Grassfeld - Beveiligingsbeleid.
Dit informatiebeveiligingsbeleid beschrijft de relevante maatregelen van Grassfeld B.V. (“Grassfeld”) met betrekking tot informatiebeveiliging vanuit strategisch en operationeel oogpunt. Dit beleid is gericht op gebruikers van de applicatie en de website van Grassfeld.
Laatst geupdate op 14-05-2024
Grassfeld neemt informatiebeveiliging zeer serieus om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te behouden en is ervan overtuigd dat risico's adequaat worden beheerd door middel van beveiliging op hoog niveau. Het beleid is opgesteld in overeenstemming met de beste cyberbeveiligingspraktijken en -normen onder verwijzing naar relevante ISO-normen. Bovendien houden externe partijen waarmee we samenwerken, zoals een bank, zich strikt aan verschillende normen zoals ISO20022.
1.
Toegangscontrole van de gebruiker.
1.
Registratie en authentificatie:
Externe gebruikers moeten zich registreren voor toegang via een veilig online proces dat de identiteit van de gebruiker verifieert. Elke gebruiker wordt geverifieerd met behulp van een combinatie van een wachtwoord en een multifactor authenticator (MFA).
1.2
Autorisatie:
Toegang wordt uitsluitend verleend op basis van de noodzaak van de gebruiker om met het systeem te communiceren. Gebruikers krijgen alleen toegang tot functies en gegevens die relevant zijn voor hun rol of transactievereisten.
1.3
Administratieve accounts:
De administratieve accounts worden alleen gebruikt om administratieve taken uit te voeren. Alle ongebruikte of onnodige gebruikersaccounts, e-mailadressen, enz. worden door de IT-administratie verwijderd of gedeactiveerd. Bovendien worden gebruikersaccounts bij beëindiging van het dienstverband, contract of overeenkomst verwijderd of gedeactiveerd door de IT-administratie en dienovereenkomstig gedocumenteerd. Als werknemers toegang hadden tot gedeelde accounts, worden de inloggegevens van deze accounts gewijzigd door de IT-administratie.
2.
Bescherming van de gegevens.
2.1
Encryptie van gegevens:
Gegevens die worden opgeslagen binnen het Grassfeld platform en de applicatie zijn op hoog niveau gecodeerd door middel van verschillende coderingstechnologieën. Bovendien worden gegevens 24 uur per dag gecontroleerd op mogelijke aanvallen en datalekken met als doel een onmiddellijke beperking van een mogelijke aanval.
2.2
Classificatie van gegevens:
Alle gegevens en informatie toegankelijk, verwerkt en opgeslagen door Grassfeld worden gecategoriseerd door de Security Officer en periodiek herzien, niet minder dan jaarlijks. Het impactniveau van elke gegevenscategorie wordt gecategoriseerd (Referentie: NIST Special Publication 800-60 Volume I). Gegevens moeten worden beheerd, beschermd en beveiligd in overeenstemming met het impactniveau van de gegevenscategorie.
2.3
Gegevensopslag:
Gegevens worden opgeslagen in een meerlaagse beveiligde database met zeer beperkte toegankelijkheid. Deze toegang is alleen beschikbaar voor geautoriseerd personeel dat zich houdt aan strikte authenticatieprotocollen. Als een gebruiker zijn account verwijdert, worden de gegevens van die account vernietigd. Grassfeld ondersteunt geen back-up gegevens, dus eerder verwijderde gegevens kunnen niet worden teruggehaald.
2.4
Delen van gegevens:
Het delen van persoonlijke en financiële informatie binnen de applicatie is onderworpen aan strikte protocollen en gebeurt enkel met expliciete toestemming van de gebruiker. Grassfeld verkoopt geen gegevens aan derden.
3.
Verantwoordelijkheid van werknemers.
3.1
Nieuwe medewerkers:
Alle nieuwe (interne en externe) medewerkers worden geïnformeerd over het informatiebeveiligingsbeleid.
3.2
Beleidsrichtlijnen:
Medewerkers zijn verplicht zich te houden aan de beleidsrichtlijnen.
4.
Verantwoordelijkheid van de gebruiker.
4.1
Beveiliging:
Gebruikers zijn verantwoordelijk voor het geheim houden van hun wachtwoorden. Wachtwoorden moeten niet worden gedeeld of opgeschreven. Als het vermoeden bestaat dat een wachtwoord is gecompromitteerd, moet het onmiddellijk worden gewijzigd.
4.2
Beveiligde apparaten:
Om een veilig gebruik van de applicatie op de telefoon van een gebruiker te garanderen, moeten gebruikers ervoor zorgen dat hun apparaten veilig zijn, voorzien zijn van de nieuwste beveiligingspatches en adequate antivirusbescherming hebben.
5.
Beveiliging door ontwerp.
5.1
Proactieve bescherming:
Beveiligingsmaatregelen zijn, in plaats van reactief toegevoegd, proactief opgenomen in het ontwerp en de architectuur van Grassfeld. MMOX, de cyberbeveiligingspartner van Grassfeld, ontvangt informatie over bedreigingen, kwetsbaarheden en hun zakelijke impact uit verschillende bronnen, waaronder interne of externe informatiedeling, maar ook niet-commerciële en commerciële entiteiten.
5.2
Minimalisatie van risico's:
Het ontwerp en de implementatie van de app volgen het principe van de minste privileges, zodat gebruikers het minimale toegangsniveau hebben dat nodig is voor hun functionaliteit. Dit vermindert de potentiële schade van een inbreuk of misbruik. Bovendien past Grassfeld Security by Design toe door het implementeren van een IP-controle per gebruikerssessie, beveiligde verbinding met onze eigen servers en het aanmaken van een nieuwe account via e-mail, wachtwoord en sms-verificatie.
5.3
Pseudonimisering:
Gebruikers van Grassfeld worden in ons systeem gepseudonimiseerd als een nummer. Dit betekent dat Grassfeld geen persoonlijke informatie ziet van een gebruiker. De gebruiker, in dit geval een gepseudonimiseerd nummer, kan enkel gelezen worden in ons systeem via een beveiligde verbinding speciaal ontworpen voor de communicatie met de gebruiker. Alle informatie die wordt toegevoegd door een gebruiker en opgeslagen door Grassfeld wordt enkel gebruikt om onze algoritmes te verfijnen en kan niet door ons worden gewijzigd.
6.
Beheer van incidenten.
6.1
Respons:
In geval van een beveiligingsincident reageert Grassfeld met een onmiddellijke en gepaste reactie door het te escaleren naar het kernteam. Grassfeld zorgt voor het isoleren van aangevallen systemen en netwerksegmenten om verdere schade te voorkomen. Verdere stappen worden genomen door forensisch onderzoek en het analyseren van de omvang van het incident. Grassfeld heeft een cyberteam dat 24 uur per dag beschikbaar is. Communicatie met de betrokken personen en stakeholders gebeurt door middel van wetten en voorschriften.
7.
Naleving en wetgeving.
7.1
Naleving van de regelgeving:
Grassfeld werkt conform de vereisten van de toepasselijke wetgeving inzake gegevensbescherming. Informatie over Grassfeld's naleving met betrekking tot wettelijke kwesties wordt behandeld in het Privacy- en Cookiebeleid.
8.
Updates van het beleid.
8.1
Herzieningen:
Dit beleid kan op elk moment worden bijgewerkt om wijzigingen in juridische, technische of zakelijke ontwikkelingen weer te geven. We raden je aan deze verklaring regelmatig te raadplegen, zodat je op de hoogte blijft van eventuele wijzigingen.
