Plek informatiebeveiliging

Plek is gebouwd op een sterke basis van beveiliging en privacy die ons platform veilig houdt en tegelijkertijd onze klanten van elke omvang helpt te voldoen aan eisen op het gebied van beveiliging, privacy en compliance.

architecture-2

Veilige architectuur

Het private cloudgebaseerde platform van Plek is speciaal gebouwd op basisprincipes van veiligheid en privacy. 

security-1

Beveiligingscontroles

Bij Plek hanteren we de beste maatregelen voor beveiliging, privacy- en naleving om gegevens veilig te houden.

culture-3

Bedrijfscultuur

We leiden iedereen op en voelen ons individueel en als team verantwoordelijk om verplichtingen van gegevensbescherming na te komen.

Maatregelen informatiebeveiliging en privacy

Auditing, certificering en penetratietesten
De Plek-organisatie is ISO27001 gecertificeerd en voldoet aan de BIR/BIO eisen van de Nederlandse en Europese overheid. Alle hosting van Plek is ISO27001 en NEN7510 gecertificeerd. We beheren voortdurend risico's en houden periodiek audits om te toetsen dat we aan alle eisen voldoen. Tenminste jaarlijks ondergaan de Plek applicatie en onze netwerken penetratietests door externe ethical hackers.

Voldoet aan alle AVG-eisen
Plek voldoet volledig aan alle eisen van de AVG en beveiliging.

Gegevensopslag en -overdracht
Alle infrastructuur en gegevensopslag van Plek wordt gehost en beheerd in een privé-cloud in beveiligde datacenters in Nederland. Plek en haar subverwerkers dragen nooit klantgegevens over buiten de Europese Economische Ruimte (EER).

02. NL Homepage - Create connections and realise objectives through dialogue

Enterprise-beschikbaarheid en beveiliging waar je op kunt vertrouwen, standaard

GDPR compliant
Kiwa ISO IEC 27001

Plek Beveiligingsoverzicht

Gegevensbeveiliging en privacycontroles

Auditing, certificering en penetratietesten

Plek is ISO27001 gecertificeerd en voldoet aan de BIR/BIO eisen van de Nederlandse en Europese overheid. Alle hosting van Plek is ISO27001 en NEN7510 gecertificeerd. We beheren voortdurend risico's en ondergaan terugkerende beoordelingen om ervoor te zorgen dat we voldoen aan de industrienormen. De Plek applicatie en -netwerken worden minimaal jaarlijks getest op penetratie.

Volledig GDPR-compatibel

Plek voldoet volledig aan de AVG-normen voor gegevensprivacy en -beveiliging.

Gegevensopslag en -overdracht

Alle infrastructuur en gegevensopslag van Plek wordt gehost en beheerd in particuliere beveiligde datacenters in Nederland. Plek en haar subverwerkers dragen nooit klantgegevens over buiten de Europese Economische Ruimte (EER).

Toegangsbeheer, versleuteling & eindpuntbeveiliging

Toegangsbeheer

  • Plek houdt zich aan de principes van minste bevoegdheden en op rollen gebaseerde machtigingen bij het verlenen van toegang; onze mensen hebben alleen toegang tot gegevens die ze redelijkerwijs moeten verwerken om hun huidige functieverantwoordelijkheden te vervullen. Tenzij anders overeengekomen hebben onze mensen nooit toegang tot klantgegevens.
  • Plek maakt gebruik van multi-factor authenticatie voor toegang van medewerkers tot interne systemen. VPN multi-factor en SSH zijn vereist voor toegang tot de Plek Hosted-omgevingen.
  • Plek-medewerkers zijn verplicht een goedgekeurde wachtwoordbeheerder te gebruiken.

Je kunt een extra beveiligingslaag toevoegen om jouw Plek te beschermen door meervoudige authenticatie te implementeren, waardoor het risico van ongeautoriseerde toegang tot jullie site wordt verkleind en bedrijfsgegevens en gebruikersinformatie worden beschermd.

Versleuteling

  • Plek versleutelt gegevens met behulp van veilige cryptografische algoritmen.
  • Alle gegevens die onderweg zijn, worden versleuteld met TLS 1.2 of hoger.
  • Plek maakt gebruik van AES-256-codering voor gegevens in rust.
  • Voor alle versleutelingssleutels van Plek is sleutelbeheer aanwezig

Beveiliging van medewerker-devices

  • Alle devices van Plek-medewerkers zijn geconfigureerd om te voldoen aan de Plek-beveiligingsnormen.
  • Deze standaarden vereisen dat alle devices van  medewerkers correct zijn geconfigureerd, bijgewerkt en gebruik maken van up-to-date beveiligingssoftware, dat devices encryption at rest gebruiken, sterke complexe wachtwoorden hebben en vergrendelen wanneer ze niet worden gebruikt.

