Een van de redenen waarom sommige bedrijven nog niet over zijn op cloudgebaseerde software is omdat ze het niet fijn vinden om hun data te hosten bij een externe partij. Bij een on-premise-oplossing zijn bedrijven helemaal in controle waar en hoe zij hun data opslaan en beveiligen. Maar hoe werkt het beveiligen van data in de cloud eigenlijk? In dit blog zetten we op een rij welke certificeringen er bestaan en gaan we in op hoe cloudsoftware Visma Net is gecertificeerd.
ISO 27001
Om te bewijzen dat een bedrijf veilig kan omgaan met het ontwerpen, aanbieden en onderhouden van een cloudservice-platform, wordt het gecertificeerd op basis van ISO 27001. Volgens NEN is ISO 27001 een wereldwijd erkende norm op het gebied van informatiebeveiliging. Deze norm beschrijft hoe (je) procesmatig met het beveiligen van informatie kunt omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen (je) organisatie zeker te stellen.
Om gecertificeerd te worden, moet een bedrijf jaarlijks worden geaudit door een onafhankelijke IT auditor. Tijdens de ISO 27001 audit wordt er onder andere getoetst op:
- een goede kennis van de norm
- wat het informatiebeveiligingsbeleid is
- welke methodes er zijn om risico’s vast te stellen en te behandelen
- hoe een verklaring van toepasselijkheid wordt opgesteld
- het uitvoeren van een interne audit
ISAE 3402
Daarnaast kunnen bedrijven een ISO 3402 audit laten uitvoeren. ISAE 3402, ofwel International Standard on Assurance Engagements 3402, is een wereldwijd erkende auditingstandaard gericht op het geven van garantie over de effectiviteit van de interne beheersingsmaatregelen van een dienstverlenende organisatie, zoals een SaaS-bedrijf. Deze beheersingsmaatregelen zijn van cruciaal belang voor de bedrijfsvoering en zijn met name relevant wanneer deze organisaties diensten leveren aan bedrijven die aan externe financiële rapportageverplichtingen moeten voldoen. Denk bijvoorbeeld aan bedrijven die hun boekhouding of IT-diensten uitbesteden.
De resultaten van ISAE 3402 worden opgenomen in een ISAE 3402 Type 1- of ISAE 3402 Type 2-rapport. Een Type 1-rapport is gericht op één momentopname en bij de ISAE 3402 type 2-verklaring is een periode van minimaal zes maanden nodig, waarin bewijs wordt verzameld over een proces of een tool met de daarbij behorende risico’s en beheersmaatregelen.
Hoe is Visma Net gecertificeerd?
Visma Net is ISO 27001-gecertificeerd en er is een ISAE 3402 Type 2-rapport beschikbaar. Maar wat Visma echt uniek maakt is dat ons ontwerpproces, het Visma Cloud Delivery Model (oftewel het VCDM), ISO 27001 en ISAE 3402 Type 2 gecertificeerd is. Dit houdt dus in dat niet alleen de producten gecertificeerd zijn, maar ook het proces waarmee deze zijn ontwikkeld. Concreet betekent dit dat softwareprogramma's die zijn ontwikkeld volgens het VCDM minder kwetsbaarheden hebben en dat de kwetsbaarheden die er zijn eerder worden opgemerkt en opgelost.
Waarom is het Visma Cloud Delivery Model veilig?
Maar waarom is het zo dat programma's die volgens het VCDM zijn ontwikkeld minder kwetsbaarheden hebben? Daar zijn een paar redenen voor.
- Het VCDM is volgens de principes van het Visma Security Program ontwikkeld: Simpel gezegd omvat deze toonaangevende veiligheidspraktijken zoals continue monitoring, een zwaar beveiligde infrastructuur en proactieve dreigingsdetectiemiddelen. Meer lezen over het Visma Security Program kan via deze link.
- Deskundig beveiligingsteam: Elk van onze teams heeft een beveiligingsingenieur die goed is in het identificeren en mitigeren van potentiële beveiligingsrisico’s. We hebben ook deskundige beveiligingsteams die continu de Visma-cloudomgeving monitoren en uitgebreide kennis hebben van gangbare kwetsbaarheden en aanvalsvectoren. Hun expertise in veilige coderingspraktijken, penetratietests en kwetsbaarheidsbeheer stelt onze ontwikkelaars en beveiligingsingenieurs in staat om proactief potentiële beveiligingsproblemen aan te pakken. Door te vertrouwen op de expertise van ons beveiligingsteam, kunnen Visma-bedrijven beveiligingskwetsbaarheden aanpakken voordat ze aan het licht komen in een bugbountyprogramma.
- Grondig testen en valideren: Het VCDM integreert grondige test- en validatieprocessen gedurende de gehele softwareontwikkelingscyclus. Deze omvatten systematische codereviews, kwetsbaarheidsscans en penetratietests. Door producten door deze uitgebreide tests te halen, kunnen bedrijven kwetsbaarheden identificeren en aanpakken voordat hun producten beschikbaar worden gesteld voor bugbountyprogramma's. Deze grondige testaanpak vermindert aanzienlijk de kans op het ontdekken van ernstige kwetsbaarheden tijdens de bugbountyfase.
- Naleving van compliance-standaarden: Het VCDM houdt zich aan toonaangevende beveiligings- en compliancestandaarden, zoals GDPR, ISO 27001 en ISAE 3402. Door de producten aan dit model te laten deelnemen, delen Visma-bedrijven de beveiligingspraktijken en -controles die vereist zijn door deze standaarden. Naleving van dergelijke kaders zorgt ervoor dat beveiligingskwetsbaarheden worden geminimaliseerd en dat robuuste beveiligingsmaatregelen breed worden geïmplementeerd.
- Continue verbetering: Het VCDM, de VSP en de VATP bevorderen een cultuur van continue verbetering op het gebied van beveiliging. We incorporeren actief feedback van onze bugbountyprogramma's, beveiligingsonderzoekers en industrietrends om veiligheidspraktijken te verbeteren. Door onderdeel te zijn van dergelijke modellen, profiteren onze bedrijven van continue beveiligingsupdates en -verfijningen gebaseerd op al onze inzichten. Deze iteratieve aanpak minimaliseert de kans op terugkerende kwetsbaarheden en helpt bedrijven zich optimaal te wapenen tegen dreigingen.
Conclusie
In dit blog hebben wij de verschillende soorten certificeringen en rapporten toegelicht die relevant zijn voor cloudsoftware in Europa. De reden waarom Visma-cloudoplossingen zoals Visma Net veilig zijn is omdat deze ontwikkeld zijn volgens het Visma Cloud Development Model. Het proces van de VCDM, en daardoor de producten, zijn gecertificeerd volgens het ISO 27001 en er is een ISAE 3402 Type 2-rapport beschikbaar. Om een kopie van het ISAE-rapport aan te vragen, neem contact op met jouw contactpersoon bij Visma Net, die zal verifiëren of het desbetreffende product in het rapport is opgenomen.
