Uw gegevens veilig en betrouwbaar opgeslagen en behandeld conform ISO 27001
Veel organisaties en mensen vertrouwen op Paragin voor een veilige opslag van hun gegevens en data. Dat is niet iets dat we ‘zomaar’ op ons nemen. Veiligheid, betrouwbaarheid en beveiliging zijn belangrijke begrippen in onze organisatie, waar wij dagelijks zeer bewust mee omgaan. Zo zorgen wij dat we een betrouwbare partner zijn voor onze klanten, partners en gebruikers.
Compliance en certificering
We implementeren beveiliging op basis van bewezen best practices. Daarbij passen geen concessies of uitzonderingen: de volledige lijst van beheersmaatregelen uit de ISO 27001-norm is van toepassing verklaard en geborgd in onze organisatie - op twee na, die binnen onze organisatie niet plaatsvinden (outsourcing van development en fysiek laden en lossen). Dit wordt periodiek getoetst en gecertificeerd door Lloyd’s/LRQA. Meer informatie over ISO 27001 vindt u hieronder.
Veilige en robuuste software
We werken er hard aan robuuste en veilige software te ontwikkelen. Middels firewalls, load balancing en het stand-by hebben van extra servers bieden we 99,9% of hogere uptime per maand, 24/7 gemonitord door ons technisch team en vastgelegd in Service Level Agreements (SLA's) en Verwerkersovereenkomsten die u en uw gebruikers zekerheid en nachtrust bieden.
Datacenters en netwerken
De datacenters waarin de serverinfrastructuur van Paragin is ondergebracht, zijn net als wij ISO 27001-gecertificeerd. Samen met onze partners werken we aan een volledig veilige keten waarin software, hardware en menselijke processen en procedures elkaar versterken. Dit wordt regelmatig door externe organisaties getest middels security- en penetratietesten.
Authenticatie en communicatie
Single Sign-On, OAuth2-authenticatie, SURFconext, identity management, two-factor authenticatie (TOTP), password hashing middels adaptieve algoritmes: in onze software is authenticatie op een veilige manier en middels industry-standard protocollen ingericht. Alle communicatie is versleuteld middels SSL/TLS met A+ waardering, zodat alle data die u uitwisselt met onze softwareproducten versleuteld en veilig is.
ISO 27001
Paragin is sinds oktober 2015 door Lloyd’s Register Quality Assurance (LRQA) gecertificeerd volgens de internationale normering voor informatiebeveiliging en -management, ISO 27001. Op het gebied van informatiebeveiliging is Paragin gecertificeerd voor alle beheerde technische bedrijfsmiddelen en alle softwareproducten die wij aanbieden. Dit biedt u en uw gebruikers:
- Veiligheid van informatie en data op de infrastructuur van Paragin, waarbij alle data binnen de Europese Economische Regio (EER) opgeslagen wordt;
- Zekerheid over het voldoen aan wet- en regelgeving omtrent informatiebeveiliging en privacy, zowel nu als in de toekomst;
- Een sterk technisch fundament op basis van best practices, regelmatig getest door onafhankelijke organisaties middels security- en penetratietesten;
- Uitsluitend geautoriseerde toegang tot data, zowel fysiek als online;
- Doorlopende monitoring en verbetering van processen en procedures.
Beleid
Paragin heeft een uitgebreide set van veiligheidsprocedures over een scala aan onderwerpen. Medewerkers en partners worden geïnformeerd en getraind over deze policies en afwijkingen daarvan worden geregistreerd.
Nieuwe medewerkers nemen deel aan een bewustzijnstrainingen rondom best practices, ISO 27001 en databeveiliging. Intern wordt regelmatig informatie gedeeld over nieuwe ontwikkelingen, uitkomsten uit steekproeven en leermomenten uit incidenten. Het management van Paragin is hier nauw bij betrokken, we zien dit als een kerntaak van Paragin en willen zo richting alle betrokkenen het belang hiervan onderstrepen.
Best practices
Gaat u binnen uw organisatie om met gevoelige persoonsgegevens of neemt u belangrijke summatieve toetsen af? Wij kunnen u helpen om dit proces zo veilig mogelijk binnen uw organisatie in te richten. Onze software biedt ondersteuning voor diverse vormen van authenticatie zodat alleen de juiste personen bij de gegevens kunnen, maar biedt bijvoorbeeld ook de mogelijkheid om uw toetsen zo af te schermen dat ze op een veilige manier kunnen worden afgenomen (met netwerkrestricties, toegang via speciale browsers en meer).
In onze software is het beleid dat gebruikers in principe nergens toegang toe hebben, tot daar expliciet een uitzondering op wordt gemaakt (‘need to know’). Op deze manier kan het nooit gebeuren dat één van uw gebruikers per ongeluk gevoelige gegevens kan inzien.