 

Netwerkbeveiliging & systeembewaking

Netwerkbeveiliging en serverbeveiliging

  • Plek segmenteert applicatielagen in afzonderlijke netwerken met beperkte toegang tussen lagen om klantgegevens te beschermen.
  • Plek maakt gebruik van aparte hosting-omgevingen voor Staging, Ontwikkeling en Productie.
  • De hosting-omgeving van Plek is vanaf het openbare internet alleen toegankelijk via load balancers.
  • Alleen Plek-applicatieservers hebben toegang tot Plek-database servers.
  • Plek registreert, bewaakt en controleert alle systeem events en heeft waarschuwingen voor events die wijzen op een mogelijke poging tot inbraak of exfiltratie.


Systeembewaking, logboekregistratie en waarschuwingen

  • Plek gebruikt een toonaangevende SIEM-oplossing (Security Information and Event Management) om miljoenen systeemgebeurtenissen per dag te verzamelen, samen te voegen en te correleren in de hostingomgeving van Plek om teams voor beveiliging en DevOps real-time inzicht te geven in potentiële bedreigingen.
  • Administratieve toegang, gebruik van geprivilegieerde commando's en systeemgebeurtenissen op alle endpoints in Plek-hostingomgevingen worden geregistreerd en gecontroleerd.
  • Analyse van logboeken is geautomatiseerd om potentiële problemen op te sporen en de beveiligings- en DevOps-teams te waarschuwen.

Penetratietesten en beheer van kwetsbaarheden

Kwetsbaarheidsbeheer en penetratietesten

  • Plek test alle code op beveiligingsproblemen voordat deze wordt vrijgegeven en scant regelmatig zijn netwerk en systemen op kwetsbaarheden.
  • Plek schakelt minimaal één keer per jaar een externe partij in om penetratietesten van applicaties en infrastructuur uit te voeren.
  • Resultaten van deze tests worden geprioriteerd en tijdig verholpen en gedeeld met het senior management.

Onderzoek en openbaarmaking
Bij Plek nemen we cyberbeveiliging serieus en waarderen we de bijdragen van de beveiligingsgemeenschap in het algemeen.

De verantwoorde openbaarmaking van mogelijke problemen helpt ons de veiligheid en privacy van uw en onze gegevens te waarborgen.

Penetratietesten & beheer van kwetsbaarheden

Kwetsbaarheidsbeheer en penetratietesten

  • Plek test alle code op beveiligingsproblemen voordat deze wordt vrijgegeven en scant regelmatig zijn netwerk en systemen op kwetsbaarheden.
  • Plek schakelt minimaal één keer per jaar een externe partij in om penetratietesten van applicaties en infrastructuur uit te voeren.
  • Resultaten van deze tests worden geprioriteerd en tijdig verholpen en gedeeld met het senior management.

Onderzoek en openbaarmaking

Bij Plek nemen we cyberbeveiliging serieus en waarderen we de bijdragen van de wereldwijde beveiligingsgemeenschap.

De verantwoorde openbaarmaking van mogelijke problemen en risico’s helpt ons de veiligheid en privacy van jullie en onze gegevens te waarborgen.

