Beveiliging is belangrijk voor Silverfin! Het beschermen van de integriteit, beschikbaarheid en vertrouwelijkheid van de gegevens van onze klanten is onze grootste zorg. Omdat Silverfin volledig transparant wil zijn naar haar klanten en gebruikers van Silverfin, heeft zij deze beveiligingsverklaring opgesteld. Deze verklaring geeft een overzicht van (i) de algemene veiligheidsmaatregelen die worden genomen om de gegevens van haar klanten te beschermen, alsmede de (ii) aanvullende technische en organisatorische maatregelen die van toepassing zijn op ons Silverfin platform (en de daarin opgeslagen (persoons)gegevens) in het licht van onze verplichtingen op grond van de geldende privacywetgeving ("Beveiligingsverklaring").
ALGEMENE BEVEILIGINGSMAATREGELEN
1.SILVERFIN IS ISO 27001 GECERTIFIEERD
De ISO/IEC 27000-familie van standaarden helpt organisaties om informatiemiddelen veilig te bewaren.
Het gebruik van deze standaard helpt onze organisatie bij het beheren van de beveiliging van bedrijfsmiddelen zoals financiële informatie, intellectueel eigendom, gegevens van personeel en informatie die door derden aan ons is toevertrouwd. Onze specifieke ISO 27001-certificering (Informatietechnologie, Beveiligingstechnieken en beheersystemen voor informatiebeveiliging) specificeert de vereisten voor het vaststellen, implementeren, onderhouden en voortdurend verbeteren van een beheersysteem voor informatiebeveiliging binnen de context van de organisatie.
Bekijk hier ons ISO/IEC 27001 certificaat.
2. Gegevens
Van al onze gegevens wordt elke minuut een back-up gemaakt, met een stand-by failover. Wij zorgen ervoor dat de gegevens onmiddellijk naar meerdere servers worden weggeschreven. Verder worden er dagelijks back-ups gemaakt, die op meerdere locaties worden opgeslagen. Uw geüploade gegevens worden opgeslagen op servers die gebruik maken van geavanceerde technologie om fouten te voorkomen. Silverfin werkt op een toegewijd netwerk dat zorgvuldig wordt beschermd door firewalls en te allen tijde wordt gemonitord.
3. HTTPS
Wij versturen alle gegevens versleuteld over HTTPS. Gegevens die tussen u en ons worden verzonden, worden altijd via HTTPS verzonden, en alles is volledig versleuteld. Dit niveau van gegevensbeveiliging wordt ook door banken gebruikt.
4. Updates
Wij houden beveiligingsupdates nauwlettend in de gaten, zodat u dat niet hoeft te doen. En zodra er fixes beschikbaar zijn, installeren wij de updates. Zo worden altijd de laatste beveiligingspatches gebruikt in onze software-infrastructuur.
5. Status pagina’s
U kunt de actuele status van Silverfin altijd hier controleren: www.status.getsilverfin.com. Zo kunt u eenvoudig zien of alle systemen correct werken, of er geplande onderhoudswerkzaamheden plaatsvinden, of dat er iets ongebruikelijks gebeurt.
TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
Het aanbieden van het Silverfin platform en de daaraan gerelateerde diensten leidt tot het verzamelen en verwerken van persoonsgegevens door Silverfin, in haar hoedanigheid van gegevensverwerker, ten behoeve van haar klanten. Voor meer informatie verwijzen wij u naar onze Verwerkersovereenkomst.
Silverfin legt passende technische en organisatorische maatregelen ten uitvoer, zoals hieronder uiteengezet, om naar beste vermogen de bescherming te waarborgen van (i) de persoonsgegevens - waaronder bescherming tegen onzorgvuldig, oneigenlijk, ongeautoriseerd of onrechtmatig gebruik en/of verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging; en (ii) de vertrouwelijkheid en integriteit van de persoonsgegevens. Bij de uitvoering van deze maatregelen heeft Silverfin rekening gehouden met de stand van de techniek, de kosten van de uitvoering en de aard, de omvang, de context en de doeleinden van de verwerking, alsmede het risico van uiteenlopende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen.