Monitoring
Alle systemen, netwerken en hardware worden 24/7 actief gemonitord. Bij (mogelijke) problemen of pogingen van derden om binnen te komen, worden diverse alarmsystemen en notificaties naar verschillende niveaus ingezet. Alle acties en requests naar en van servers worden gelogd, en kunnen worden geanalyseerd bij forensisch onderzoek of bijvoorbeeld mogelijke gevallen van (examen)fraude.
Disaster Recovery
Ons Disaster Recovery (DR)-programma verzekert dat onze dienstverlening en softwareproducten ook bij grote incidenten beschikbaar blijven of zo snel mogelijk weer beschikbaar kunnen worden gemaakt. Dit wordt bewerkstelligd door een pakket aan maatregelen zoals off-site backups, een redundant uitgevoerde en geloadbalancete infrastructuur en Disaster Recovery procedures.
De Paragin API’s zijn SSL/TLS-only en men dient geauthenticeerd te zijn om deze aan te kunnen roepen. Er kunnen scopes en IP-restricties toegevoegd worden aan de API-credentials, zodat data-uitwisseling op een veilige manier gebeurt en alleen die data benaderd mag worden, die men via de API wenst te ontsluiten.
Hosting en on-site security
De software van Paragin wordt via een uitgebreide, in meerdere landen ondergebrachte serverinfrastructuur als SaaS (Software as a Service) geleverd. Alle servers worden gehost in ISO 27001-gecertificeerde datacenters binnen de EER en ook onze off-site backups worden binnen de EER opgeslagen.
Onze datacenters bieden biometrische toegangsbeveiliging, 24/7 fysieke beveiliging, videosurveillance, alarmsystemen, brandbeveiliging alsmede extra energievoorzieningen om stroomuitval op te vangen.
Bescherming en security audits
Ons netwerk is beschermd door firewalls, best-in-class routers, een afgescheiden netwerk voor developers via VPN, SSL/TLS HTTPS transport van data over het internet op A+ niveau en network intrusion detectie. Wij controleren en bewaken dit natuurlijk zelf, maar werken ook met partners die dit monitoren en ons hierin scherp houden.
Toegang tot de infrastructuur van Paragin wordt beperkt op een expliciete need-to-have basis, enkel toegankelijk via het beveiligde interne netwerk. Medewerkers die als beheerder toegang hebben tot de applicaties kunnen dit enkel via two-factor authenticatie en onderschrijven expliciet middels een integriteitsverklaring de procedures en uitgangspunten van Paragin.
Onze software kan zonder downtime veilig worden uitgerold door geautomatiseerde deploymentprocessen met de nodige failsaves. Daarnaast is in onze software op een uniforme manier bescherming ingebouwd tegen alle veelvoorkomende beveiligingsvalkuilen: XSS, CSRF, SQL-injection, brute-force password hijacking worden allen gemitigeerd en worden bij elke security audit op code-niveau door een gerespecteerd IT-securitybedrijf doorgelopen. Tijdens het ontwikkelen van onze software heeft elke developer kennis van alle relevante veiligheidsrisico’s uit o.a. de OWASP lijst en weet hij hoe hij deze op een veilige en uniforme manier moet mitigeren.
Encryptie en Secure Credential Storage
Communicatie tussen uw gebruikers en onze software wordt geëncrypt via HTTPS and Transport Layer Security (TLS) met A+ rating. Paragin volgt best practices op het gebied van secure credential storage, door nooit wachtwoorden op te slaan in een door mensen (of machines) leesbaar formaat maar deze enkel op te slaan middels een veilige, salted, adaptieve (dus toekomstbestendige) one-way hash.
Responsible Disclosure
Bij Paragin vinden wij de veiligheid en beveiliging van onze software erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen zoals hierboven te lezen, kan het altijd voorkomen dat er toch een zwakke plek is.
Als u een zwakke plek in één van onze systemen heeft gevonden, dan horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze klanten, gebruikers, partners en onze systemen zo goed mogelijk te kunnen beschermen.
Wij vragen u in het kader van responsible disclosure:
- Uw bevindingen te mailen naar support@paragin.nl;
- Het geconstateerde probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen;
- Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te verwijderen;
- Geen gebruik te maken van aanvallen op fysieke beveiliging, distributed denial of service, spam of applicaties van derden;
- Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
Wat wij beloven in het kader van responsible disclosure:
- Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk;
- Wij houden u op de hoogte van de voortgang van het oplossen van het probleem;
- In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst en op prijs stelt, uw naam vermelden als de ontdekker;
- Indien u het probleem gemeld heeft in lijn met deze verklaring van responsible disclosure, zullen wij op geen enkele wijze juridische stappen ondernemen – we stellen uw input juist op prijs en waarderen deze zeer;
- Als dank voor uw hulp bieden wij een beloning aan voor elke melding van een ons nog onbekend beveiligingsprobleem. De grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding.
Wij streven er naar om problemen zo snel mogelijk op te lossen en werken graag actief samen met iedereen die ons hierin kan helpen.
Bovenstaande verklaring is onderdeel van het initiatief responsible disclosure om het niveau qua beveiliging van software te verhogen. Met dank aan Floor Terra en responsibledisclosure.nl.