Koppelingstatus:
Koppelingen
Onze BIV Security standaarden

Beschikbaarheid, Integriteit & Vertrouwelijkheid

newdays is ontwikkeld met veiligheid als absolute prioriteit. Ontdek zelf hoe wij zorgen voor optimale beschikbaarheid, integriteit en vertrouwelijkheid. Vastgelegd volgens ISO 27001.

Beschikbaarheid

Wat wij garanderen, en hoe we dat waarmaken.

Hardware, server & applicatiemonitoring
We monitoren onze hardware, server en applicatie continu. We signaleren eventuele afwijkingen hierdoor snel, waardoor we kunnen ingrijpen voordat problemen ontstaan. Bij piekdruktes schakelen onze cloud servers automatisch op, zodat de applicatie optimaal blijft draaien.

Centrale logging
De access-, systeem- en applicatielogs worden 24/7 centraal opgeslagen op onze ELK stack (Elasticsearch, Logstash, Kibana). Incidenten worden hierdoor direct gedetecteerd, eenvoudig geanalyseerd en snel opgelost. Dagelijks controleren de lead developer en CISO deze logs handmatig.

Onverwachte fouten real-time gemeld
Als er zich een fout voordoet in de applicatie wordt het ontwikkelteam direct geïnformeerd via Sentry. Hierdoor kunnen zij direct schakelen, zonder dat een gebruiker dit zelf hoeft te melden. Of zelfs nog voordat de gebruiker er zelf van op de hoogte is.

99.99% uptime
Vanaf 217 locaties wereldwijd wordt via Uptrends getest of de applicatie bereikbaar is. Door onze keuze voor een betrouwbare hosting partner met high-end cloud hosting via Kubernetes, is de beschikbaarheid van de servers 99,99%, exclusief gepland onderhoud.

Code-reviews
Alle code die wordt geschreven en alle wijzigingen die worden gemaakt, worden door minimaal twee andere developers gecontroleerd, getest, voorzien van eventuele bevindingen en verwerkt via Github. Alle handelingen worden daarbij geregistreerd en gelogd.

Configuratie webserver via versiebeheer
Alle wijzigingen aan de servers worden gelogd in versiebeheersysteem Github. Zo borgen we dat er geen fouten ontstaan in de configuratie en dat een server snel opgezet kan worden. We hanteren het zes-ogen-principe, dus alle wijzigingen worden altijd door twee anderen gecheckt.

OAP-straat
We ontwikkelen newdays in een OAP-straat (Ontwikkel, Acceptatie, Productieomgeving), via Github workflows en actions. Ook de onboarding van nieuwe klanten gaat altijd via deze route. Binnen de OAP-straat wordt uitgebreid getest en wijzigingen gaan pas live na goedkeuring van de product owner.

Automatische tests
Bij het releasen van een nieuwe versie worden onderdelen van de applicatie automatisch getest met PHPUnit en/of Jest, Dusk en andere technieken om het correct functioneren van de applicatie automatisch te controleren.

Vertrouwelijkheid

De voorzorgsmaatregelen die wij nemen.

Actieve controle door CISO
Alle interne procedures en registraties zijn beschreven en geformaliseerd volgens de ISO 27001 en NEN 7510 normen. Deze wordt jaarlijks door een externe partij geaudit. De toegang wordt actief gecontroleerd door de CISO.

Gegevensclassificatie
Alle data worden geclassificeerd door de CISO en zijn doorgaans minimaal klasse 3 (applicatie met gevoelige informatie). Vertrouwelijke informatie is enkel toegankelijk voor specifieke personen binnen de organisatie, volgens de ISO 27001 en NEN 7510-normeringen.

Penetratietesten
Bij elke nieuwe versie van softwareoplossingen die wij implementeren worden er automatisch penetratietesten uitgevoerd. Ook wordt er getest op de wereldwijd meest voorkomende beveiligingslekken aan de hand van actuele informatie door de onafhankelijke beveiligingsorganisatie OWASP.

Toegang server via VPN
Beheertoegang tot servers waar applicaties worden gehost verloopt altijd via het beveiligde VPN-protocol. Daarnaast wordt gebruik gemaakt van SSH (public/private key) en IP-whitelisting om toegang tot de infrastructuur te beveiligen.

Privacy

Onze norm

newdays is speciaal ontwikkeld voor organisaties die omgaan met gevoelige persoonsgegevens. Daarom hechten wij zeer veel waarde aan kwaliteit en beveiliging. We zeggen dit niet alleen, maar bewijzen het ook graag. Daarom hebben wij de veiligheid geborgd en worden wij periodiek geaudit om te zorgen dat gevoelige data altijd veilig wordt verwerkt.

NEN 27001 certified
ISO 27001

ISO 27001 is de wereldwijde norm voor Informatiebeveiliging. Door vast te leggen hoe wij informatieveiligheid borgen binnen newdays, zorgen we voor optimale veiligheid.

NEN 9001 certified
ISO 9001

ISO 9001 is de norm voor kwaliteitsmanagement. We hebben onze belangrijke processen vastgelegd, zodat de kwaliteit van onze dienstverlening optimaal is.

NEN 7510 certified
NEN 7510

Binnen de zorg werkt men met gevoelige (medische) gegevens. Informatiebeveiliging is hier van extra groot belang. De NEN 7510 stelt de norm en borgt zo de privacy van gevoelige data.

ISAE goud
ISAE 3402 Type I

Een onafhankelijke beoordeling door een IT-auditor voor het aantoonbaar maken van de werking van beheersmaatregelen met een IT-assurance verklaring.