1. MANAGEMENT RICHTLIJNEN VOOR INFORMATIEBEVEILIGING
(i) Silverfin heeft een passend informatiebeveiligingsbeleid ingevoerd.
(ii) Silverfin beschikt over voldoende gekwalificeerde specialisten inzake informatiebeveiliging, die worden ondersteund door de bedrijfsleiding van Silverfin.
(iii) Het management van Silverfin legt aan werknemers en externe onderaannemers die toegang hebben tot Klantgegevens middels een schriftelijke overeenkomst een vertrouwelijkheids- en privacyverplichting op wat deze gegevens betreft. Deze verplichting blijft bestaan na wijziging of beëindiging van de tewerkstelling of de verbintenis.
2. PERSONEELSVEILIGHEID
(i) Silverfin maakt haar werknemers en betrokken externe onderaannemers bewust op het vlak van informatiebeveiliging.
3. TOEGANGSCONTROLE
3.1 Beheer gebruikerstoegang
(i) Silverfin implementeert beleidslijnen inzake toegangscontrole die het aanmaken, wijzigen en verwijderen ondersteunen van gebruikersaccounts voor systemen of applicaties die Klantgegevens bevatten of die de toegang tot Klantgegevens mogelijk maken.
(ii) Silverfin implementeert een procedure voor het toekennen van gebruikersaccounts en toegang om toegangsrechten tot systemen en applicaties te geven en in te trekken.
(iii) Het gebruik van "generieke" of "gedeelde" accounts is verboden indien er geen systeemcontroles zijn ingeschakeld waarmee de toegang van specifieke gebruikers kan worden opgevolgd en het delen van wachtwoorden kan worden voorkomen.
(iv) Silverfin controleert en beperkt de toegang tot hulpprogramma's die kunnen worden gebruikt om beveiligingscontroles op het niveau van het systeem of van applicaties, te omzeilen.
(v) De toegang van gebruikers tot systemen en applicaties die Klantgegevens bevatten of toegang tot Klantgegevens mogelijk maken, wordt beheerst door middel van een veilige inlogprocedure.
3.2 Beheer fysieke toegang
(i) De fysieke toegang tot plaatsen waar Klantgegevens worden opgeslagen of verwerkt, wordt beveiligd overeenkomstig de praktijken die in de sector de norm zijn.
4. COMMUNICATIEBEVEILIGING
4.1 Netwerkbeveiliging
(i) Klantgegevens worden door Silverfin logisch gescheiden binnen een shared-serviceomgeving.
(ii) Silverfin beveiligt netwerksegmenten tegen externe toegangspunten waar Klantgegevens toegankelijk zijn.
(iii) Externe netwerkperimeters zijn beveiligd en geconfigureerd om niet-geautoriseerd verkeer te voorkomen.
(iv) In- en uitgaande punten worden beveiligd door firewalls en inbraakbeveiligingsystemen (IDS). Poorten en protocollen worden gelimiteerd tot deze waarvoor specifieke zakelijke doeleinden bestaan.
(v) Silverfin synchroniseert systeemklokken op netwerkservers met een universele tijdsbron (bijv. UTC) of een NTP-server (Network Time Protocol).
4.2 Cryptografische controlemaatregelen
(i) Klantgegevens, waaronder Persoonsgegevens, worden in rust versleuteld.
4.3 Controlemaatregelen cloudopslag
(i) Silverfin versleutelt gegevens tijdens de transmissie tussen elke applicatielaag en tussen gekoppelde applicaties.
5. OPERATIONELE BEVEILIGING
5.1 Servicemanagement
(i) Silverfin heeft formele operationele procedures uitgevoerd voor systeemprocessen die van invloed zijn op Klantgegevens. Kennisgeving kan plaatsvinden via algemene wijzigingslogboeken. Procedures moeten de auteur, de revisiedatum en het versienummer bijhouden, en moeten worden goedgekeurd door het management.
(ii) Silverfin houdt toezicht op de beschikbaarheid van de dienst.
5.2 Vulnerabilitymanagement
(i) Silverfin voert jaarlijks penetratietesten uit op systemen en applicaties die gegevens van de Klant (inclusief persoonsgegevens) opslaan of de toegang tot deze gegevens mogelijk maken. Geïdentificeerde problemen moeten binnen een redelijke termijn worden verholpen.
