hero-top

Vertrouwen en Veiligheid bij Peple

Bij Peple begrijpen we dat de kern van onze dienstverlening – het beheer van HRM-, salaris- en financiële processen – gebouwd is op een fundament van absoluut vertrouwen. Jij vertrouwt ons jouw meest gevoelige en bedrijfskritische data toe: persoonsgegevens, salarisinformatie en financiële administraties. Deze verantwoordelijkheid is geen bijzaak; het is de leidraad voor elke beslissing die we nemen op het gebied van technologie, operationele processen en klantenondersteuning.

In het huidige digitale landschap, waar cyberdreigingen steeds geavanceerder worden en de risico's variëren van georganiseerde cybercriminaliteit tot menselijke fouten, is vertrouwen niet vanzelfsprekend. Vertrouwen moet worden verdiend door middel van transparantie, onafhankelijke validatie en een proactieve veiligheidscultuur. Deze pagina draagt bij aan die transparantie. Het biedt een gedetailleerd inzicht in de maatregelen die wij nemen om jouw data te beschermen.

1. Certificering & rapportages

2. Hosting

3. Netwerk

4. Personeel

5. Beveiligingsbeleid

6. Leveranciers

7. Veilig ontwikkelen

8. Back-up & restore

9. Encryptie

10. Autorisaties

11. Bedrijfscontinuïteit

12. Incidient management

13. Best practice voor klanten

14. Voldoen aan wet- & regelgeving

15. NIS2

16. DORA

 

Certificering & rapportages

Naast het beschrijven hoe we binnen Peple op een veilige manier werken, laten we dit ook toetsen door onafhankelijke partijen. Hier vind je onze certificaten:

 

Hosting

De fysieke- en netwerklaag vormen een belangrijk onderdeel van onze beveiliging. Daarom werken we alleen samen met partijen die voldoen aan strenge eisen op het gebied van beveiliging maar ook van privacy en duurzaamheid.

De applicaties worden bij de volgende partijen gehost:

 
  • Continue Monitoring: Onze systemen worden 24/7 gemonitord op prestaties, beschikbaarheid en kwetsbaarheden. Hiervoor gebruiken we onder andere AWS Cloudwatch, Orca Security en krijgen we ondersteuning van een team binnen Visma die al onze diensten continu in de gaten houden. 
  • Offsite replica: Onze virtuele servers worden naar een tweede locatie gerepliceerd. Dit beperkt de downtime in het geval van een grote storing in de primaire hosting omgeving. Hiermee borgen we de continuïteit van onze dienst.  

 

Netwerk

  • Netwerkbeveiliging: Wij maken gebruik van geavanceerde netwerkbeveiliging op zowel ons kantoor als op de hosting locaties, waaronder enterprise-grade firewalls, Web Application Firewalls (WAFs) en Intrusion Detection/Prevention Systems (IDS/IPS). Deze systemen analyseren continu het verkeer naar en van onze servers om kwaadaardige activiteiten en ongeautoriseerde toegangspogingen te detecteren en te blokkeren.
  • VLAN: Het netwerk op ons kantoor is virtueel gescheiden om er zeker van te zijn dat niemand het netwerkverkeer van Peple kan onderscheppen.
    Wifi: We maken gebruik van een apart gasten en medewerkers wifi netwerk. Het wifi netwerk wordt in de avond en in het weekend uitgeschakeld om misbruik te voorkomen. 
  • IP Blacklist: Er wordt een realtime blacklist bijgehouden met IP adressen die staan gemarkeerd als malafide. Hiermee voorkomen we dat onze collega’s op onveilige websites terecht kunnen komen.

 

Personeel

Naast alle technische en fysieke maatregelen die we treffen om onze data te beschermen hebben we ook maatregelen vastgelegd om er zeker van te zijn dat onze collega’s goed op de hoogte zijn van onze procedures, wetgeving rondom privacy en bewust blijven van de nieuwe ontwikkelingen. Dit borgen we door:

  • Voordat we een aanbod doen, verifiëren we of de kandidaat beschikt over de juiste competenties voor de functie. 
  • Bij indiensttreding een VOG op te vragen en eens per vijf jaar te verifiëren.
  • Bij indiensttreding een geheimhoudingsovereenkomst te tekenen.
  • Ieder jaar volgen de medewerkers van Peple meerdere E-learnings op het gebied van Security & Privacy.
  • Jaarlijks voeren we minimaal twee phishing simulaties uit om het personeel te trainen.
    Ieder jaar voeren we bewustwordings campagnes uit om de collega’s alert te maken over risico’s die wij als organisatie lopen.
  • Bij het uit dienst proces worden medewerkers geattendeerd op het feit dat hun geheimhoudingsovereenkomst ook na het dienstverband gehanteerd blijft.


