Beveiliging

Veilige infrastructuur

Onze diensten worden gehost op de infrastructuur van Amazon Web Services (AWS). Wij hosten of beheren geen eigen routers, load balancers, DNS-servers of fysieke servers. De datacenters van Amazon beschikken over 24-uurs bemande beveiliging, biometrische toegangscontrole, videobewaking en fysieke sloten. Alle systemen, netwerkapparatuur en circuits worden voortdurend bewaakt. AWS-faciliteiten zijn gecertificeerd volgens ISO 27001, SOC 1 en SOC 2/SSAE 16/ISAE 3402 (voorheen SAS 70 Type II), PCI Level 1, FISMA Moderate en Sarbanes-Oxley (SOX). Lees meer over AWS-beveiliging.

Gehost in de VS of de EU – de keuze is aan u

Verenigde Staten – bediend door datacentra en subverwerkers die in de VS zijn gevestigd, waarbij onze belangrijkste diensten worden gehost in Noord-Virginia; en de Europese Unie – bediend door datacentra en subverwerkers die uitsluitend in EU-lidstaten zijn gevestigd, waarbij onze belangrijkste diensten worden gehost in Frankfurt, Duitsland.

Altijd versleuteld

Versleuteling tijdens verzending – Alle gegevens die naar of vanuit onze infrastructuur worden verzonden, worden tijdens de verzending versleuteld volgens de beste praktijken in de sector, met behulp van Transport Layer Security (TLS 1.2 of 1.3). Onze SSL-configuratie krijgt een A+ beveiligingsbeoordeling van Qualys SSL Labs.

Versleuteling in rust – Al onze gebruikersgegevens worden in onze databases versleuteld met behulp van het beproefde AES256-versleutelingsalgoritme.

Veilig betalen

Ons platform voldoet aan de PCI DSS-normen, waardoor een veilige verwerking van betalingsgegevens wordt gegarandeerd met toonaangevende beveiligings- en nalevingsmaatregelen. Wij houden ons niet bezig met het verwerken of opslaan van creditcardnummers – uw kaartgegevens worden rechtstreeks en veilig vastgelegd en opgeslagen door Braintree (een PayPal-bedrijf), onze betalingsprovider. Braintree is gecertificeerd als PCI Level 1-compliant en staat vermeld als Visa® Global Compliant Provider en MasterCard® Compliant Provider (SDP). Lees meer over de beveiliging en compliance van Braintree.

Monitoring van applicatiebeveiliging

• Wij maken gebruik van een oplossing voor beveiligingsmonitoring om inzicht te krijgen in de beveiliging van onze applicaties, aanvallen te detecteren en snel te reageren op een datalek.
• Wij maken gebruik van technologieën om uitzonderingen en logbestanden te monitoren en afwijkingen in onze applicaties op te sporen.
• Wij verzamelen en bewaren uitgebreide logbestanden om een controletraject van de activiteiten in onze applicaties te kunnen bieden. Onze logbestanden worden regelmatig door ons beveiligingsteam gecontroleerd om afwijkingen op te sporen.
• Beveiligingsincidenten worden geregistreerd en bij ernstige aanvallen worden meldingen verzonden, zodat deze snel kunnen worden verholpen.

Beveiliging van applicaties

• Wij maken gebruik van Amazon Web Application Firewall om onze gebruikers te beschermen tegen een breed scala aan kwetsbaarheden. AWS WAF biedt bescherming tegen de meest kritieke soorten aanvallen, zoals SQL-injecties en cross-site scripting. Het blokkeert aanvallen in realtime en waarschuwt ons wanneer aanvallers onze applicaties onder druk zetten.
• Wij maken gebruik van beveiligingsheaders om onze gebruikers tegen aanvallen te beschermen. Onze diensten hebben een A+ beoordeling gekregen van SecurityHeaders.io.

