External Statement
Inleiding
De bedrijfsactiviteiten van Acerta houden het gebruik in van zowel sensitieve bedrijfsgegevens als persoonsgegevens van haar klanten en partners. Deze gegevens moeten beveiligd zijn tegen diverse dreigingen en in overeenstemming met internationaal aanvaarde standaarden.
Naast een goede technische beveiliging verwachten klanten en partners dat wij hun data met zorg behandelen. Acerta bevestigt dat zij in haar bedrijfsactiviteiten op een verantwoorde wijze met gegevens omgaat.
In Acerta beschouwen wij de continuïteit van onze dienstverlening als een topprioriteit. Dit weerspiegelt zich in een volledig uitgebouwd beheersproces voor bedrijfscontinuïteit.
Contact
Vragen over dit statement kunt u steeds richten aan de security officer van Acerta.
Klanten van Acerta sociaal secretariaat vzw kunnen hier terecht.
- Wachtwoorden en beveiligde delen van de website
- Je hebt een wachtwoord nodig om toegang te krijgen tot bepaalde delen van onze websites en bepaalde producten. Je bent verantwoordelijk voor deze paswoorden en moet dit paswoord strikt persoonlijk en vertrouwelijk behandelen. Bij verlies of oneigenlijk gebruik van je paswoord, vragen we je om Acerta zo snel mogelijk te contacteren zodat we de nodige stappen kunnen ondernemen. Bij vermoeden van een eventuele inbreuk, houden wij ons het recht voor om het paswoord aan te passen of de toegang om veiligheidsredenen te schrappen.
Acerta respecteert je privacy: lees hier meer.
De informatie die we aanbieden op onze websites kan fouten of onvolledige informatie van allerlei aard bevatten. Acerta is niet aansprakelijk voor deze eventuele fouten of onvolkomenheden en wijst elke vorm van schade af die voortvloeit uit deze informatie. Acerta zal alle nodige stappen doen om de informatie zo correct mogelijk aan te bieden en behoudt zich het recht voor om deze informatie te allen tijde aan te passen.
De Acerta-website bevat ook doorklikmogelijkheden naar andere websites, maar Acerta is niet verantwoordelijk voor de manier waarop deze websites met je privacy omgaan.
- Acerta zal alle nodige stappen nemen om de verwerkingen altijd volgens de geldende wet- en regelgeving te laten verlopen en volgens de huidige marktstandaarden.
- Acerta zal de nodige stappen ondernemen om inbreuken actief te monitoren om de dienstverlening op een correcte en veilige manier te laten verlopen.
- Acerta zal alle nodige stappen ondernemen om haar onderaannemers, werknemers en andere betrokken partijen te monitoren, op te leiden en te begeleiden bij het correct uitvoeren van hun respectievelijke opdrachten.
- Acerta zal de nodige technische en organisatorische maatregelen nemen om een correcte en goede dienstverlening aan te bieden.
- Acerta zal de verwerking van de gegevens altijd met de nodige zorgvuldigheid en confidentialiteit invullen en een strikte geheimhouding naleven waarbij de toegang tot gegevens voor alle betrokken partijen beperkt blijft tot het strikte minimum dat nodig is voor het uitvoeren van hun opdrachten.
In de diverse bedrijfsprocessen worden persoonsgegevens en vertrouwelijke bedrijfsgegevens verwerkt (payroll, groeipakket, enz.). Wij moeten te allen tijde de vertrouwelijkheid, de integriteit en de beschikbaarheid van die informatie garanderen.
Bij Acerta hanteren we een hoog beveiligingsniveau voor de verwerking van data die behandeld of opgeslagen worden. Onze beveiliging is gebaseerd op internationaal aanvaarde standaarden zoals ISO/IEC 27001.
De 10 voornaamste principes die Acerta toepast:
- We hebben rollen en verantwoordelijkheden gedefinieerd om ervoor te zorgen dat alle beveiligingsactiviteiten adequaat worden uitgevoerd.
- We hebben een geheel van beleidslijnen, normen, procedures en richtlijnen voorzien om de veiligheid te organiseren. Deze documenten worden regelmatig gereviseerd.
- Acerta volgt een risico-gebaseerde aanpak om de vereiste technische en niet-technische beveiligingsmaatregelen te bepalen. Dit zorgt ervoor dat we de juiste prioriteiten stellen en enkel efficiënte en effectieve beveiligingsmaatregelen selecteren en installeren.