Beveiligingsbeleid 

Natuurlijk is het noodzakelijk om een veilige werkwijze op te stellen. Het is echter net zo belangrijk dat deze voor iedereen begrijpelijk is en geen onnodig complexe processen bevat. Daarom gebruiken we bij Peple een communicatieblad waarin alle regels op een eenvoudige manier zijn samengevat. De volgende punten staan hierin onder andere beschreven: 

  • Doel van informatiebeveiliging - Wat is het belang voor Peple?
  • Classificatie van informatie - Welke data is voor ons het meest waardevol en hoe gaan we hier mee om? 
  • Risico’s informatiebeveiliging - Hoe brengen we risico’s in beeld?
  • Incidenten melden - Wat zijn incidenten en hoe meld ik deze?
  • Voldoen aan wet- en regelgeving - Hoe blijven we op de hoogte van wetswijzigingen?
  • Fysieke toegang - Hoe is ons kantoor beveiligd?
  • Authorities - Need-to-know principe en wat te doen als je meer rechten hebt dan nodig?
  • Wachtwoorden - Beleid ten aanzien van wachtwoorden en het gebruik van een wachtwoordkluis 
  • 2FA - Waar mogelijk toepassen 
  • Bedrijfsmiddelen - Hoe beveiligen we je laptop en wat zijn jouw verantwoordelijkheden?
  • Werkruimte - Regels ten aanzien van je werkplek zoals clear desk en clear screen beleid.

 

Leveranciers 

Het is voor ons uiterst belangrijk dat de beveiliging die wij nastreven binnen Peple, net zo serieus wordt genomen door de leveranciers die wij inzetten. Zowel voor de leveranciers die ondersteunen bij het leveren van onze diensten als voor de diensten die wij gebruiken voor onze eigen processen.

Om er zeker van te zijn dat deze eisen worden nagekomen voeren wij de volgende controles uit voordat we een samenwerking aan gaan met een nieuwe leverancier:

  • Beschikt de leverancier over een ISO 27001/NEN7510, ISAE3402 of SOC2 en sluit de inhoud aan bij de verwachting van de dienst die we afnemen?
  • Zijn er duidelijke afspraken over de verantwoordelijkheid?
  • Welke subverwerkers zijn er?
  • Blijft onze data in de EU?

Bij SaaS leveranciers:

  • Is er een sterk wachtwoordbeleid actief?
  • Is het mogelijk om met een unieke gebruikersnaam in te loggen?
  • Is het mogelijk om 2FA te gebruiken?
  • Wordt de data versleuteld weggeschreven?
  • Worden er logs bijgehouden?
  • Liggen de RPO en RTO in lijn met de verwachting?
  • Is de webapp voldoende beveiligd en versleuteld?


We werken bij voorkeur alleen met leveranciers die gevestigd zijn binnen de Europese Unie. Helaas ontkomen we er niet aan om ook samen te werken met bedrijven waarvan het hoofdkantoor is gevestigd buiten de EU. Met deze leveranciers hebben we contractuele afspraken dat onze data alleen binnen de EU verwerkt mag worden. 

Voor alle kritische leveranciers hebben we een ‘Exit strategie’ beschreven. Dit houdt in dat we nadenken over een alternatief als de leverancier of dienst stopt te bestaan of niet langer gebruikt mag worden door wet en regelgeving. Hiermee hopen we de continuïteit van ons bedrijf te waarborgen.

Naast het toetsen van leveranciers bij het aangaan van de samenwerking, toetsen we ook jaarlijks of zij nog steeds voldoen aan onze eisen en beoordelen we of alles nog naar tevredenheid werkt.

Hierbij wordt gekeken naar incidenten die mogelijk hebben opgetreden, de geldigheid van certificaten, of alle afspraken uit de SLA wel worden nageleefd en of ze nog steeds voldoen aan onze eisen ten aanzien van beveiliging. 

