Beleid Informatiebeveiliging

Bedrijfsprofiel

ZangaBee is een IT-adviesbureau gedreven door 25 jaar ervaring in IT-beheer, corporate IT en outsourcing. De focus bij ZangaBee ligt op de cloudoplossingen NetSuite (Enterprise Resource Planning) en Celigo (Integraties). 

ZangaBee heeft haar kantoor in Den Haag, Nederland. Het klantenbestand groeit geleidelijk en breidt zich uit van Nederland naar Europa. Klanten zijn loyaal door de transparante manier van werken, persoonlijke aandacht en servicegerichte aanpak van ZangaBee.

Ons informatiebeveiligingsbeleid – Doelstelling

ZangaBee wil die betrouwbare partner zijn waar klanten naar toe gaan voor projecten en diensten in de overtuiging dat de standaarden van ZangaBee minstens zo hoog zijn als die van henzelf.

Jong maar het juiste DNA

Als jong bedrijf moet ZangaBee nog ISO-certificeringen behalen, maar het DNA van het bedrijf is al sterk gefocust op het stellen van de juiste standaarden op gebieden als:

• Geheimhoudingsverklaring (NDA)
• “Need to Know”- basis en on-/offboarding
• Beheer van inloggegevens
• Clean Desk beleid
• Acceptabel gebruik
• Reactie op datalekken
• Digitale handtekeningen

Deze onderwerpen worden in de onderstaande secties toegelicht.

BELANGRIJK

• Dit beleid is van toepassing op zowel onze werknemers als de freelancers die voor ZangaBee werken.
• “ZangaBee management” verwijst naar de eerder genoemde bedrijfsdirecteuren.

Geheimhoudingsverklaring (NDA)

Klanten kunnen ons vragen om een NDA te ondertekenen voordat ze toegang geven tot hun systemen.

De bedrijfsdirecteuren van ZangaBee zullen het NDA ondertekenen, waarmee zij zich verantwoordelijk stellen voor de hele organisatie en haar werknemers.

“Need to Know”- basis en on-/offboarding

Voor ons werk is het vaak essentieel dat we beheerdersrechten hebben op de systemen van onze klanten. Echter, we zouden niet langer toegang moeten hebben dan nodig is.

Het is de verantwoordelijkheid van de klant om ervoor te zorgen dat de toegang wordt uitgeschakeld en de toegangscodes worden ingetrokken zodra de projecten/services zijn voltooid. We houden ons t.a.t. aan de volgende ZangaBee-standaarden:

• Wij loggen niet in op systemen waar wij niet aan hoeven te werken
• We lichten het Algemeen Management van ZangaBee in als wij vinden dat een klant ons per ongeluk teveel of onnodige toegangsinformatie heeft gegeven. Het management van ZangaBee zal dit vervolgens met de klant bespreken.

-Beheer van inloggegevens

1Password

• 1Password wordt gebruikt om inloggegevens te bewaren en om deze veilig te delen.
• Het wordt aanbevolen om de veilige wachtwoordgenerator in 1Password te gebruiken voor het genereren van geschikte en unieke wachtwoorden.
• Het gebruik van “Onthoud wachtwoord” -functies van applicaties (bijvoorbeeld webbrowsers) moeten worden stopgezet.

Wachtwoord aanmaken

• Gebruikers moeten een afzonderlijk, uniek wachtwoord gebruiken voor elk van hun werkgerelateerde accounts.
• Gebruikers mogen geen werkgerelateerde wachtwoorden gebruiken voor hun eigen, persoonlijke accounts.
• Gebruikersaccounts die privileges op systeemniveau hebben, moeten hiervoor een uniek wachtwoord hebben om toegang te krijgen.
• Daarnaast bevelen wij ten zeerste aan om een meervoudige authenticatie te gebruiken voor geprivilegieerd account.

Clean Desk beleid

• U bent verplicht ervoor te zorgen dat op de werkplekken alle gevoelige/vertrouwelijke informatie in gedrukte of elektronische vorm veilig zijn opgeborgen. Dit wordt zowel aan het eind van de werkdag verwacht, als wanneer werknemers voor langere tijd niet aanwezig zijn.
• Computerwerkplekken moeten worden vergrendeld als de werkruimte niet bezet is.
• Alle vertrouwelijke en/of gevoelige informatie moeten van het bureau worden verwijderd en in een afgesloten opbergruimte worden bewaard. Dit geldt voor zowel de werkplekken aan het einde van de werkdag, als de bureaus die onbezet zijn.
• Wachtwoorden mogen niet worden achtergelaten op plaknotities die op of onder een computer worden bewaard, en mogen ook niet worden opgeschreven op een toegankelijke locatie.
• Afdrukken met vertrouwelijke of gevoelige informatie moeten onmiddellijk van de printer en het kopieerapparaat worden verwijderd.
• Whiteboards met vertrouwelijke en/of gevoelige informatie moeten worden gewist.