- Er werd een systematiek voor dataclassificatie ingesteld om diverse gradaties van gevoelige data te onderscheiden en deze overeenkomstig te beveiligen. Hiernaast werken we met een data life cycle management voor de creatie, het gebruik, de opslag en het verwijderen van gegevens.
- Acerta verbindt zich ertoe om door middel van regelmatige opleiding en oefening de volledige organisatie te sensibiliseren over informatieveiligheid en gegevensbescherming.
- Technieken voor identiteitsbeheer en toegangscontrole zijn geïnstalleerd zodat onze informatie beveiligd is tegen ongeoorloofde toegang, wijziging of vernietiging, zowel intentioneel als accidenteel.
- Fysieke veiligheidsmaatregelen beschermen onze gegevens en systemen tegen brand en diefstal en garanderen de toegangscontrole tot de gebouwen.
- Cyber-beveiligingsmaatregelen zijn operationeel. Zowel onze toepassingen als onze technologieplatformen zijn ontworpen, geconfigureerd, onderhouden en geëvalueerd op basis van erkende beveiligingscriteria, zoals OWASP, NIST SP 800 en de CIS Benchmark suite. Kwetsbaarheden en dreigingen worden op een continue wijze opgevolgd.
- Via een bedrijfscontinuïteitsprogramma kunnen we de bedrijfswerking en de dienstverlening herstellen na een uitval of calamiteit. De normen voor informatiebeveiliging blijven gehandhaafd tijdens de activatie van dit programma.
- Het beleid voor informatieveiligheid en de implementatie ervan worden regelmatig geëvalueerd (o.a. in ISAE3402 type II audits).
‘Continuity Philosophy’
Business Continuity Management (BCM) is binnen Acerta doorheen het volledige bedrijf ingevoerd als deel van “corporate governance”. BCM zorgt voor de correcte implementatie van de regulering en van de standaarden en goede praktijken voor bedrijfscontinuïteit, gepubliceerd door nationale en internationale organisaties zoals BSI en ISO. ACERTA’s systeem voor business continuity management zorgt voor de continuïteit van onze dienstverlening wanneer er een storing is ten gevolge van een ernstig incident of een calamiteit, zoals o.a. stroomuitval, brand, ontoegankelijkheid van de gebouwen en incidenten met de ICT-infrastructuur. Alle cruciale activiteiten in de organisatie zijn gedocumenteerd en ze worden regelmatig getest en geoptimaliseerd in overeenstemming met de continuïteitsstrategie.
BCM-implementatie
Ons BCM-proces is gebaseerd op de British Standard 25999 for business continuity management en de ISO 22301 for Societal Security. Onze bedrijfscontinuïteitsstrategie behandelt de niet-beschikbaarheid van gebouwen, ICT en personeel, door middel van actieplannen en de installatie van noodvoorzieningen. Zo zijn er onder meer:
- de voorziening van uitwijklocaties en infrastructuur om onze medewerkers te huisvesten wanneer een gebouw onbruikbaar is. Daarbij blijft ook de confidentialiteit van onze klant bewaard;
- het doordacht ontwerp van onze informatie- en technologiesystemen zodat wij onze cruciale diensten kunnen heropstarten door middel van een ICT Disaster Recovery Plan (ICT DRP);
- de aanstelling van titularissen en vervangers voor alle cruciale functies in de resilience organisatie.
Resilience organisatie
Acerta heeft een resilience-organisatiestructuur opgezet om gepast te reageren op elk type incident dat de continuïteit van de organisatie kan bedreigen. De resilience organisatie steunt op de werking van verschillende specifieke teams om de continuïteit te waarborgen: Incident, Crisis, Facility en IT DRP teams. Voor elk van deze teams zijn er up-to-date plannen die evaluatieprocedures voor incidenten omvatten, richtlijnen voor escalatie, call trees en andere businessrecoveryvereisten. Ook zijn er instructies voor crisismanagement en crisiscommunicatie zodat bij een ernstig incident of een calamiteit op gepaste wijze gecoördineerd en gecommuniceerd wordt met alle stakeholders.
Onderhoud en testen
Naast een jaarlijkse revisie van de plannen, als onderdeel van het onderhoudsproces, zorgen we actief en doorlopend voor sensibilisering in de volledige organisatie en voor de inbedding van een continuïteitscultuur door middel van regelmatige opleiding en oefening. Het oefenen van de continuïteitsprocedures beschouwen wij als een vitaal element van ons BCM-proces en als een gelegenheid om verbeteringspunten te ontdekken.