Veilig Ontwikkelen

Bij het ontwikkelen van software komen veel risico’s kijken, zeker als het om software gaat waar gevoelige gegevens in verwerkt worden. De kans dat er een kwetsbaarheid ontstaat in onze software is niet volledig te voorkomen, daarom hebben we binnen Peple verschillende manieren om deze risico’s tot een minimum te beperken.

  • Security by Design: Wij integreren beveiliging in elke fase van de Software Development Lifecycle (SDLC), van het eerste ontwerp en threat modeling tot de ontwikkeling, het testen en de implementatie. Deze 'Shift Left'-benadering stelt ons in staat om kwetsbaarheden vroegtijdig te identificeren en te mitigeren, wanneer dit het meest effectief en efficiënt is.
  • Codeveiligheid: Ons ontwikkelproces omvat geautomatiseerde tools voor het scannen van code en het controleren van externe bronnen op bekende kwetsbaarheden. Daarnaast is er een vaste controle procedure voor elke codewijziging om de kwaliteit en veiligheid te waarborgen. Hiervoor maken we gebruik van bronnen zoals OWASP.
  • Kwetsbaarheden en Penetratietesten: We voeren continu geautomatiseerde kwetsbaarheidsscans uit op onze systemen. Bovendien schakelen we periodiek onafhankelijke, gespecialiseerde beveiligingsbedrijven in om grondige penetratietesten uit te voeren. Deze ethische hackers proberen onze verdediging te doorbreken, wat ons waardevolle, objectieve inzichten geeft in potentiële zwaktes en ons helpt onze beveiliging proactief te versterken.
  • VCDM: Het Visma Cloud Delivery Model biedt een scala aan oplossingen die bijdragen aan het veilig ontwikkelen van software. Onze applicaties zijn onderdeel van dit model en worden beoordeeld op de inrichting hiervan. Onze plicht is om te voldoen aan een hoge score in verband met de gevoelige data die wij verwerken in ons systeem. VCDM ondersteunt met de volgende initiatieven:
    • Secure Code Training
    • Security Self Assessment
    • Static application Security Test
    • Software Composition Analysis
    • Dynamic Application Security Test
    • Bug Bounty
    • Security Log Management
    • Cyber Threat Intelligence
    • Cloud Guardian
    • API Maturity Assessment
    • Performance Management Plan
    • Software Architecture Assessment


Ben je benieuwd hoe dit bijdraagt aan een veiligere omgeving en wat assessments en testen precies inhouden? Neem dan gerust contact met ons op voor meer informatie.


Back-up & Restore

Het maken van een back-up is een noodzakelijk en vaak vanzelfsprekend proces. Echter, wat vaak wordt vergeten, is om regelmatig te controleren of de inhoud van de back-up daadwerkelijk overeenkomt met wat je verwacht hebt opgeslagen te hebben. Daarom voeren we binnen Peple meerdere keren per jaar een controle uit. We evalueren hierbij hoeveel tijd het kost om de back-up terug te zetten en of de integriteit van de back-up gewaarborgd is.

Back-up schema en retentietijd:

Visma.net HRM

Type

Frequentie

Retentie

File server

Dagelijks

30 dagen

Maandelijks

1 jaar

SQL database

Elke 2 uur

30 dagen

Dagelijks

30 dagen

Maandelijks

1 jaar

Jaarlijks

5 jaar

 

Visma.net Payroll

Type

Frequentie

Retentie

Amazon Relational Database Service (Amazon RDS)

5 minuten

35 dagen

Amazon Relational Database Service (Amazon RDS)

Dagelijks

35 dagen

 

Visma Net Financials 

Type

Frequentie

Retentie

Standard MS Azure Back-up

5 minuten

35 dagen
 


Encryptie

Het versleutelen van data is een eenvoudige maar toch effectieve manier om data te beschermen tegen diefstal. We passen de volgende vormen toe:

  • Encryptie in Transit: Alle data die wordt uitgewisseld tussen de browser en onze applicaties wordt versleuteld met Transport Layer Security (TLS) 1.2 of hoger. Dit creëert een beveiligde tunnel die voorkomt dat gegevens tijdens de overdracht kunnen worden onderschept of gemanipuleerd.
  • Encryptie at Rest: Zodra de data onze servers bereikt, wordt deze versleuteld opgeslagen met behulp van sterke, moderne algoritmes zoals AES-256. Dit geldt voor alle data, inclusief actieve databases, documenten en back-ups. Zelfs in het onwaarschijnlijke geval van een fysieke inbraak in het datacenter, blijven uw gegevens onleesbaar en onbruikbaar.
  • Dataminimalisatie en -verwijdering: Wij hanteren strikt het principe van dataminimalisatie: we verzamelen en verwerken alleen de gegevens die strikt noodzakelijk zijn voor de functionaliteit van onze software. Conform de AVG hebben we een formeel beleid voor gegevensverwijdering. Na beëindiging van een contract wordt uw data, rekening houdend met wettelijke bewaartermijnen, op een veilige en permanente manier uit onze systemen verwijderd.

