Gevoelige informatie vereist de beste beveiliging

Beveiliging & Nalevingsprogramma

Het programma voor beveiliging- en compliancebeheer dat Vispato heeft aangenomen, regelt tevens onze productontwikkelingsprocedures en administratieve verrichtingen.

Centraal in dit programma staat de goedkeuring van een uitgebreid controlekader, de ISAE 3202 (Type 1) -certificering, die nauw aansluit bij industriële standaardkaders zoals ISO27001 en SSAE-18 SOC 2.

Verder streven we ernaar om op klokkenluiderspagina's te voldoen aan de succescriteria van de Web Content Accessibility Guidelines (WCAG 2.1 AA) die ernaar streeft klokkenluiden toegankelijk te maken voor mensen met een handicap.

ISAE 3402 (Type 1)

ISAE 3402 (Type 1)

GDPR

GDPR

ISO 27001 Hosting

ISO 27001 Hosting

WCAG 2.1 (AA)

WCAG 2.1 (AA)

Verordening gegevensbescherming

Vispato houdt zich aan de Algemene Verordening Gegevensbescherming (GDPR) van de EU met betrekking tot het verzamelen, gebruiken en bewaren van persoonlijke informatie. Voor meer details, zie Vispato's Privacybeleid.

Fysieke beveiliging

Fysieke beveiliging

Hardware, datacenter, personeel, toegang en beschikbaarheid

Meer informatie
Beveiliging van toepassingen

Beveiliging van toepassingen

Code, databases en configuraties

Meer informatie
Netwerkbeveiliging

Netwerkbeveiliging

Regels voor en controle op inkomende en uitgaande gegevens

Meer informatie
Privacy

Privacy

Encryptie, wettelijke voorschriften en toegang tot informatie

Meer informatie
Toegangscontrole

Toegangscontrole

Toegangspermissies, wachtwoorden, autorisatie en encryptie

Meer informatie
Beschikbaarheid

Beschikbaarheid

Prestaties, beschikbaarheid en redundantie

Meer informatie
Samenwerking

Samenwerking

Vertrouwen, staat van dienst, consistentie

Meer informatie
Compliance

Compliance

Naleving van de wereldwijde wetgeving inzake klokkenluiden, gegevensbeveiliging en gegevensbeheer

Meer informatie

Fysieke beveiliging

Wat is fysieke veiligheid?

Fysieke beveiliging vormt het fundament van elke cloudomgeving. Denk maar aan server hardware, datacenters, personeel, toegang, beschikbaarheid en het vermogen te reageren op omgevingsfactoren zoals overstromingen, oververhitting, black-outs, e.d.

Hoe garandeert Vispato de fysieke veiligheid?

De Vispato applicatie wordt uitsluitend gehost in het DATEV eG datacenter. DATEV is verantwoordelijk voor de fysieke beveiliging van hun infrastructuur.

Over wat voor soort datacenter hebben we het hier?

Het DATEV datacenter verwerkt meerdere petabytes aan data en dat op het hoogst haalbare beveiligingsniveau. Het is ISO 27001 gecertificeerd en voldoet aan de hoogste normen. Voor meer informatie en uitleg over de certificaten kunt u terecht op de DATEV website:
https://www.datev.de/web/de/m/ueber-datev/datenschutz/zertifikate/

Waar bevindt het datacentrum zich?

Standaard worden onze data (en back-ups) gehost in het DATEV datacenter dat gevestigd is in Neurenberg, Duitsland.

Echter, om te voldoen aan de lokale wetgeving inzake datahuisvesting, zijn wij in staat Vispato te hosten in het land van uw keuze - inclusief China en Rusland. Als dit één van uw vereisten is, laat u ons dit het best weten tijdens uw demo!

Beveiliging van toepassingen

Wat is toepassingsbeveiliging?

Dit beveiligingsniveau houdt in dat ervoor wordt gezorgd dat elke systeemcomponent veilig is, zoals applicatiecodes, databases, configuraties en bibliotheken van derden. Het omvat potentiële zwakke punten binnen en buiten de toepassing.

Hoe garandeert Vispato de beveiliging van toepassingen?

Applicatiebeveiliging is een teamprestatie. Bij de ontwikkeling van Vispato was veiligheid topprioriteit. Ons team van ontwikkelaars voert consequent code reviews uit om ervoor te zorgen dat alleen secure code van hoge kwaliteit terug te vinden is in ons product.

