Nmbrs Security
De waarborging van de veiligheid van persoonsgegevens geniet bij Nmbrs grote toewijding. De veiligheid van ons platform, netwerk en producten heeft dag en nacht onze hoogste prioriteit.
Wij waarborgen privacy
Nmbrs zal persoonsgegevens nooit voor andere doeleinden dan HR- en payroll-gerelateerde toepassingen gebruiken. Bovendien doen wij er alles aan om te zorgen dat niemand anders dat met onze data zou kunnen doen. Alle klantgegevens die opslag behoeven, bevinden zich in het datacenter met de hoogste niveaus van beveiliging en operationele betrouwbaarheid. Het delen van gegevens met toepassingen of tools die ons product verbeteren, gebeurt in overeenstemming met de EU Data Protection Act. Dit houdt in dat de gedeelde informatie zeer beperkt is en geen gevoelige data overdraagt.
Wij behandelen alle gegevens in onze applicatie zorgvuldig, veilig en vertrouwelijk. De verwerking van gegevens gebeurt uitsluitend in overeenstemming met bestaande richtlijnen van bestaande wet en regelgeving. Bij het gebruik van onze applicatie komt men akkoord met het gebruik van zijn of haar gegevens, zoals beschreven in onze privacyverklaring.
Per 25 mei 2018 geldt de nieuwe Algemene Verordening Gegevensbescherming (AVG) - in het Engels bekend als de General Data Protection Regulation (GDPR). Dit heeft uiteraard implicaties voor Nmbrs en haar dienstverlening. Wij hebben sinds 1 februari een compliance- en risk officer aangesteld die dit project verder aan het uitrollen is. De compliance officer is geregistreerd bij de Autoriteit Persoonsgegevens en zal er alles aan doen betrokkenen zo nauwkeuring mogelijk te informeren.
Het doel van dit ISAE 3402 Type II rapport is onder andere om de klanten te voorzien van antwoord op de vraag hoe Nmbrs als service organisatie processen beheerst; hoe wij omgaan met risicomanagement, informatiebeveiliging en anti-fraude. Processen die uitgevoerd worden door een serviceorganisatie hebben namelijk vaak invloed op financiële en operationele processen die effect hebben op de jaarrekening van de gebruikersorganisatie.
Nmbrs maakt gebruik van de diensten van andere bedrijven. Denk aan datacenters, product development systems, tools voor onze supportafdeling. In juridische termen worden deze partijen subprocessors genoemd. Vind hier een lijst van al onze subprocessors.
Hoe beschermen wij klantgegevens?
Ons beleid streeft zowel veiligheid als gebruiksgemak voor onze klanten na. We gebruiken verschillende tools voor die ons team waarschuwen tijdens kritieke situaties binnen de infrastructuur van onze applicatie. Daarnaast bieden wij onze klanten opties om de veiligheid van hun account te verhogen. De Nmbrs IT-whitepaper biedt een volledig overzicht van deze inspanningen en beleidsmaatregelen die ons helpen bij het beveiligen van klantgegevens.
De client / Server communicatie is uitgevoerd met HTTPS, wat de integriteit van gegevens garandeert en datamanipulatie voorkomt. Het Nmbrs certificaat maakt gebruik van een 2048 bit encryptie. De HTTPS transportlagen gebruiken een standaard TLS zonder terugval naar SSLv2 / SSlv3, die door veiligheidsredenen zijn uitgeschakeld. Internetgebruikers herkennen de beveiligde SSL-status aan het vergrendelingspictogram voor de adresbalk en beveiligde websites met uitgebreide validatie aan de groene adresbalk.
Nmbrs slaat geen originele gebruikerswachtwoorden op in de database. In plaats daarvan slaan wij een salted hash van het wachtwoord op, wat betekent dat zelfs toegang tot de database nog geen inzicht in de wachtwoorden verleent. Qua wachtwoordbeleid kunnen klanten zowel periodieke wachtwoord resets als het gebruik van pincodes aansturen, en biedt two-factor verificatie mogelijkheid tot een tweede verificatieniveau voor het Nmbrs-account.