 

Autorisaties

Het up-to-date houden van de autorisaties binnen de applicaties die wij gebruiken en voor de applicaties die wij leveren vinden we erg belangrijk. Door niet meer rechten te geven dan strikt noodzakelijk is, beperken we het risico op een beveiligingsincident. Om er zeker van te zijn dat dit structureel gebeurt, hebben we controllers in ons ISMS ingebouwd die ons elk kwartaal een melding sturen om de gebruikers en hun autorisaties na te lopen. 

 

Single Sign-On (SSO): Binnen Peple geven we de voorkeur aan het gebruik van SSO. Het grootste voordeel hiervan is dat het account slechts op één locatie hoeft te worden gedeactiveerd, waardoor de toegang tot andere applicaties automatisch wordt geblokkeerd.

Role-Based Access Control (RBAC): Ons RBAC-systeem binnen Peple is zo ingericht dat rechten op basis van rollen worden toegewezen. Een ontwikkelaar heeft vanzelfsprekend andere toegangsrechten dan iemand van de marketingafdeling. Afhankelijk van de rol(len) die je vervult, krijg je automatisch toegang tot de applicaties die nodig zijn voor je werkzaamheden.

 

Bedrijfscontinuïteit

Wij zijn ons ervan bewust dat uw bedrijfsprocessen afhankelijk zijn van de beschikbaarheid van onze software. Daarom treffen we verschillende maatregelen en hebben we scenario's uitgedacht om eventuele downtime tot een minimum te beperken. 

  • Hoge Beschikbaarheid: Onze architectuur is ontworpen met redundantie en fouttolerantie als kernprincipes. Dit minimaliseert de kans op downtime en zorgt ervoor dat onze diensten consistent beschikbaar zijn, zoals vastgelegd in onze Service Level Agreements (SLA's).
  • Back-up en Disaster Recovery: We hebben een uitgebreid plan voor back-up en herstel. Er worden regelmatig geautomatiseerde, versleutelde back-ups gemaakt die op een geografisch gescheiden, eveneens beveiligde locatie worden opgeslagen. Deze back-ups worden periodiek getest om te verifiëren dat we in het geval van nood gegevens snel en correct kunnen herstellen en de bedrijfscontinuïteit kunnen garanderen.
    • RTO: 24 uur
    • RPO: 2 uur
 
  • Beschikbaarheid tijdens pentesten: We willen graag goed op de hoogte blijven van eventuele risico’s die onze systemen lopen maar dit mag niet ten koste gaan van de beschikbaarheid, integriteit en vertrouwelijkheid van ons systeem. Daarom hebben we een apart beleid ten aanzien van pentesten en technische audits waarin we beschrijven dat alle geplande testen altijd vooraf met onze security officer worden afgestemd, we geen klantdata gebruiken voor audits en dat we een kosten-batenanalyse doen waarin we de kosten afwegen tegen het potentiële risico wat een pentest of technische audit met zich mee kan brengen.
  • BCP test: Jaarlijks voeren we een bedrijfscontinuïteitsplan uit. Hierin testen we elke keer een ander scenario en controleren we of alle stappen die we hebben beschreven nog relevant zijn en wat de doorlooptijd is. Op basis van de resultaten proberen we waar mogelijk te verbeteren. Dit doen we zowel op applicatie- als op bedrijfsniveau. 

Op status.visma.com is de status van onze HRM & Payroll product te zien.

Incident management

Het volledig voorkomen van incidenten is helaas niet haalbaar, maar mocht een incident dan toch voorkomen, vinden we het erg belangrijk om onze lessen hieruit te trekken om soortgelijke incidenten in de toekomst te voorkomen. Hiervoor hebben we een proces ingericht waarin we op zoek gaan naar de oorzaak, de omvang, een oplossing en een correctieve maatregel voor dit incident. Door alle incidenten op een centraal punt te melden krijgen we een duidelijk overzicht van eventuele problemen die spelen en kunnen we trends gaan herkennen. 