Applicatiebeveiliging
  • De levenscyclus van Plek voor veilige softwareontwikkeling sluit aan bij de OWASP best practices.
  • Alle codewijzigingen vereisen collegiale toetsing en tests (zowel handmatig als geautomatiseerd) voorafgaand aan promotie naar productie. Geen enkel individu mag wijzigingen aanvragen en doorvoeren zonder een beoordeling van verschillende andere individuen en alle wijzigingen worden geregistreerd en bijgehouden.
  • Alle ontwikkelaars zijn verplicht om training te volgen over veilige werkwijzen voor systeemontwikkeling.
Beveiliging in de applicatie
  • Met Plek kan je meerdere lagen van toegang en beveiliging voor informatie instellen en beheren. Van beveiligde verborgen lagen, tot open groepen en inhoud, tot openbaar zichtbare informatie (optioneel, standaard uitgeschakeld).
  • Met een duidelijke rechtenstructuur en toegangsbeheer kun je bepalen wie toegang heeft tot welke informatie.
    De software en gebruikersinterface van Plek ondersteunt gebruikers om veilige werkwijzen rond informatie te hanteren, bijvoorbeeld door waarschuwingen te geven voordat iemand informatie deelt of toegang krijgt.
  • Plek biedt brute-force beveiliging voor toegangscontroles.
Veiligheidsbewustzijn
  • Het team van Plek volgt doorlopend een trainingsprogramma dat ervoor zorgt dat iedereen het belang van beveiliging en de rol daarvan in elke werkdag begrijpt.
  • Nieuwe medewerkers en partners zijn verplicht om beveiligingstrainingen te volgen en we zien toe op voltooiing van de opleidingen.
  • Plek-medewerkers zijn verplicht het IT- en beveiligingsbeleid van Plek te lezen en na te leven.
  • Het fysieke kantoor van Plek heeft een aantal beveiligingscontroles, waaronder toegangscontrole en bewaking op afstand.
  • Het informatiebeveiligingsteam maakt gebruik van verschillende informatiebronnen over beveiligingsbedreigingen om op de hoogte te blijven van de nieuwste en opkomende beveiligingsbedreigingen. Deze informatie verspreiden we binnen ons team via continue updates en regelmatige campagnes om ervoor te zorgen dat Plek-medewerkers op de hoogte zijn van deze bedreigingen en wat ze moeten doen als ze ermee in aanraking komen.
Betrouwbaarheid, Disaster Recovery & Incident Response

Betrouwbaarheid

  • Het Plek-platform is ontworpen voor maximale beschikbaarheid met minimale downtime. Plek gebruikt zowel geautomatiseerde als handmatige tools om de beschikbaarheid van onze diensten te monitoren.
  • Gevolgen voor de beschikbaarheid van van Plek rapporteren we op onze realtime statuspagina.

Noodherstel en bedrijfscontinuïteit

  • De hostingomgeving van Plek is verspreid over verschillende beschikbaarheidszones, waardoor we het Plek-platform beschermen tegen uitval van netwerk, stroom, infrastructuur en andere veelvoorkomende locatiespecifieke storingen.
  • Plek zorgt voor dagelijkse back-up en replicatie van databases in verschillende beschikbaarheidszones en onderhoudt herstelprocedures  om de beschikbaarheid van het Plek-platform te beschermen in geval van een ramp bij een van deze locaties.
    Volledige back-ups worden minimaal één keer per dag opgeslagen en transacties worden continu opgeslagen.
  • Plek test de back-up- en herstelmogelijkheden periodiek om succesvol noodherstel te garanderen.

Reageren op beveiligingsincidenten

  • Plek hanteert  beleid en procedures voor het omgaan met en reageren op beveiligingsincidenten.
  • Het Security Incident Response Team van Plek beheert alle beveiligingsgebeurtenissen en stelt aan de hand van duidelijk beleid vast welke gebeurtenissen we afhandelen via het proces voor incident respons, waarbij we incidenten classificerenop basis van ernst.
  • In het geval van een incident brengen we getroffen klanten op de hoogte via e-mail. Procedures voor incident respons testen en onderhouden we tenminste jaarlijks.
Data Privacy

Overzicht data privacy

De maatregelen van Plek voor privacy van data zijn ontworpen om te voldoen aan onze verantwoordelijkheid en verplichtingen rond hoe we persoonlijke gegevens verzamelen, verwerken, gebruiken en delen, en onze processen voor het bewaren en vrijgeven van gegevens voldoen aan alle toepasselijke privacywetgeving, waaronder de AVG.
Plek verzamelt en gebruikt persoonsgegevens in overeenstemming met ons Privacybeleid en we bieden  onze klanten een Data Processing Addendum en Service Provider Addendum aan dat volledig voldoet aan de AVG.

Gegevens delen en verwerken

  • Het platform van Plek voldoet aan de AVG en biedt een hoog niveau van bescherming van persoonsgegevens. Wij verzamelen, verwerken en bewaren alleen klantgegevens in volledige overeenstemming met deze verplichtingen en je hebt het recht om je gegevens op elk moment in te zien of te verwijderen.
  • Plek zorgt dat klantgegevens die niet langer nodig zijn voor een legitiem zakelijk doel, automatisch worden verwijderd, volgens daarvoor geldend beleid.
  • Plek gebruikt alleen cookies in overeenstemming met ons Cookiebeleid.
  • We  eisen van onze gegevensverwerkende partners dat zij schriftelijk vastleggen dat ze klantgegevens alleen gebruiken voor het leveren van overeengekomen diensten.


