INFORMATIEBEVEILIGINGSVERKLARING VAN IOTSPOT B.V.

1 Algemeen
iotspot B.V. (“wij” of “iotspot”) verklaart zich te houden, zonder uitzondering of beperking aan alle bepalingen over informatiebeveiliging zoals hiernavolgend gesteld voor de door ons geleverde Diensten. 

2 Informatiebeveiligingsorganisatie
iotspot B.V. heeft een manager die verantwoordelijk is informatiebeveilingsmanagement (ISM), die medewerkers bewust maakt van ISM onderwerpen, ISM richtlijnen uitvaardigt en de ISM implementeert. Deze manager rapporteert direct aan de iotspot directie. 

3 Geheimhoudingsverplichting van medewerkers
3.1 Alle medewerkers, die wij betrekken bij de levering van onze Diensten hebben schriftelijk een data en informatie geheimhoudingsovereenkomst met ons afgesloten. 
3.2 Bovendien heeft elk teamlid van het iotspot Support team een ‘verklaring van geen bezwaar’ als uitkomst van een uitgebreide screening procedure door de AIVD.

4 Gegevensbeveiliging
4.1 Fysieke toegangscontrole. Het doel van toegangscontrole is het belemmeren van de toegang van ongeautoriseerde personen tot die data verwerkende systemen die transactie gegevens, privacy gevoelige informatie en persoonsgegevens verwerken en gebruiken.
Het iotspot datacentrum is beveiligd tegen ongeautoriseerde toegang middels geautomatiseerde toegangscontrole systemen. Daarenboven is het datacentrum voorzien van permanente videobewaking en toegang wordt door bewakingspersoneel en met toegangspoorten gecontroleerd. Het bewakingspersoneel voert ’s nachts regelmatig surveillance uit. 

Een eenduidig gedefinieerd systeem voor toegangsautorisatie is eveneens aanwezig buiten het datacentrum(/centra) van iotspot. Personeelstoegang wordt elektronisch gecontroleerd en bezoekers wordt slechts onder begeleiding van iotspot personeel toegang verleent tot het kantoor van iotspot.

Toegang tot datacentrum kamers is extra beveiligd door middel van één-persoons toegangssystemen. De geautomatiseerde toegangscontrole is ondersteunt door andere methodes zoals pinpads, DES dongles, en beveiligingspersoneel. Toegang tot ‘inner security areas’ is alleen voor een zeer beperkt aantal support-medewerkers toegestaan, waarbij toegang en aanwezigheid wordt vastgelegd met videobewaking. 

4.2 Toegangscontrole van gebruikers. Het doel van toegangscontrole voor gebruikers is het ongeautoriseerde personen onmogelijk te maken om toegang te krijgen tot die data verwerkende systemen die persoonsgegevens verwerken en gebruiken. 

Toegang tot gegevensterminals (PC, servers, en netwerk componenten) wordt verkregen door autorisatie en authenticatie bij alle systemen. Onze toegangscontrole omvat de volgende maatregelen: 

a) Wachtwoorden dienen te bestaan uit minimaal 8 karakters met hoofd- en kleine letters, speciale karakters en cijfers. Bovendien wordt de gebruiker gedwongen het wachtwoord regelmatig te wijzigen. 

b) Wachtwoorden worden versleuteld opgeslagen met ‘Blowfish one-way hash’ en ‘random salt’. Reverse engineering is onmogelijk.

c) Rol gerelateerde toegangsrechten zijn gekoppeld aan toegangs-ID’s (geclassificeerd volgens administrator, user, etc.). 

d) Schermvergrendeling met wachtwoord activering in absentie van de gebruiker. 

e) Data-opslag systemen (inclusief notebooks, laptops en harddrives) zijn versleuteld tijdens transit.

f) Up to date firewall en antivirus software wordt op elk data-opslag systeem gebruikt. 

4.3    Gegevenstoegang. Maatregelen op het gebied van gegevenstoegang voorkomen ongeautoriseerde activiteiten (bijvoorbeeld ongeautoriseerd lezen, kopiëren, wijzigen of verwijderen) door personen met de onjuiste autorisatie voor het gebruik van de data verwerkende systemen.

iotspot voorziet in systeem-brede authenticatie voor alle gebruikers op alle gegevensterminals als mede  toegangsrichtlijnen en gebruikers autorisatie. 

Controle op gegevenstoegang behelst de volgende maatregelen: 

a) Een geschreven autorisatiemodel is aanwezig.

b) Een individueel Klant gebaseerd autorisatiemodel is aanwezig, waarbij de rollen gedefinieerd zijn volgens ITIL.

c) Gedeelde systemen zijn voorzien van Klant scheiding. 

d) Een ‘clean desk’ beleid wordt uitgevoerd. 

e) Onderdelen voor gegevensopslag van alle mobiele systemen (inclusief notebook harddrives) zijn versleuteld tijden transit. 

f) Up to date firewall en antivirus software wordt op elk data-opslag systeem gebruikt.

