Security & Privacy

Jij wilt zekerheid. Dat begrijpen we als geen ander.
Bij PKIsigning hechten we grote waarde aan de bescherming van jouw (en onze) gegevens. Vanaf de oorsprong van ons bedrijf hebben onze specialisten een focus op beveiliging en privacy binnen het ontwerp van de software en onze ondersteunende processen. Zo slaan we -als voorbeeld- gegevens niet langdurig op in ons platform of kun je er zelfs voor kiezen om je eigen dataopslag te hanteren.
Hieronder proberen we zo transparant mogelijk een en ander aan je toe te lichten.

Onze waarborgen

ISO27001

PKIsigning is in maart 2021 gecertificeerd voor ISO 27001:2017, de internationaal erkende norm voor het in werking hebben van een managementsysteem voor informatiebeveiliging. Met dit certificaat tonen we aan, dat we onze processen rondom de beveiliging van systemen en gegevens goed op orde hebben. De toetsing ziet toe op “Informatiebeveiliging met betrekking tot de ontwikkeling, verkoop, service en hosting van oplossingen voor digitaal ondertekenen en veilig afleveren van documenten.”.

Voor de certificering is onderzocht wat de opzet van de organisatiestructuur is, hoe de risico-inventarisatie heeft plaatsgevonden, welke beheersmaatregelen zijn genomen en hoe PKIsigning zich voortdurend verbetert.

De ISO 27001:2017 certificering is onder accreditatie uitgevoerd door Brand Compliance. Jaarlijks vindt er een audit plaats en na drie jaar een hercertificeringsaudit. Een digitale kopie van ons certificaat kun je bij ons opvragen, evenals een verklaring van toepasselijkheid.

AVG
Daarnaast conformeert PKIsigning zich aan de Algemene Verordening Gegevensbescherming in termen van passende maatregelen voor de bescherming van persoonsgegevens, het afsluiten van AVG-compliant verwerkersovereenkomsten en het op orde hebben van een verantwoordingsdossier. PKIsigning onderzoekt momenteel de mogelijkheden om ook hiervoor gecertificeerd te worden.

 

eIDAS
Tot slot wordt met de ondertekendiensten invulling gegeven aan eIDAS-verordening “betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt”. Met PKIsigning kan elektronisch worden ondertekend op het allerhoogste niveau (assurance level ‘high’) waarbij de ondertekening onherroepelijk rechtsgeldig is in alle Europese lidstaten.

 

Wat heb jij hieraan?

Met bovenstaande informatie willen we duidelijk maken dat we oprecht belang hechten aan informatiebeveiliging en bescherming van (persoons)gegevens. Niet alleen kun je dat vertrouwen in ons stellen, je mag het ook controleren. Wij laten je zien dat:

  • Beveiliging en privacy voorwaardelijke uitgangspunten zijn in het ontwerp van onze software.
  • Onze bedrijfsprocessen op orde zijn qua service-, incident- en continuïteitsmanagement.
  • Beveiliging en privacy onderdeel uitmaakt van ons organisatie-DNA waarbij we gericht zijn op compliancy en voortdurende verbetering.

Hiermee stellen we alles in het werk, zodat jij -net als meer dan honderd andere organisaties- met een gerust hart kan steunen op onze diensten.

Maatregelen

Om je wat meer beeld te geven bij hoe we dit organiseren, geven we je een aantal voorbeelden van operationele maatregelen, zoals die in werking zijn binnen PKIsigning:

  • Uitvoering van een jaarlijkse pentest door een onafhankelijke derde
  • Aanstellen van een CISO en een interne auditor (onafhankelijke derde)
  • Minimaal vier interne voorlichtingsactiviteiten per jaar, zoals een phishing test
  • Toetsen van al onze inkooprelaties (in de keten) op gelijke waarborgen (ISO27001)
  • Vier keer per jaar een aparte directiebespreking over beveiliging en privacy
  • Real-time loganalytics op bijzonderheden binnen de omgeving
  • Uitgewerkte on- en offboarding procedures voor medewerkers en klanten
  • Back-upfaciliteiten, geo-redundancy, een uitwijkplan en communicatieprotocol bij escalaties
  • Een dataclassificatie protocol en bijpassende maatregelen o.b.v. datagevoeligheid
  • Maatregelen rond toegangscontrole tot systemen, functiescheiding en rechtenbeperking
  • Intern meldpunt en register voor verbeteringen, waar adequaat op geacteerd wordt

Als je meer inhoudelijke informatie wilt, zoals over de technische beveiliging van de software dan kunnen we hierin voorzien. Hiervoor is een digitaal ondertekende geheimhoudingsverklaring vereist als onderdeel van onze procedures.