Gegevensverwijdering

  • Als klant kan je op elk moment verzoeken om gegevens te verwijderen. We kunnen je verzoek om gegevenste verwijderen, in te zien of te wijzigen uitvoeren, zodat je als klant kunt voldoen aan de AVG.
  • De hostingproviders van Plek hanteren beveiligingsmaatregelen om gegevens permanent van opslagmedia te verwijderen die voldoen aan erkende industrienormen.

Leveranciersbeheer

  • Plek deelt klantgegevens alleen met andere partijen die contractueel zijn overeengekomen om de vertrouwelijkheid en privacy van de gegevens te beschermen.
  • Plek heeft overeenkomsten met al zijn subverwerkers die vereisen dat zij zich houden aan normen voor vertrouwelijkheid en passende maatregelen nemen om  de vertrouwelijkheid  van via ons verkregen gegevens te handhaven. Plek werkt alleen met subverwerkers die contractueel overeenkomen om geen persoonsgegevens door te geven buiten de EER.
  • Plek houdt toezicht op deze subverwerkende leveranciers door vóór gebruik en ten minste jaarlijks hun maatregelen voor informatiebeveiliging en privacy te beoordelen.

Privacy van medewerkersgegevens

  • Je kunt kiezen welke persoonlijke gegevens in gebruikersprofielen kunnen worden ingevoerd en/of verplicht zijn. Gebruikers kunnen kiezen aan wie ze toegang willen geven tot specifieke persoonlijke informatie in hun profiel, zoals geboortedatum of persoonlijke contactgegevens, via een optionele 'Verbinden'-optie.
  • Gebruikersstatistieken in Plek voldoen aan privacy-eisen en kunnen we aanpassen aan jullie bedrijfsbeleid.
  • Wanneer gebruikers worden gearchiveerd, bijvoorbeeld  wanneer een medewerker een organisatie verlaat of wanneer een lid het lidmaatschap beëindigt, worden alle persoonlijke gegevens verwijderd en wordt alle door de gebruiker gemaakte inhoud geanonimiseerd.
Enterprise-beveiliging

Aanvullende opties voor Enterprise Beveiliging en Service

Met Plek weet je zeker dat aan jouw eisen voor beveiliging en beschikbaarheid wordt voldaan. We bieden verschillende opties voor SSO, we staan open voor review van beveiligingsmaatregelen voorafgaand aan het sluiten van een overeenkomst  en we bieden toonaangevende uptimes.

Eenmalige aanmelding met Azure AD, ADFS, oAuth2 of OpenID

SSO verbindt je AD of Identity Provider met Plek. Hierdoor kunnen jullie gebruikers veilig inloggen op Plek met één set inloggegevens en jullie eigen gebruikersbeheer, wat bijdraagt aan betere beveiliging.
Gebruiken jullie een maatwerk-SSO? Dan kan je een extra beveiligingslaag toevoegen aan je Plek-platform door veilige domeinen in te stellen.
Je kunt Plek ook gebruiken als identity-provider en zo je gebruikers SSO-toegang bieden voor andere platformen.

2FA- en MFA-opties

Indien gewenst kan je 2-factor of multifactor authenticatie afdwingen, altijd of periodiek (willekeurig geactiveerd). Neem contact op met je implementatieteam om de opties te bespreken.

Enterprise-grade ondersteuning en SLA's

Plek biedt standaard een duidelijke en complete SLA. Plek kan aanvullende ondersteuning en service levels aanbieden, die we vastleggen in een aanvullende maatwerk SLA.
Wees gerust dat wij continu werken om te zorgen dat bedrijfskritische onderdelen van Plek tenminste 99,99% beschikbaar zijn.
Als je organisatie bijzondere beveiligingsbehoeften heeft, dan kunnen we voorafgaand aan het sluiten van een overeenkomst ons beleid en onze maatregelen voor informatiebeveiliging en privacy samen grondig beoordelen en evalueren, met jou en/of een beoordelende externe partij.

Transparantie

Wij voorzien je graag van ISO27001-auditrapporten en recente penetratietestrapporten, na ondertekening van een Non Disclosure Agreement.

Back to top

Benieuwd naar alle mogelijkheden?

Neem contact op