CloudVPS certificeringen
CloudVPS certificeringen

Certificeringen

Steeds meer bedrijven en overheidsinstellingen slaan bedrijfsgevoelige data op in de cloud. Deze partijen hebben daardoor een duidelijke behoefte aan bepaalde normen om een minimum service level te garanderen. Wij bieden onze klanten deze garantie via onze diverse certificeringen.

ISO 9001

ISO 9001 is de internationale norm voor kwaliteitsmanagementsystemen en borgt de kwaliteit van onze service en klanttevredenheid. Wij voeren periodiek klanttevredenheidsonderzoeken uit waarmee we onze processen evalueren. Op basis van de resultaten ervan maken wij waar nodig aanpassingen om beter met u te kunnen samenwerken.

ISO 27001

De ISO 27001 is de meest gebruikte security management certificering buiten de Verenigde Staten. Deze certificering bestaat uit 133 controls en is van toepassing op de inrichting van het gehele Informatie Beveiligings Management Systeem. Wij hebben in 2012 de 2005 versie geimplementeerd, de ISO 27001:2005. In 2015 zijn we gehercertificeerd tegen de 2013 versie: ISO27001:2013.

Het certificaat, de Statement of Applicability en het auditrapport zijn vrij beschikbaar ter inzage.

NEN 7510

De zorgsector bewerkt en bewaart belangrijke medische en patiëntgegevens. Om ervoor te zorgen dat uw medische gegevens veilig worden bewaard, heeft de NEN (het Nederlands Normalisatie-instituut) de NEN 7510 security standaard in het leven geroepen. We hebben de NEN 7510 tegelijkertijd met de ISO 27001 geïmplementeerd en laten auditen.

Naast het feit dat we één van officiële NEN 7510 partners zijn, zitten we ook in de NEN-commissie voor cloud computing: Distributed Application Platforms and Servers (DAPS). Deze commissie houdt bezig met een nieuwe ISO-norm voor de cloud; de ISO 27017. Verder houdt de commissie zich bezig met de Nederlandse Praktijkrichtlijn (NPR) Cloud Computing. Onze CloudControls worden hiervoor als basis voor de risico’s en controls gebruikt.

Documenten

Cloud Certificering: de CloudControls

De ISO 27001 en NEN 7510 hebben betrekking op veiligheid. Bij het afnemen van clouddiensten zijn er echter nog andere factoren waar u aan moet denken. Het outsourcing-element van de cloud speelt hierbij een belangrijke rol. Een laag van uw infrastructuur wordt bij een externe partij afgenomen en dit resulteert in extra elementen die moeten worden afgedekt. Denk hierbij aan het voorkomen van lock-in risico’s of het garanderen van informatie over het nakomen van de service level agreement.

Een andere factor inherent aan een publieke cloud is multitenancy. Hierbij spelen onzekerheden die gerelateerd zijn aan het delen van een infrastructuur met verschillende klanten. Om deze outsourcing en multitenancy risico’s te beheersen, hebben we met KPMG en enkele andere partijen de CloudControls ontwikkeld. Dit zijn 44 controls die onafhankelijk of als appendix bij de ISO 27001 geaudit kunnen worden. In onderstaand overzicht treft u de verschillende categorieën met voorbeelden aan.

Voorbeelden CloudControls

 

Control Group Control Sub Group Short Control Control
Multi-Tenancy Multi-Tenancy Isolatie-risico Isolatierisico in de virtualisatie en opslaglagen wordt regelmatig onderzocht en wordt tot het minimum teruggebracht.
Outsourcing Management Informatie
and controle
Portabiliteit van diensten Korte termijn contracten zijn mogelijk, virtuele activa van klanten zijn te verplaatsen en te exporteren in een algemeen geaccepteerd format. Voldoende toegang tot de omgeving en data zal gegeven worden in het geval van een migatie.
Outsourcing Juridisch Proces Data locatie and
relevante jurisdicties
De klant kan de jurisdicatie bepalen waar de data is opgeslagen. Het zal gecommuniceerd worden welke overheden over jurisdicties data zouden kunnen opeisen.
Outsourcing Privacy en toegang tot data Privacy beleid Een privacy-beleid is ontwikkeld, formeel gecommuniceerd en geaudit. Robuste NDA-clausules zijn aan de voorwaarden toegevoegd die de vertrouwelijkheid van alle klantdata beschrijven.
Outsourcing Ontwerp van infrastructuur Informatie over resiliency
management
Disaster recovery plannen en beschikbaarheidsverhogende maatregelen zullen met klanten gedeeld worden indien relevant.
Outsourcing Security Proces Klant vulnerability assessment Cloudprovider zal het mogelijk maken voor klanten om een vulnerability assessment te doen.
Outsourcing Operational Proces Informatie over storingen Outage reporting: als de dienst onderbroken of is verminderd, dan zal er een gedetaileerd rapport beschikbaar worden gemaakt over de reden en de mitigerende maatregelen.
Outsourcing Interfacen met de dienst Beveiliging betalingsgegevens klant Gevoelige klantdata zal worden versleuteld. Maatregelen zijn geïmplementeerd om opslag en zichtbaarheid van gevoelige financieele data te voorkomen.