procedures
• Isolatie vanbedrijfskritischebedrijfsmiddelen en/of gevoelige gebruikersgegevens en -sessies die sterkere interne controles en een hoge mate van zekerheid vereisen
• Voldoen aan wettelijke, statutaire en reglementaire verplichtingen

De productiecloudinfrastructuur heeft een betrouwbare en onderling overeengekomen externe tijdbron die wordt gebruikt om de systeemklokken van alle relevante informatieverwerkende systemen te synchroniseren om het traceren en reconstrueren van tijdlijnen van activiteiten te vergemakkelijken.

Er zijn beleidsregels en procedures geïmplementeerd om te zorgen voor een consistente beoordeling van dienstverleningsovereenkomsten tussen leveranciers en klanten binnen de relevante toeleveringsketen. Reviews worden minstens jaarlijks uitgevoerd en stellen vast ofer sprake is van non-conformiteitmet de gemaakte afspraken. Allenon-conformiteitenworden geïdentificeerd als acties om conflicten of inconsistenties in hetserviceniveauaan te pakken.

Er zijn beleidsregels en procedures opgesteld en ondersteunende bedrijfsprocessen en technische maatregelen geïmplementeerd om de uitvoering van malware binnen de productiecloudomgeving of eindgebruikersapparaten en netwerk- en systeemcomponenten van de IT-infrastructuur te voorkomen. Beleid en procedures zijn vastgesteld en ondersteunende processen en technische maatregelen zijn geïmplementeerd voor tijdige detectie van kwetsbaarheden in applicaties, infrastructuurnetwerken en systeemcomponenten die eigendom zijn van of beheerd worden door de organisatie. We evalueren ook voortdurend de kwetsbaarheid van toepassingen en code van onze producten en hebben dubbele beoordelingen van alle codewijzigingen om de efficiëntie van geïmplementeerde beveiligingscontroles te garanderen. Onze risicobeheermethodologie wordt gebruikt om prioriteit te geven aan het verhelpen van geïdentificeerde kwetsbaarheden. Wijzigingen worden beheerd via ons gedefinieerde wijzigingsbeheerproces voor alle door leveranciers geleverde patches, configuratiewijzigingen of wijzigingen aan onze applicaties. Onze anti-malwareoplossing wordt centraal beheerd en draait op alle systemen. De anti-malwareoplossing bevat mechanismen voor het detecteren of voorkomen van phishing. Updates van malwarehandtekeningen worden binnen 1 dag na vrijgave ingezet.