Wij voeren veel handmatige en geautomatiseerde tests uit die de veiligheid meten van potentieel zwakke punten zoals SQL-injecties, cross-site scripts, zwakke punten in sessies en authenticatie enzovoort.

Bovendien voeren we regelmatig penetratietests uit.

Netwerkbeveiliging

Wat is netwerkbeveiliging?

Netwerkbeveiliging omvat regels en controles met als doel het inkomende en uitgaande verkeer naar productiesystemen, alsook het verkeer binnen het systeem, te beperken of te verminderen. Het garandeert het bestaan van de nodige firewallregels en voorkomt aanvallen zoals malware, distributed denial of service (DDoS) en andere potentiële exploits.

Hoe garandeert Vispato de veiligheid van het netwerk?

Vispato controleert samen met DATEV het systeem zodat mogelijke bedreigingen opgespoord kunnen worden. Wij implementeren firewalls binnen onze infrastructuur en applicatie om zo bescherming te bieden tegen interne en externe bedreigingen. Bovendien hebben wij een escalatieprotocol om eventuele problemen snel op te lossen.

Beschikt u over technologie die het risico op DDoS-achtige aanvallen vermindert?

Vispato werkt samen met DATEV om het risico van DDoS-achtige aanvallen te verminderen. In het geval van een DDoS-aanval beschikt DATEV over protocollen en maatregelen die de gevolgen van een dergelijke aanval beperken en ervoor zorgen dat het systeem stabiel blijft.

Gegevensbescherming

Wat is gegevensbescherming?

Gegevensbescherming houdt in dat uw gegevens en die van uw werknemers veilig zijn - zowel binnen het systeem als tijdens de gegevensoverdracht via het netwerk. Dit omvat niet alleen zaken zoals encryptie, maar ook wettelijke vereisten zoals waar gegevens zich bevinden, wie er toegang toe heeft en hoe verzoeken voor het ontvangen van deze gegevens worden afgehandeld.

Hoe waarborgt Vispato de privacy van gegevens?

Al het verkeer tussen Vispato en de gebruiker is SSL-gecodeerd. Alle communicatie met Vispato vindt plaats via API's die worden geverifieerd door beveiligingsbedrijven van derden.

Vispato vertrouwt ook op de strikte beveiligingsrichtlijnen van DATEV en hun certificeringen, een belangrijk element in de bescherming van uw gevoelige informatie.

Zijn de gegevens gecodeerd?

Communicatie via Vispato wordt met behulp van end-to-end encryptie direct versleuteld en ontsleuteld in uw webbrowser. Dit maakt dat alleen de betrokken partijen (verzender en ontvanger) de berichten kunnen lezen.

Zelfs Vispato GmbH en diens medewerkers hebben geen toegang tot uw communicatie, aangezien de gegevens al versleuteld op onze servers aankomen - alleen u hebt de sleutel om de informatie te ontsleutelen.

Bovendien wordt de informatie die van en naar Vispato wordt verzonden (gegevens in transit) gecodeerd met behulp van TLS, de marktleider op het gebied van coderingsmechanismen.

Opgeslagen gegevens (gegevens in rust) worden ook gecodeerd.

Waar worden de gegevens gehost?

Standaard worden al uw gegevens opgeslagen in het DATEV eG-datacenter te Neurenberg, van waaruit de gegevens Duitsland nooit verlaten; en dit in overeenstemming met de nationale regelgeving.

Indien u Vispato op grond van de wetgeving inzake gegevensbeheer in een ander land moet hosten, kunnen wij daar op verzoek aan tegemoetkomen.

Van wie zijn de gegevens en wie kan ze zien?

Cliënten blijven volstrekt de eigenaar van hun gegevens. Vispato heeft geen toegang tot cliëntgegevens en gebruikt deze niet voor andere doeleinden dan wat wettelijk verplicht is, en dat enkel met het oogmerk op het onderhoud van onze applicaties alsook het leveren van diensten aan onze cliënten en eindgebruikers. Wij verkopen, delen of gebruiken klantinformatie nooit voor marketing- of reclamedoeleinden.

Alle communicatie in Vispato is gecodeerd met een persoonlijke sleutel en wordt opgeslagen in een database, waardoor die ontoegankelijk is voor derden.

