Trust Center

Wij stellen een strikt, in de sector gekwalificeerd beleid voor informatiebeveiliging op voor alle bedrijfsprocedures en -strategieën.

Het beleid van IFS voor informatiebeveiliging maakt deel uit van ons wereldwijde Information Security Management System (ISMS), dat wordt onderhouden volgens talrijke internationaal erkende beveiligingskaders, waaronder ISO 27001.

Hoe wij gedetailleerde, vertrouwde beveiligingspraktijken gebruiken om uw informatie te beheren en te beveiligen.

Bij IFS volgen wij de best practices van de sector, waarbij wij een op risico's gebaseerde aanpak volgen en bijzondere nadruk leggen op een reeks betrouwbare praktijken.

Security Operations Center (SOC)
Wij investeren voortdurend in onze platform- en netwerkbeveiliging, gecoördineerd door ons Security Operations Center (SOC). Door gebruik te maken van een combinatie van conventionele en op kunstmatige intelligentie gebaseerde hulpmiddelen van wereldklasse en regelmatige penetratietests zorgen wij ervoor dat onze bedrijfsactiviteiten 24 uur per dag worden bewaakt en beschermd.

Toegangscontrole
Onze aanpak van de toegangscontrole zorgt ervoor dat onze gebruikers, partners en leveranciers precies dat niveau van toegang hebben dat nodig is om hun taken efficiënt en effectief uit te voeren.

Single sign-on (SSO) en multifactorauthenticatie (MFA) zijn ook actief in ons hele domein. Cryptografie wordt in transit en in rust gebruikt om de hoogste niveaus van gegevensbeveiliging te garanderen wanneer informatie wordt uitgewisseld.

Bedrijfscontinuïteit
Door een grondige planning van de bedrijfscontinuïteit hebben wij een sterk back-up- en herstelbeleid opgesteld, dat de kern vormt van ons rampenherstelplan. Wij hebben robuuste systemen en processen geïmplementeerd die ons kunnen ondersteunen in het geval van een bedrijfscontinuïteit voorval op een of meer van onze bedrijfslocaties.

Onze werknemers
Wij voeren uitgebreide controles uit vóór de indienstneming en volgen een strenge introductietraining, gevolgd door een doorlopend jaarlijks opleidingsprogramma over veiligheid, om een veilige fysieke en digitale werkomgeving te helpen handhaven. Wij volgen formele on- en off-boardingprocessen voor werknemers om ervoor te zorgen dat de toegang tot onze IT-domeinen te allen tijde strikt wordt gecontroleerd en dat de vertrouwelijkheid van informatie wordt gehandhaafd tot na de indiensttreding.

Wij zorgen ervoor dat alle externe leveranciers die de levering van onze diensten ondersteunen, dezelfde hoge normen toepassen die wij onszelf opleggen.

Soms kan het nodig zijn dat derde partijen toegang krijgen tot gevoelige en vertrouwelijke informatie. Of het nu gaat om informatie van IFS of van klanten van IFS, alle derde partijen die toegang hebben, moeten zich houden aan ons beleid, onze normen en onze praktijken voor informatiebeveiliging. Onze processen voor leveranciersbeheer en partnermanagement zorgen ervoor dat de diensten en producten van ons ecosysteem van derde partijen aan dezelfde hoge normen voldoen die wij onszelf opleggen.

IFS Lifecycle Experience (LE) is onze reeks processen die de hele implementatie- en levenscyclus bestrijken. Vanaf de eerste ontdekking en verkenning van oplossingen tot de verdere optimalisering ervan jaren na de inbedrijfstelling, maakt de veiligheid integraal deel uit van onze processen en omvat de scheiding van omgevingen, formeel wijzigingsbeheer, strikt gecontroleerde software-release en -distributie met daarbovenop strikte toegangscontrole en gegevensbescherming.

IFS Lifecycle Experience biedt de bovenstaande beveiligingscontroles, ongeacht of de klant ervoor gekozen heeft de oplossing zelf te hosten of gebruik te maken van onze IFS Cloud-dienst.

Met behulp van veilige coderingspraktijken en wereldwijd erkende richtlijnen, zoals OWASP Top 10, zorgen wij ervoor dat het risico op kwetsbaarheden van producten tot een minimum beperkt wordt.

Om de productveiligheid tijdens de hele ontwikkelingslevenscyclus verder te valideren, doen wij een beroep op externe gespecialiseerde penetratietesters. Alle potentiële kwetsbaarheden worden verholpen voordat het product wordt vrijgegeven.

