Teleportel Europe NV ('Teleportel') bedient klanten wereldwijd en maakt hiervoor gebruik van cloud servers. De data centers zijn verspreid over verschillende geografische gebieden. Wij zien er op toe dat Europese klanten gebruik maken van servers die zijn opgesteld in de EER, terwijl klanten in de Verenigde Staten worden bediend door servers die zich op Amerikaanse locaties bevinden. We werken samen met zorgvuldig geselecteerde partners die – afhankelijk van de geografische locatie - beschikken over zowel ISO 27001 certificatie als SOC 2 (type 2) certificaten. Door samenwerking met deze gecertificeerde partners waarborgen wij de hoogste standaarden op het gebied van informatiebeveiliging en gegevensbescherming.
Bovendien, worden door Teleportel volgende maatregelen genomen:
Risico-beoordeling vormt de ruggengraat van het Teleportel systeem voor cyber veiligheid. Dit omvat het systematisch identificeren van potentiële bedreigingen voor informatie (o.a. cyberaanvallen, datalekken, natuurrampen). Het proces omvat 'threat modeling' (analyseren van mogelijke aanvallen en de methodologie); 'kwetsbaarheidanalyse' (identificeren van zwakke punten in systemen, netwerken en processen) en 'impact analyse' (beoordelen van potentiële schade aan de organisatie).
Het bepalen van de strategie, kan op verschillende manieren, a) 'controles' (instellen van firewalls, encryptie, IP Whitelisting en toegangscontroles) b) 'vermijden' door schrappen of wijzigen van risico-houdende processen c) 'overdracht' (uitbesteden van bepaalde risico's om de verantwoordelijkheid te delen) d) 'acceptatie' (in sommige uitzonderlijke gevallen kunnen risico's bewust worden geaccepteerd indien de beheerskosten hoger zijn de potentiële schade).
De interne organisatie van informatiebeveiliging bij Teleportel omvat een transparante en vereenvoudigde structuur met duidelijke rollen en verantwoordelijkheden. Onze professionele beveiligingsteams (intern en extern) zijn verantwoordelijk voor het implementeren en handhaven van beveiligingsmaatregelen en zorgen voor regelmatige bewustwording van alle medewerkers. Daarnaast voeren wij risicoanalyses uit (zie hoger) en passen we onze strategie aan om in te spelen op nieuwe bedreigingen en kwetsbaarheden. Door middel van audits en pentests toetsen wij regelmatig de doelmatigheid van ons informatiebeveiligingsbeleid, zodat we voortdurend kunnen verbeteren.
Het gebruik van persoonsgegevens - meestal beperkt tot naam, voornaam, emailadres en mobiele telefoonnummer - voor de toepassingen van onze klanten- is strikt geminimaliseerd. Voor het merendeel van onze klanten worden geen persoonsgegevens verwerkt. Persoonsgegevens worden uitsluitend verzameld , bijgehouden en gebruikt wanneer dit noodzakelijk is voor de werking van de specifieke toepassing en enkel zolang dit vereist is voor die specifieke toepassing. Gegevens die niet permanent noodzakelijk zijn, worden slechts 48 uur bewaard en worden daarna op veilige wijze gewist, nadat deze, indien gewenst door de klant, op een veilige manier aan de klant zijn overgedragen. Gegevens die wél permanent noodzakelijk zijn, worden met de hoogste mate van veiligheid behandeld, conform de richtlijnen en maatregelen die in andere paragrafen van deze tekst zijn uiteengezet.
Teleportel heeft een informatiebeveiligingsbeleid (security policy) vastgesteld dat alle aspecten van informatiebeveiliging binnen de organisatie dekt. Dit beleid is ontworpen om ervoor te zorgen dat alle informatie van onze klanten op een veilige en verantwoorde manier wordt behandeld. Het beleid wordt regelmatig herzien om te blijven voldoen aan de nieuwste beveiligingsnormen en -voorschriften. Rollen en verantwoordelijkheden met betrekking tot informatiebeveiliging zijn duidelijk toegewezen binnen onze organisatie, van informatiebeveiliging, van operationele beveiliging en risicobeheer tot naleving en incidentbeheer.
Teleportel zorgt op gebied van informatiebeveiliging voor bewustwording. De medewerkers worden continu op de hoogte gehouden van de nieuwste ontwikkelingen op het gebied van informatiebeveiliging en indien nodig wordt dit toegelicht om iedereen die is betrokken, up-to-date te houden.
Teleportel heeft een beleid voor toegangsbeheer opgesteld om de veiligheid van de informatie en systemen te maximaliseren. Indien de klant bereid is dit te doen, dringen we er op aan en verkiezen we dat – voor toegang tot de systemen - het toegangsbeheer door de klant zelf wordt geregeld (vb. paswoord management en toegangsbeheer d.m.v. ADFS / Azur ID et.al.