Incidentbeheer

Vermoedelijke beveiligingsincidenten, waaronder alle inbreuken op de logische en fysieke beveiliging, worden geregistreerd, gevolgd en opgelost volgens ons beleid en onze procedures voor incidentafhandeling. Waar dit krachtens de toepasselijke wetgeving, waaronder de EU-wet inzake cyberweerbaarheid, vereist is, stellen wij de relevante autoriteiten (zoals ENISA) binnen de voorgeschreven termijnen in kennis van ernstige beveiligingsincidenten. Indien u vragen heeft of vermoedt dat er een incident heeft plaatsgevonden, neem dan contact op met security@teamretro.com.

Rapportage van storingen

Zakelijke klanten kunnen ervoor kiezen om via e-mail op de hoogte te worden gesteld van eventuele problemen. Dankzij ons hostingplatform is downtime doorgaans niet nodig wanneer wij wijzigingen aanbrengen in onze diensten. Mocht er toch sprake zijn van geplande downtime, dan zullen wij klanten hierover ten minste 24 uur van tevoren per e-mail informeren.

Uw privacy is gewaarborgd

U blijft eigenaar van uw gegevens; deze zijn alleen toegankelijk voor degenen met wie u ze wilt delen. TeamRetro (en het GroupMap Technology-team) heeft alleen in beperkte gevallen toegang tot uw gegevens, bijvoorbeeld wanneer dit wettelijk verplicht is of om technische ondersteuning te bieden. Meer informatie vindt u in het Privacybeleid van TeamRetro.

Bewaring en verwijdering van gegevens

Wij bewaren de gegevens van onze gebruikers gedurende 365 dagen na afloop van hun proefperiode of abonnement. Daarna worden alle gegevens volledig uit de applicatie verwijderd. Gebruikers kunnen te allen tijde verzoeken om verwijdering van hun gegevens door hun account te verwijderen of contact op te nemen met de klantenservice van TeamRetro. Lees meer over onze privacy-instellingen in ons Privacybeleid.

Bedrijfscontinuïteit en noodherstel

Wij maken back-ups van al onze kritieke bedrijfsmiddelen en voeren regelmatig testherstelprocedures uit om een snel herstel te garanderen in geval van een ramp. Elke 24 uur maken wij een volledige back-up van de klantgegevens. De back-ups worden veilig versleuteld en gedurende 30 dagen bewaard, waarna ze op veilige wijze worden vernietigd. Wij hebben plannen voor bedrijfscontinuïteit en noodherstel opgesteld en evalueren deze jaarlijks.

Veilig programmeren

Onze ontwikkelaars zijn verplicht zich te houden aan ons formeel vastgelegde beleid inzake applicatiebeveiliging en de beste praktijken en raamwerken op het gebied van beveiliging (OWASP Top 10, SANS Top 25) te volgen. Wij hanteren de volgende beste praktijken om het hoogste beveiligingsniveau in onze software te waarborgen:

• Ontwikkelaars volgen regelmatig beveiligingstrainingen om meer te weten te komen over veelvoorkomende kwetsbaarheden en bedreigingen
• Wij controleren onze code op beveiligingskwetsbaarheden
• Wij werken onze afhankelijkheden regelmatig bij en zorgen ervoor dat er geen enkele bekende kwetsbaarheid in zit
• Wij maken gebruik van Static Application Security Testing (SAST) om fundamentele beveiligingskwetsbaarheden in onze codebase op te sporen
• Wij maken gebruik van Dynamic Application Security Testing (DAST) om onze applicaties te scannen
• Door gebruik te maken van Datadog kunnen we kwetsbaarheden die aan het licht zijn gekomen door beveiligingstests, audits of het programma voor het melden van kwetsbaarheden, efficiënter verhelpen. We worden ook gewaarschuwd wanneer applicatiecomponenten met bekende kwetsbaarheden in de productieomgeving worden gebruikt (afhankelijkheden).

Kwetsbaarheidsscans

TeamRetro wordt maandelijks, en na belangrijke releases, gescand door intruder.io om mogelijke kwetsbaarheden in de infrastructuur, het platform en de applicaties op te sporen. Alle geïdentificeerde kwetsbaarheden worden beoordeeld en verholpen in overeenstemming met ons beleid inzake applicatiebeveiliging.