Er bestaan controles om te voorkomen dat Vispato-medewerkers toegang krijgen tot andere gegevens dan die welke door de cliënt zijn verstrekt. Vispato GmbH neemt zware maatregelen om te garanderen dat gebruikers buiten de organisatie geen toegang hebben tot het bedrijf en dat alle gegevens binnen een account alleen kunnen worden ingezien of kunnen worden bewerkt door daartoe door de cliënt geautoriseerde gebruikers.

Maakt u back-ups en is er een herstelproces?

Ja, het DATEV datacenter wordt gebruikt voor hosting en regelmatige back-ups. Deze gegevens zijn volledig versleuteld. Deze back-ups, die alle gebruikersgegevens en systeemprotocollen bevatten, worden dagelijks gemaakt en zijn gedurende een beperkte tijd beschikbaar zodat herstel mogelijk is.

Toegangscontrole

Wat zijn toegangscontroles?

Toegangscontrole bepaalt wie toegang heeft tot een systeem binnen een organisatie en welke informatie zij kunnen zien. Wachtwoorden zijn over het algemeen de eerste verdedigingslinie, maar zodra een gebruiker toegang krijgt tot een systeem, moet worden bepaald tot welke gegevens de gebruiker toegang heeft.

Hoe pakt Vispato toegangscontroles aan?

Vispato vereist wachtwoordauthenticatie om toegang tot het systeem te verschaffen. Zodra de gebruiker toegang heeft verkregen tot het systeem, heeft die machtigingen nodig om aanvullende bewerkingen uit te voeren of toegang te verkrijgen tot bepaalde informatie. Via machtigingen kunt u bepalen wie toegang heeft tot wat.

Regelt Vispato onze beveiliging?

Nee. Uw organisatie is verantwoordelijk voor het ontwikkelen van geschikte beveiligingsrichtlijnen voor wachtwoorden, machtigingen en in het bijzonder encryptiesleutels bij het gebruik van de door Vispato aangeboden beveiligingsfuncties.

Hoe beheer ik machtigingen?

Wij hebben machtigingen gecreëerd zodat u niet alleen kunt beslissen wie toegang heeft tot het systeem maar ook wat ze kunnen of doen. U vindt hierover meer informatie in de Vispato gebruikersdocumentatie.

Welke wachtwoordinstellingen zijn beschikbaar?

Vispato voorkomt het gebruik van zwakke of veelgebruikte wachtwoorden.

Daarnaast kunnen gebruikers een extra beveiligingslaag toevoegen aan hun account met 2-factor authenticatie (2FA). 2FA kan zo worden geconfigureerd dat gebruikers een beveiligingscode om zich aan te melden ontvangen via sms of via een authenticator-app. Welke wachtwoordinstellingen zijn beschikbaar?

Beschikbaarheid

Wat is beschikbaarheid?

U wenst zekerheid dat uw dienstverlener te allen tijde kan garanderen dat alle diensten beschikbaar zullen zijn. Een belangrijk aspect van beschikbaarheid is het waarborgen van redundantie voor zowel gegevens als infrastructuur, zodat er geen single point of failure is.

Wat betekent beschikbaarheid voor Vispato?

Ons toegewijde team zorgt ervoor dat ons platform klaar en beschikbaar is wanneer u het nodig heeft. Om u stabiele diensten met een hoge beschikbaarheid te kunnen bieden, hebben wij redundante componenten, consistente monitoring, regelmatig geplande integriteitscontroles en andere soortgelijke functies ingebouwd in ons systeem. We maken ook regelmatig back-ups om te voorkomen dat werk verloren gaat.

Samenwerking

Wat bedoelen we met "samenwerking"?

Heeft de leverancier een sterke staat van dienst in het leveren van stabiele kwalitatieve oplossingen? Letten zij erop dat aan de noden en verwachtingen van de cliënt wordt voldaan? Zullen ze op lange termijn operationeel blijven? Het kiezen van de juiste serviceprovider is als het kiezen van een zakenpartner - verdien eerst hun vertrouwen zodat u zowel nu als in de toekomst kunt voldoen aan de behoeften van uw bedrijf.