(ii) Silverfin heeft een proces geïmplementeerd voor het beheer van patches en beveiligingsproblemen, om kwetsbaarheden te identificeren, te rapporteren en te verhelpen door:
-
regelmatige uitvoering van een veiligheidsbeoordeling van de applicatie en de onderliggende infrastructuur;
-
patches of oplossingen van leveranciers te implementeren; en
-
een herstelplan voor kritieke beveiligingsproblemen te ontwikkelen
(iii) Silverfin heeft controles geïmplementeerd om malware, kwaadaardige code en niet-geautoriseerde uitvoering van code te detecteren en te voorkomen. De controles moeten regelmatig worden bijgewerkt met gebruik van de meest recente beschikbare technologie (bijv. door de meest recente handtekeningen en definities te gebruiken).
5.3 Logboekregistratie en opvolging
(i) Silverfin genereert beheerlogbestanden en gebeurtenislogbestanden voor systemen en applicaties die gegevens van de Klant opslaan of de toegang tot deze gegevens mogelijk maken.
(ii) Silverfin controleert systeemlogbestanden regelmatig om systeemfouten, storingen of potentiële beveiligingsincidenten die van invloed zijn op Klantgegevens, te identificeren.
6. BEHEER EXTERNE LEVERANCIERS
(i) De contractuele overeenkomsten van Silverfin met externe partijen die omgaan met Klantgegevens moeten passende eisen bevatten inzake informatiebeveiliging, vertrouwelijkheid, en gegevensbescherming, zoals beschreven in de Overeenkomst. Overeenkomsten met dergelijke partijen worden regelmatig herzien om te bevestigen dat de eisen inzake informatiebeveiliging en gegevensbescherming nog voldoen.
(ii) Silverfin evalueert regelmatig de controles inzake informatiebeveiliging van de externe partijen waarmee zij samenwerkt, en gaat na of deze controles afdoende zijn in het licht van de risico's die voortkomen uit het behandelen van Klantgegevens door de derde partij, rekening houdend met de stand van de techniek en de kosten van implementatie.
(iii) Silverfin beperkt de toegang van externe partijen tot Klantgegevens, waaronder persoonsgegevens.
(iv) Silverfin verstrekt de Klant op diens verzoek een lijst van externe partijen die toegang moeten hebben tot Klantgegevens, waaronder persoonsgegevens.
(v) Silverfin staat toegang tot Klantgegevens (waaronder persoonsgegevens) alleen toe voor zover dat noodzakelijk is voor het uitvoeren van de prestaties waartoe de externe partij contractueel gehouden is.
7. WEERBAARHEID
(i) Silverfin voert risicobeoordelingen inzake bedrijfscontinuïteit uit om relevante risico's, bedreigingen, gevolgen, waarschijnlijkheid en vereiste controles en procedures te bepalen
(ii) Op basis van de resultaten van risicobeoordelingen documenteert, implementeert, test en evalueert Silverfin jaarlijks haar "Business Continuity and Disaster Recovery" -plannen (BC/DR) om het vermogen te beoordelen om bij een fysiek of technisch incident dat resulteert in het verlies of de beschadiging van Klantgegevens, de beschikbaarheid van en de toegang tot de Klantgegevens tijdig te herstellen.
8. AUDIT EN COMPLIANCE
(i) Silverfin evalueert regelmatig of haar systemen en apparatuur die Klantgegevens (met inbegrip van persoonsgegevens) opslaan of de toegang tot deze gegevens mogelijk maken, voldoen aan de wet- en regelgeving en aan de contractuele verplichtingen tegenover de Klant.
(ii) Silverfinhoudt een actuele onafhankelijke verificatie aan van de doeltreffendheid van haar technische en organisatorische beveiligingsmaatregelen (bijv. ISO certificering). De onafhankelijke toetsing van de informatiebeveiliging wordt minstens jaarlijks uitgevoerd
Vragen?
Alle vragen of problemen in verband met de bepalingen van deze beveiligingsverklaring dienen te worden gericht aan security@silverfin.com.
Om onze Vulnerability Disclosure Policy, klik hier aub.