Penetratietesten

Wij laten regelmatig onafhankelijke penetratietests uitvoeren om de beveiliging van het TeamRetro-platform te controleren. Wij lossen alle kritieke problemen binnen 48 uur op en problemen met een hoge ernstgraad binnen 7 dagen.

Risicobeoordelingen

Er wordt jaarlijks een risicobeoordeling uitgevoerd om bedreigingen en kwetsbaarheden voor de systemen van TeamRetro in kaart te brengen. Op basis van de resultaten van de risicobeoordeling worden risicobeperkende maatregelen opgesteld.

Beveiliging van het systeem

SERVERCONTAINERISATIE – TeamRetro maakt gebruik van OS-containerisatie via AWS Fargate om ervoor te zorgen dat de toegang tot de gegevens en code van TeamRetro op de juiste wijze wordt beperkt. Alle TeamRetro-services draaien op speciale rekenkrachtbronnen die zijn geïsoleerd in hun eigen virtuele netwerk.

TIJDELIJKE BESTANDSSYSTEMEN OP DE SERVER – De servers van TeamRetro maken gebruik van een tijdelijk bestandssysteem, dat minimaal één keer per dag of telkens wanneer er een nieuwe versie wordt geïmplementeerd, wordt teruggezet naar een nieuwe kopie van de meest recent geïmplementeerde code.

SYSTEEMUPDATES – Er worden voortdurend updates op platformniveau (besturingssysteem, systeembibliotheken en services) uitgevoerd voor de applicatie- en databaseservers van TeamRetro.

PATCHEN VAN APPLICATIES – Het patchen van applicaties (applicatiebibliotheken enz.) wordt door TeamRetro doorlopend uitgevoerd.

COMPUTERS – Alle apparatuur van het team (zoals laptops en desktopcomputers voor ontwikkeling) maakt gebruik van versleutelde opslag en wordt beschermd door up-to-date antivirussoftware.

Uitgebreide logboekregistratie

Wij houden uitgebreide logbestanden bij van elke transactie in het systeem, met specifieke registratie van inlogpogingen. Onze logbestanden worden regelmatig door ons beveiligingsteam gecontroleerd om pogingen tot ongeoorloofde toegang op te sporen.

De toegang van ons team

• Onze strikte interne procedure voorkomt dat medewerkers of beheerders toegang krijgen tot gebruikersgegevens. Wij hebben alleen in beperkte gevallen toegang tot uw gegevens, bijvoorbeeld wanneer dit wettelijk verplicht is of om technische ondersteuning te bieden. Meer informatie hierover vindt u in ons Privacybeleid.
• Onze medewerkers en contractanten ondertekenen een geheimhoudingsovereenkomst om de gevoelige informatie van onze klanten te beschermen.
• Onze medewerkers en ingehuurde krachten worden gescreend door een toonaangevende dienst voor achtergrondonderzoek.
• Het toegangsniveau van al onze medewerkers wordt bepaald op basis van de noodzaak, wordt periodiek geëvalueerd en wordt ingetrokken wanneer het niet langer nodig is. Wij hanteren meervoudige authenticatie voor alle kritieke TeamRetro-systemen.
• Voor beheerderstoegang is tweefactorauthenticatie vereist.

Verantwoordelijke melding

Wij moedigen iedereen die zich houdt aan de beginselen van verantwoorde openbaarmaking en onze beleidsregels en servicevoorwaarden naleeft, aan om deel te nemen aan ons programma voor het melden van kwetsbaarheden. Vermijd geautomatiseerde tests en voer beveiligingstests uitsluitend uit met uw eigen gegevens. Maak geen informatie over de kwetsbaarheden openbaar totdat wij deze hebben verholpen. Beloningen worden naar eigen goeddunken toegekend, afhankelijk van de ernst van de gemelde kwetsbaarheid. Lees meer over het TeamRetro-programma voor verantwoorde melding.