Ervaar je problemen in onze software? Dan kun je hier een ticket inschieten.

 

Best practice voor klanten

Naast alle maatregelen die wij in onze applicatie treffen om de veiligheid te waarborgen, ligt er ook een grote verantwoordelijkheid bij jou als klant. Hiervoor volgen een paar tips om de gegevens in onze software nog beter te beschermen:

  • 2FA/MFA: We bieden de mogelijkheid om in te loggen met twee factor authenticatie. Hiermee voorkom je dat hackers, in het geval dat je gegevens zijn gelekt, kunnen inloggen. We streven ernaar om 100% van de gebruikers van onze software 2FA te laten gebruiken omdat dit een eenvoudig doch sterke extra beveiligingslaag is. Een argument wat vaak gevoerd wordt is dat het vervelend is om een extra handeling uit te voeren maar dat staat niet in verhouding tot wat je aan tijd en kosten kwijt bent als het een keer fout gaat. Ben je van mening dat 2FA voor jouw bedrijf niet kan werken omdat je bijvoorbeeld één account deelt? Dan hoor ik graag de onderbouwing en hoop ik je alsnog te kunnen overtuigen.
  • Autorisatie controle: Het is belangrijk om zicht te houden op gebruikers die extra privileges hebben in jullie omgeving. Wij hebben zelf geen inzage in wie er in en uit dienst gaan en schonen daarom niets zelfstandig op. Daarom adviseren we je, afhankelijk van de bedrijfsgrootte, bijvoorbeeld eens per twee maanden de autorisaties in het systeem te controleren. Staan hier nog oude collega’s in en kloppen de rechten wel?  
  • Veilig aanleveren van bestanden: Wat we in de praktijk vaak zien is dat klanten ons gevoelige data per mail aanleveren om iets te onderbouwen of voor het opzetten van een nieuwe omgeving. We vragen je om dit niet te doen. We hebben hiervoor speciale tools die goed beveiligd zijn en de data ook weer automatisch opschonen nadat de bewaartermijn is verlopen. Dit helpt jou en ons om de data centraal op een veilige omgeving te bewaren.

 

Voldoen aan wet- & regelgeving

Om te blijven voldoen aan wet- & regelgeving hebben we een aantal maatregelen getroffen. Onze compliance officer maakt gebruik van de app Nieuwe wetten om op de hoogte te blijven van wetswijzigingen. Deze worden tijdens het security overleg doorgenomen samen met het MT als deze relevant zijn voor ons bedrijf.

Voor de ontwikkelingen in HR, salaris of financiële wetten hebben we business analisten in dienst die hun markt goed kennen en op de hoogte gehouden worden over wijzigingen in hun specifieke sector.

Tot slot worden we bijgestaan door legal counsels vanuit Visma die ons goed op de hoogte houden van eventuele wijzigingen.
 

NIS2

Alhoewel Peple niet direct wordt gezien als een kritische leverancier die moet voldoen aan de NIS2 richtlijnen, bedienen wij mogelijk wel bedrijven die wel aan deze eisen moeten voldoen. Daarom streven wij ernaar om ook alle richtlijnen op te volgen die de NIS2 in de toekomst zal beschrijven. Veel van de richtlijnen zoals een BCP, incident management, supply chain management, netwerk en hardware beveiliging vangen wij al af in ons bestaande information security management system (ISMS). Daarnaast voeren we een GAP analyse uit om te zien welke onderdelen we nog niet volledig afgevangen hebben zodra de Nederlandse vertaling van de NIS2 beschikbaar is.   


DORA

Voor onze klanten die gebruik maken van Visma Net Financials kan het noodzakelijk zijn dat zij hun supply chain in kaart moeten brengen en er zeker van moeten zijn dat hun leveranciers voldoen aan de DORA verordening. Onze applicatie is DORA-compliant en we kunnen hiervoor een document aanleveren op naam van het bedrijf. Vraag deze hier aan. 

orange-layer

Visma.net HRM & Payroll

Kom meer te weten over onze software!

Tips voor succesvolle formatieplanning in het onderwijs
Het Belang van Leiderschap en Ontwikkeling in het ... Lees meer
Modern onderwijs: Optimaliseren met HR Software Lees meer
Leren in de 21e Eeuw Lees meer
De evolutie van afstandsonderwijs: impact en ... Lees meer
pink-layer