Veiligheidsbewustzijn

Veiligheid is een onderdeel van alle processen binnen Cogix. Of het nu gaat om projecten, incident management of change management. Veiligheid is een continu proces en bespreken we periodiek. We passen het veiligheidsbeleid ook continu aan, bijvoorbeeld wanneer omstandigheden en wetgeving veranderen. Door het trainen van onze medewerkers zorgen we ervoor dat iedereen veiligheid als essentieel ervaart en er bewust mee omgaat.


Veiligheidsbeleid en -garantie

Alle Cogix-oplossingen worden gehost bij Internedservices. Internedservices is een onderdeel van KPN en heeft een drievoudige ISO-certificering (ISO 20000, ISO 9001 en ISO 27001). Daarnaast beschikt Internedservices over een ISAE-3402 type II-accreditatie, PCI-DSS en ISO 14001 compliant datacenters. 


Toegang tot de systemen

We hanteren het 'need-to-know'-principe. Alleen medewerkers die vanwege hun rol toegang moeten hebben tot de systemen hebben deze toegang en niemand anders.


We slaan al uw gegevens op in Nederlandse datacenters die zijn gesitueerd rondom Amsterdam. De Cogix-opslag voldoet aan de EU-richtlijnen voor dataopslag.

Locatie van de gegevens


We versleutelen al het internetverkeer tussen de server en de browser. Dit doen we met 2048 bits SSL encryptie. Dit houdt in dat niemand de gegevens onderweg kan aftappen en bekijken.

Versleuteling van de gegevens


Alle gegevensuitwisseling met systemen vindt plaats via beveiligde verbindingen zoals https, sftp, ftps of vpn.

Koppelingen met systemen


Onze servers worden regelmatig gepatcht met de laatste updates voor Windows Server, Oracle database en andere kritieke softwareonderdelen.

Server Management


De servers zijn beveiligd met twee firewalls (één hardwarematige en één softwarematige). Deze laten alleen geautoriseerd verkeer toe. In de praktijk is dit beperkt tot alleen https/sftp/ftps verkeer. Daarnaast kunnen aparte afspraken met klanten worden gemaakt zoals het blokkeren van IP-adressen en het opzetten van een VPN-tunnel tussen de server en het klantnetwerk. Als laatste zijn onze servers nog beveiligd met virusscanners met de laatste antivirus updates. 

Beveiliging tegen malware


Alle systeemfuncties worden actief gemonitord in een centraal monitoring systeem. Alle afwijkingen zoals inbraakpogingen, fouten en uitval worden actief gemeld aan Cogix zodat direct actie ondernomen kan worden. Daarnaast worden alle servers actief gemonitord op het hebben van de laatste kritieke patches voor het operating system, database en andere programmatuur. Hierdoor kunnen we de kans op zogenaamde zero-days-exploits minimaliseren.

Monitoring


Gebruikers van Cogix loggen in met een gebruikersnaam en sterk wachtwoord. Daarnaast is het mogelijk om Cogix te integreren met Active Directory (Single Sign On). Binnenkort gaan we onze systemen tevens beveiligen met Two-Factor authenticatie. Hierdoor is, naast een goed wachtwoord, ook nog een tweede beveiligingsmiddel zoals een mobiele telefoon of app nodig.

Authenticatie


Elke Cogix-gebruiker krijgt op basis van zijn of haar rol toegang tot de onderdelen van het systeem waar hij of zij toegang toe móet hebben. Daarnaast is, afhankelijk van de rol, ook nog sprake van een autorisatie op bereik. Bijvoorbeeld welke medewerkers of afdelingen een gebruiker krijgt te zien. Een rapportage van alle gebruikers met bijbehorende rollen is beschikbaar. 

Rolgebaseerde beveiliging


Alle wijzigingen die door gebruikers worden aangebracht worden bijgehouden in een zogenaamde Audit Trail Log. Hierin staat wie, wannneer, wat heeft gewijzigd. 

Audit Log


Alle gegevens worden iedere nacht gebackupt. In het standaard backupschema worden de backups van de afgelopen 14 dagen bewaard op dagniveau. Daarnaast wordt gedurende 6 maanden van iedere maand een backup bewaard.

Backup van gegevens


Wij hebben aparte omgevingen voor het ontwikkelen, testen en accepteren van de Cogix-oplossingen. Hierdoor kan de impact van wijzigingen worden bepaald voordat veranderingen in productie worden genomen.

Change Management


Incidenten komen in het Cogix Incident Management Systeem. We beoordelen een incident direct en wijzen het op basis van prioriteit en service level afspraken toe. Incidenten worden dagelijks gemonitord in het systeem en kennen verschillende prioriteitsniveaus, afhankelijk van de ernst en urgentie. Om een incident naar een hoger prioriteitsniveau te krijgen kan telefonisch contact worden opgenomen met Cogix Support. Het incident wordt dan geëscaleerd naar een hoger niveau (support manager). We houden u vervolgens dagelijks of vaker op de hoogte van de voortgang.

Incident Management en escalatie


We voeren een aantal keer per jaar een zogenaamde 'rampentest' uit om te bepalen of de procedures en backups afdoende zijn om een systeem volledig te herstellen met een minimum aan dataverlies.

'Rampen-test' 


Al onze servers worden iedere nacht gescand op eventuele problemen. Zodra er een mogelijke zwakte wordt ontdekt, komt dit direct bij ons binnen en ondernemen we er actie op.

Vulnerability Scans


Zodra er sprake is van een ernstig datalek, doen we direct melding bij de Autoriteit Persoonsgegevens. Daarnaast stellen we ook u op de hoogte endaarna - in overleg met u - ook de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Wet Meldplicht Datalekken


Wij verwerken alle persoonsgegevens in overeenstemming met de Algemene verordening gegevensbescherming (AVG).

Algemene verordening gegevensbescherming
(AVG)