Voor klanten die dit niet wensen zelf te doen - en voor de eigen medewerkers - zijn er maatregelen genomen om ervoor te zorgen dat enkel geautoriseerde personen toegang hebben tot specifieke gegevens en systemen (waaronder, afhankelijk van het geval IP whitelisting, 2FA, Auth0 en andere beproefde technieken). Controles worden uitgevoerd om ervoor te zorgen dat ons toegangsbeheer voortdurend voldoet aan de beveiligingsnormen. In principe krijgen enkel die gebruikers toegang tot de gegevens die ze nodig hebben voor hun functie.
Teleportel hanteert een strikt beleid voor het gebruik van cryptografische controles om de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens te maximaliseren. Dit beleid omvat het gebruik van versleutelingstechnieken voor de bescherming van gevoelige informatie tijdens opslag en overdracht. We passen methoden toe volgens de 'best practices 'en internationale normen voor het genereren, verdelen, opslaan, vervangen en vernietigen van cryptografische sleutels op een veilige manier.
Van de hardware en software die wordt gebruikt door / voor klanten, houdt Teleportel een inventaris bij, die wordt bij gewerkt indien dat nodig is. Dit helpt bij het snel identificeren en aanpakken van eventuele beveiligingsproblemen. Ook is duidelijk eigenaarschap toegewezen met specifieke richtlijnen voor toegangs- en gebruiksrechten.
Teleportel heeft procedures opgesteld voor veilige bedrijfsvoering en bescherming tegen malware. Deze procedures omvatten strikte richtlijnen voor het beveiligen van onze systemen en netwerken tegen malware-aanvallen, zoals het implementeren van antivirussoftware, regelmatige systeemupdates, IP whitelisting en het uitvoeren van proactieve kwetsbaarheidsanalyses (o.a. pentesting).
Daarnaast hebben wij robuuste back-up- en herstelsystemen geïmplementeerd om de integriteit en beschikbaarheid van de data te maximaliseren. In geval van storingen kunnen wij snel en effectief herstellen dankzij geteste herstelprocedures, die de continuïteit van onze diensten garanderen en bijdragen aan een minimale onderbreking van onze bedrijfsactiviteiten.
De beveiliging van netwerken, informatieoverdracht en opslag heeft de hoogste prioriteit voor Teleportel. Wij hebben maatregelen geïmplementeerd om de integriteit en vertrouwelijkheid van onze netwerken en datatransmissies te maximaliseren. Dit omvat – naast bestaande, 'best practices technieken' ook het gebruik van zelf ontwikkelde protocollen en methodieken die zijn ontworpen om onze gegevensstromen te beveiligen tegen ongeautoriseerde toegang en aanvallen. Bovendien maken wij gebruik van IP whitelisting om toegang tot de netwerkdiensten te beperken tot goedgekeurde en vertrouwde IP-adressen, zowel van de Teleportel servers als van de apparatuur van onze klanten. Dit alles wordt periodiek geëvalueerd en op basis van de bevindingen worden noodzakelijke aanpassingen en verbeteringen doorgevoerd.
Wij beveiligen onze ontwikkelingsprocessen en beheren testdata met de grootste zorgvuldigheid. We maken gebruik van beproefde beveiligingsmaatregelen, zoals gesegmenteerde netwerken, versleuteling en veilige coderingstechnieken. Testdata (indien mogelijk geanonimiseerd) wordt zorgvuldig beheerd om ervoor te zorgen dat deze gegevens niet worden blootgesteld aan ongeautoriseerde personen of risico's en wordt op veilige manier opgeslagen.
Indien zich incidenten voordoen, kunnen deze worden gemeld via helpdesk@teleportel.com, waarna wij onmiddellijk en adequaat reageren. Ons incidentenbeheerproces is ontworpen om een snelle en effectieve respons te waarborgen, waarbij we elk incident zorgvuldig analyseren en beoordelen. Dat gebeurt dan door zowel interne als externe diensten. Na de initiële reactie volgt een grondige evaluatie van het incident om de oorzaak vast te stellen en de impact te begrijpen. Wij gebruiken de opgedane inzichten uit deze incidenten om ons continu verbeteringsproces te voeden. Door te leren van elk incident , passen wij onze processen en beveiligingsmaatregelen aan om herhaling te voorkomen en de algehele beveiliging te versterken.
Wij zorgen voor naleving van de wettelijke als contractuele eisen. Onze nalevingsactiviteiten worden aangevuld met penetratietests (pentests), die worden uitgevoerd om kwetsbaarheden in onze systemen en processen te identificeren en te verhelpen. Door deze benadering kunnen wij proactief inspelen op veranderende eisen en potentiële risico's, en zorgen wij ervoor dat onze beveiligingsmaatregelen up-to-date en doelmatig zijn. Deze 'monitoring' gebeurt door interne diensten maar kan ook gedeeltelijk worden uitbesteed aan externe partijen, voor het injecteren van extra kennis en andere inzichten. Deze aanpak draagt bij aan onze toewijding aan voortdurende verbetering en versterkt ons vermogen om te voldoen aan de hoogste normen van informatiebeveiliging.