Acceptabel gebruik

U gaat ermee akkoord dat u persoonlijk verantwoordelijk bent voor het naleven van alle toepasselijke wetten bij al uw activiteiten met betrekking tot uw werk voor ZangaBee.

ZangaBee heeft het recht, maar niet de plicht, om communicatie-inhoud te controleren en te verwijderen waarvan wij naar eigen goeddunken op enigerlei wijze bezwaarlijk vinden.

Bovendien is het verboden om de tools en systemen van ZangaBee te gebruiken voor communicatie of activiteiten die:

(a) in strijd zijn met enige wet, statuut, verordening of regeling;
(b) haat, geweld, rassenintolerantie of financiële uitbuiting van een misdrijf bevorderen;
(c) anderen belasteren, misbruiken, lastigvallen of bedreigen;
(d) taal of afbeeldingen bevatten die onverdraagzaam, hatelijk, racistisch beledigend, vulgair, obsceen, onfatsoenlijk of onbeleefd zijn;
(e) inbreuk maken op of schenden van enig auteursrecht, handelsmerk, recht op publiciteit of privacy of enig ander eigendomsrecht onder de wetten van enig rechtsgebied;
(f) een onredelijke of onevenredig grote belasting op onze infrastructuur uitoefenen;
(g) het faciliteren van virussen, Trojaanse paarden, wormen of andere computerprogrammeringsroutines die een systeem, gegevens of informatie kunnen beschadigen, nadelig verstoren, stiekem onderscheppen of onteigenen;
(h) gebruik maken van een robot, spider, ander automatisch apparaat of handmatig proces om informatie te controleren of te kopiëren zonder onze voorafgaande schriftelijke toestemming;
(i) het gebruik maken van een apparaat, software of routine om technologie die de tools en systemen van ZangaBee beschermen, te omzeilen of te proberen deze te verstoren; of
(j) kan ertoe leiden dat we een van de services van onze internetproviders, betalingsverwerkers of andere leveranciers verliezen.

We raden u aan om contact met ons op te nemen over eventuele schendingen van dit gedeelte of de Overeenkomst in het algemeen, via een van de manieren die beschreven zijn onder ‘Contact Informatie’.

Reactie op datalekken

Zodra een diefstal, datalek of blootstelling van de door ZangaBee beschermde of gevoelige gegevens wordt vastgesteld, begint het proces van het verwijderen van alle toegang tot die bron.

Zodra een diefstal of een datalek van beschermde of gevoelige gegevens van ZangaBee’s klanten wordt geïdentificeerd of geacht geïdentificeerd te zijn, moet het Management van ZangaBee onmiddellijk worden geïnformeerd en zal het Management van ZangaBee de klant (en) informeren.

Een van de bedrijfsdirecteuren zal een multidisciplinair incidentresponsteam voorzitten om de inbreuk of blootstelling aan te pakken. Het samenwerken met forensisch onderzoekers en experts zal worden vergemakkelijkt om te bepalen hoe de inbreuk of blootstelling plaatsvond; het identificeren van de gegevens waar het om gaat; het aantal interne/externe personen en/of organisaties dat wordt beïnvloed; en het analyseren van de inbreuk of blootstelling om de hoofdoorzaak vast te stellen.

ZangaBee zal samenwerken met de klant (en) om de impact te minimaliseren en om gezamenlijk de nodige herstelactiviteiten te bepalen.

Digitale handtekeningen

Een digitale handtekening is een acceptabel alternatief voor een natte handtekening op elk intra-organisatiedocument of correspondentie.

Als u wordt gevraagd om namens ZangaBee een document te ondertekenen (digitaal of anderszins), dan stuurt u dat verzoek door naar het management van ZangaBee om de geldigheid van het verzoek te verifiëren.

ZangaBee gebruikt PandaDoc voor het verkrijgen van digitale handtekeningen, maar de volgende platforms worden ook geaccepteerd:

• Docusign
• In de toekomst zullen er meer worden toegevoegd 

Digitale handtekeningen zijn alleen van toepassing op individuen. Digitale handtekeningen voor rollen, posities of titels worden niet als geldig beschouwd.