Elke gebruiker heeft een whitelist met goedgekeurde IP-adressen om toegang te krijgen tot het systeem. Wanneer gebruikers toegang krijgen tot het systeem vanuit een nieuw IP-adres, wordt een e-mail verzonden om deze te verifiëren. Het is ook mogelijk om de toegang tot Nmbrs accounts te beperken tot een voorgedefinieerde lijst met IP-adressen of IP-bereik. Dit beleid voorkomt inbreuk op Nmbrs accounts vanuit onbekende locaties of apparaten.
Welke beleidsmaatregelen handhaven wij?
Voor zowel ons bij Nmbrs, als voor onze partners, onze klanten en gebruikers van onze applicatie bestaat een aantal beleidslijnen. We hebben de belangrijkste documenten hier onder één dak gebundeld.
Een verwerkersovereenkomst betreft een overeenkomst over vertrouwelijkheid, beveiliging, privacy, data eliminatie en andere verplichtingen. Indien u als (nieuwe) klant opzoek ben naar onze standaard verwerkersovereenkomst; Wij hebben deze opgenomen in onze algemene leveringsvoorwaarden. Bij het aangaan van een free trial en opnieuw bij het geven van de opdrachtbevestiging gaat u akkoord met deze voorwaarden.
In de onwaarschijnlijke situatie dat een gebruiker of hacker een kwetsbaarheid blootlegt binnen de infrastructuur van Nmbrs, schrijft de Responsible Disclosure Policy voor dat deze zaak in samenwerking met deze partij vertrouwelijk wordt behandeld. Vervolgens zal de kwetsbaarheid met hoge prioriteit worden onderzocht.
Wie waarborgt onze veiligheid?
Nmbrs raadpleegt externe partijen om onze operational excellence, procedures en methodieken te toetsen. Nmbrs onderhoudt een reeks nalevingscertificeringen die een onafhankelijke verificatie van onze kwaliteit bieden.
Nmbrs heeft een ISAE 3402 rapportage opgesteld. Dit ISAE 3402 Type II rapport heeft onder meer tot doel de klant van Nmbrs informatie te verschaffen om inzicht te krijgen in de opzet en implementatie van door Nmbrs geïmplementeerde beheersmaatregelen die relevant zijn voor de beheersing van de interne processen van de gebruikersorganisatie ten behoeve van de controle van hun jaarrekening. Lees hier meer informatie over het rapport.
Hoe kunnen we nog veiliger werken?
Het zijn van een online software betekent dat cybercrime een risico van onze dienstverlening is. Cybercriminelen proberen vaak gevoelige informatie te verkrijgen door toegang te krijgen tot individuele accounts of door gebruik te maken van ons merk. Wij zijn van mening dat gedeelde kennis het meest krachtige wapen tegen deze vorm van misdaad is. Daarom streven wij ernaar alle gebruikers en partners te voorzien van duidelijke kennis en instructies over hoe om te gaan met mogelijke pogingen tot online criminaliteit.
Phishing is een vorm van online fraude waar men in groeiende mate rekening mee dient te houden. Criminelen sturen bijvoorbeeld misleidende e-mails of berichten die vanuit Nmbrs of een andere vertrouwde afzender lijken te komen, om zo vertrouwlijke informatie te ontfutselen. Vanuit Nmbrs zal echter nooit naar gevoelige informatie worden gevraagd; Laat dus in geen geval uw gegevens achter. Een phishingmail zou bijvoorbeeld ook naar de inloggegevens van jouw Nmbrs account kunnen vragen. Zorg dat je deze inloggegevens enkel invult binnen een Nmbrs domein waarvan de SSL encryptie herkenbaar is. We verwijzen je graag naar de website van het Rijksoverheid, om meer informatie over onder andere het herkennen van cybercrime en phising te vinden.
Neem gerust contact op
Ons support team staat altijd voor je klaar en onze compliance manager beantwoordt graag je vragen.