Onze services steunen op Microsoft

Onze software maakt gebruik van de Microsoft Azure infrastructuur. Waarschijnlijk maak jij zelf ook al veel gebruik van Microsoft-diensten, maar we informeren je er graag over. Microsoft Azure voldoet aan de hoogste standaarden en is eveneens ISO27001 en SOC-compliant. Meer informatie over de waarborgen vind je hier.

Op alle gebruikte onderdelen hebben we ingesteld, dat de data binnen de EU blijft. Standaard is dit West-Europa (Nederland), bij een ernstige verstoring kan worden uitgeweken naar Noord-Europa (Ierland). Meer informatie over dataopslag vind je hier. Microsoft geeft een commitment af voor behoud van informatie binnen de EU-grenzen.

PKIsigning heeft de Azure services veilig ingericht met behulp van het Regulatory Compliance Dashboard, tab ISO27001 binnen het security center van Azure en monitort de ingerichte omgeving actief.

De uptime van services kan real-time worden ingezien op https://status.pkisigning.nl/

Privacy beleid

Naast een managementsysteem voor informatiebeveiliging, hanteert PKIsigning ook een managementsysteem voor gegevensbescherming. Hierbij geven we invulling aan procedures rond rechten van betrokkenen en datalekken en hanteren we de vereiste registers.

Alle in- en verkoopovereenkomsten worden voorzien van afspraken over de doorgifte van persoonsgegevens in de vorm van een verwerkersovereenkomst. Informatie over subverwerkers is transparant te raadplegen voor klanten in de online kennisbank. Verwerking binnen de EU is de norm voor alle primaire processen.

Onze openbare privacyverklaring en informatie over verwerkingen op de website vind je hier.

Neem gerust contact op voor hulp bij in- en uitschrijven voor (nieuws)updates, verlenen of intrekken van toestemming of anderszins.

Responsible disclosure beleid

Ondanks we alles doen wat in ons vermogen ligt om het bovenstaande te correct uit te voeren, realiseren we ook, dat er altijd een kans is dat iets over het hoofd gezien wordt. Ontdek je toch een tekortkoming in ons systeem, dan zijn we blij als je dat bij ons meldt. Daarvoor hebben we een speciale procedure (‘responsible disclosure’).

  • Meld je case via secure@pkisigning.nl, met vermelding van je contactgegevens.
  • Gebruik hierbij bij voorkeur onze PNG-sleutel PGP ID: 26A2 319D 7707 4461, Fingerprint: B128 4389 8D20 0711 E056  DA5C 26A2 319D 7707 4461.
  • Handel vertrouwelijk, maak informatie niet openbaar, ga niet verder in je onderzoek dan strikt noodzakelijk, maak geen misbruik van een kwetsbaarheid, voer geen fysieke aanvallen uit, geen DDOS aanvallen, social engineering of anderszins.
  • Ons responsible disclosure beleid is niet bedoeld als een uitnodiging om actief te scannen.

Je melding zal vertrouwelijk worden behandeld en je ontvangt binnen een week terugkoppeling. Als je ons -naar ons inzicht- erg geholpen hebt, zullen we je hiervoor bedanken door middel van een attentie.

Contact

Wil je meer informatie over ons ISO27001-certificaat, de verklaring van toepasselijkheid, inzicht in technische maatregelen of een melding doen in het kader van responsible disclosure, laat dit dan weten via secure@pkisigning.nl. Heb je een vraag rondom privacy, neem dan contact op via privacy@pkisigning.nl. In beide gevallen neemt de Security & Privacy Officer contact met je op.