Beveiliging is geen "eenmalige" activiteit en wij blijven onze producten ook nadat zij zijn uitgebracht testen om bescherming te bieden tegen evoluerende veiligheidsrisico's en eventuele bijbehorende kwetsbaarheden. Dit houdt in dat niet alleen in door IFS ontwikkelde producten, maar ook in producten van derde partijen waarop de producten van IFS gebaseerd zijn, op mogelijke kwetsbaarheden moet worden gecontroleerd.

Wij verstrekken beveiligingspatches voor alle ontdekte kwetsbaarheden in onze producten en geven advies over noodzakelijke patches van producten van derde partijen die niet door IFS worden geleverd. Klanten van de IFS Cloud-dienst profiteren ervan dat dergelijke patches door IFS worden toegepast als onderdeel van de service.

Door voor onze IFS Cloud-dienst te kiezen, hebben klanten het voordeel dat ze weten dat de best practices op het gebied van Cloud-beveiliging voor hen worden geïmplementeerd, waaronder:

• Veilige, volledig gescheiden single-tenant architectuur om de scheiding tussen klantenomgevingen te verzekeren
• Gegevensversleuteling, zowel in rust als in transit
• Bescherming tegen virussen en malware
• 24x7x365 bewaking, opsporing en herstel met behulp van geavanceerde toolsets van enterprisekwaliteit, uitgevoerd door ervaren professionals
• DDoS-detectie en -bescherming op platformniveau
• Back-ups op meerdere niveaus met geografisch gescheiden back-upopslag en herstelmogelijkheid op meerdere niveaus
• Rampherstelmogelijkheid naar een geografisch gescheiden locatie

We engage an independent 3rd party specialist organization to run regular security penetration tests against our Cloud Service in addition to security testing performed earlier in the product lifecycle. These tests cover all software versions current at the time of testing and include all IFS core product modules.

Testing takes place from the internet towards a dedicated, production-grade environment, which is built and maintained using the same architecture, design standards, tooling and processes as all customer environments run by IFS in our cloud.

A formal report is compiled as an output of this testing process, detailing any issues found and assigning an associated risk rating, based on the industry standard CVSSv2 scoring system. Any issues identified are fully analyzed and mitigation and remediation plans produced and implemented. The summary of findings and remediations is available to all IFS Cloud customers upon request.

Klanten met eisen op het gebied van geografische locatie kunnen kiezen uit een aantal ondersteunde geografische gebieden. Dit bepaalt de fysieke plaats van waaruit de dienst zal worden gehost, en bij implicatie de fysieke plaats waar hun gegevens zullen worden opgeslagen en verwerkt.

Om ervoor te zorgen dat wij een robuuste reeks beleidslijnen, praktijken en procedures handhaven, vullen wij de deskundigheid inzake gegevensbescherming van ons interne team aan met het externe perspectief van externe specialisten in gegevensbescherming. Hierdoor worden ook de eerste en tweede verdedigingslinie doeltreffend gescheiden, volgens de best practices.

Wij bouwen veiligheid in elk product in, ongeacht hoe het gehost wordt. Dat begint al met onze veilige processen voor productontwikkeling, die ervoor zorgen dat onze producten worden ontworpen met veiligheid in gedachten en zo worden geconfigureerd dat ze standaard veiligheid bieden.

Bij IFS houden wij nauwgezet toezicht op de prestaties van de leveranciers en zorgen wij ervoor dat aan alle contractuele eisen, kwaliteitseisen en eisen voor informatiebeveiliging wordt voldaan. Dit houdt ook in dat wij overeenkomsten hebben gesloten om de beveiligingsprocessen en -praktijken van de leveranciers te controleren. Via ons wereldwijde privacyprogramma zorgen wij voor een gegevensoverdracht van de EER naar sub-verwerkers (waaronder met IFS gelieerde ondernemingen) in andere landen die aan de voorschriften voldoet. Wij hebben met elke subverwerker een reeks standaard contractuele clausules en andere mechanismen voor rechtmatige overdracht geïmplementeerd en zorgen ervoor dat er passende technische en organisatorische maatregelen zijn om de gegevens van onze klanten te beschermen.

Wij leveren een vooraf ondertekend addendum voor gegevensverwerking, dat de verwerking door IFS van door de klant gecontroleerde gegevens dekt in overeenstemming met de regelgeving op het gebied van gegevensbescherming. Dit omvat een beschrijving van alle verwerkingen die door IFS worden verricht tijdens de uitvoering van de diensten die in onze klantenovereenkomsten zijn omschreven. Tot de behandelde gegevensbeschermingsvoorschriften behoren de General Data Protection Regulation (GDPR) en de California Consumer Privacy Act (CCPA). Wij bieden ook een addendum enkel voor standaard contractuele clausules.