Vispato werd opgericht in 2019, maar nam zijn start als een filiaalbedrijf van Auditi GmbH, dat sinds 2012 software levert aan meer dan 250 accountantskantoren. U kunt hier meer te weten komen over Auditi: https://www.auditi.de/kunden/

Compliance

Wat is compliance?

Compliance is het naleven van alle relevante lokale en internationale wetten.

Wat oplossingen voor klokkenluiders betreft, kan het gaan om de naleving van wetten in verband met klokkenluiders, gegevensbeveiliging, gegevensprivacy en gegevensbeheer.

Hoe gaat Vispato om met lokale wetgeving inzake gegevensbeheer?

Als uw bedrijf actief is in bepaalde landen, zoals China, kan het verplicht zijn om gegevens te hosten op lokale servers.

Standaard hosten wij Vispato op DATEV-servers in Duitsland. Wij kunnen Vispato echter hosten in elk land van uw keuze - inclusief China en Rusland. Als u hier behoefte aan heeft, laat het ons dan weten.

Helpt Vispato bedrijven te voldoen aan de klokkenluiderswetgeving?

Vispato is in hoge mate configureerbaar en kan bedrijven helpen om te voldoen aan de principes van de belangrijkste klokkenluiderswetten, waaronder:

  • de EU-richtlijn betreffende de bescherming van klokkenluiders
  • US SOX Act, Sectie 301 wat betreft bedrijfsverantwoordelijkheid
  • FCA-richtsnoeren van het VK
  • Duitse Corporate Governance Code (DGCK)
  • Franse Loi Sapin II

De meeste klokkenluiderswetten hebben bepalingen betreffende:

De anonimiteit van klokkenluiders - In de EU-richtlijn ter bescherming van klokkenluiders wordt bijvoorbeeld gesproken over de noodzaak voor bedrijven om "specifieke interne meldingskanalen in te voeren die garanderen dat de identiteit van de klokkenluider vertrouwelijk wordt gehouden."

Vispato biedt een volledig anonieme oplossing voor het melden van misstanden, waarbij registratie niet vereist is om misstanden te kunnen melden.

De beveiliging van klokkenluidersgegevens

Vispato verstrekt een groot aantal beveiligingsmaatregelen, waaronder fysieke beveiliging, applicatiebeveiliging, netwerkbeveiliging, toegangscontroles en gegevensbescherming.

De mogelijkheid voor werknemers en belanghebbenden om misstanden te melden

Vispato kan zo worden geconfigureerd dat anonieme meldingen van misstanden ontvangen kunnen worden van zowel werknemers als externe belanghebbenden. Bovendien is de software gebruikersvriendelijk ontworpen en is er geen training nodig, wat de drempel om melding te doen verlaagt.

Voldoet Vispato aan de wetgeving inzake gegevensbescherming?

Vispato is volledig GDPR-compliant en voldoet aan de beginselen van de gangbare gegevensprivacywetten, waaronder:

Beveiliging - In overeenstemming met Vispato's maatregelen voor gegevensbeveiliging: fysieke beveiliging, applicatiebeveiliging, netwerkbeveiliging, toegangscontroles en gegevensprivacy.

Vertrouwelijkheid - Ingediende rapporten zijn volledig anoniem en toegangscontroles garanderen dat geheimhouding binnen het bedrijf wordt gehandhaafd.

Opslagbeperkingen - Archiefmachtigingen binnen Vispato helpen ervoor te zorgen dat gegevens alleen worden bewaard en verwijderd wanneer dit intern door bedrijfsgebruikers werd goedgekeurd.

Gegevensminimalisering - Vispato bewaart geen identificeerbare informatie van klokkenluiders en beperkt de hoeveelheid opgeslagen en opgevraagde gegevens tot een minimum. Hierdoor blijft het verzamelen van gegevens tijdens de gehele procedure beperkt tot het beoogde doel.

Beperking van het doel - Vispato heeft geen toegang tot uw gegevens, aangezien deze gecodeerd zijn. Bovendien gebruikt Vispato de gegevens enkel om ervoor te zorgen dat de software werkt zoals beschreven, en dus niet voor andere doeleinden.

Rechtmatigheid, billijkheid en transparantie - Vispato zorgt ervoor dat gebruikers volledig op de hoogte zijn van de wijze waarop de door hen verstrekte gegevens via het bedrijfsrapporteringsportaal zullen worden gebruikt en verwerkt.

Select your language

English Deutsch