4.4 Transmissiecontrole. Het doel van transmissiecontrole is zeker te stellen dat transactie gegevens, privacy gevoelige informatie en persoonsgegevens niet gelezen, gekopieerd, gewijzigd of verwijderd worden tijdens transmissie, transport of opslag op een opslagmedium en dat het mogelijk is om na te gaan naar welke instanties persoonsgegevens overgebracht mogen worden met gegevensoverdracht apparatuur. 

Gegevens kunnen op verschillende manieren van de Klant overgedragen worden naar iotspot, die onderling overeengekomen moeten worden. iotspot hanteert standaard veilige gegevensoverdracht methodes zoals netwerk gebaseerde encryptie met behulp van SSL 3.3 /TLS 1.2 (server-server of server-client), versleutelde ‘verbindingstunnels’ of beveiligde transmissie zoals sFTP (secure File Transfer Protocol). 

Additionele maatregelen zijn:  

a) Beleid veilig gebruik van mobiele apparaten zoals telefoons en tablets. 

b) Buitengebruikstelling van data opslag media op een manier die overeenkomt met de regelgeving omtrent data-veiligheid (Het medium zal in overeenstemming met DIN 32757 - minstens niveau 3 - vernietigd worden). 

c) Clean desk beleid. 

d) Encryptie van data-opslag media (inclusief hard drives van laptops) tijdens transport en/of reizen. 

e) Beveiligde file overdracht.

4.5    Invoercontrole. Het doel van invoercontrole is te verzekeren dat de wijze van data-invoer vastgesteld kan worden en verifieerbaar is. 

iotspot heeft toegangscontrole en gebruikersautorisatie methodes geïmplementeerd, waarmee alle gebruikers en ‘data-terminals’ geïdentificeerd worden. Activiteiten van gebruikers zijn traceerbaar door uitgebreide logging functionaliteit. Modificaties worden op servers en in programma’s vastgelegd.

Strikte autorisatie methodes zorgen er binnen de iotspot software voor dat alleen geautoriseerde gebruikers toegang krijgen. Op deze manier waarborgt iotspot de integriteit van de (database) gegevens en voorkomt het ongeautoriseerde toegang en modificatie van de gegevens. In de context van onze autorisatiematrix is het mogelijk geautoriseerde gebruikers al naar gelang van de wet- en regelgeving en vereiste activiteiten beperkte en gereguleerde toegang te verlenen.

4.6 Opdrachtcontrole. Het doel van opdrachtcontrole is om zeker te stellen dat transactie gegevens, privacy gevoelige informatie en persoonsgegevens, die verwerkt worden uit naam van de Klant, verwerkt worden op de wijze zoals de Klant dat wil.

a) Verwerking van persoonsgegevens is altijd gebaseerd op een opdracht van de Klant. Op zijn minst is er sprake van een contract met de Klant. 

b) Wijzigingen waarbij persoonsgegevens worden verwerkt kunnen alleen worden uitgevoerd op verzoek van een (geautoriseerd vertegenwoordiger van de) Klant.

c) De ITIL procedure voor wijzigingsverzoeken is geïmplementeerd. Zoals hier boven, kan dit alleen verzocht worden door een (geautoriseerd vertegenwoordiger van de) Klant.

4.7 Beschikbaarheidscontrole. Het doel van beschikbaarheidscontrole is zeker te stellen dat transactie gegevens, privacy gevoelige informatie en persoonsgegevens worden beschermd tegen onopzettelijke vernietiging of verwijdering. Persoonsgegevens en informatie die opgeslagen zijn voor latere verwerking worden opgeslagen op een RAID-1/10 systeem, dat beschermd tegen hardware gerelateerd verlies van gegevens. Als de behoefte aan beveiliging toeneemt worden de gegevens opgeslagen in redundante systemen en/of fysiek gescheiden ruimtes om snel herstel en hoge beschikbaarheid te waarborgen in rampscenario’s. 

Bovendien, is een noodplan/crisisplan voor het datacenter aanwezig. Deze plannen worden regelmatig (jaarlijks) geverifieerd op toepasbaarheid en zij worden indien noodzakelijk aangescherpt en/of verbeterd.

De gegevens worden continu vastgelegd in back-ups volgens onze diensten overeenkomst.

4.8    Controle op gegevensscheiding. Het doel van controle op gegevensscheiding is er voor zorg te dragen dat gegevens die voor verschillende doeleinden verzameld worden ook separaat gebruikt en verwerkt kunnen worden.

De volgende maatregelen zijn geïmplementeerd:

a) In het geval dat er geen specifiek systeem voor precies één Klant wordt toegepast, zijn de gebruikte systeem te gebruiken voor meerdere klanten terwijl de gegevensscheiding gewaarborgd blijft. 

b) Ontwikkel, Software en Platform kwaliteitssystemen zijn volledig gescheiden van de operationele systemen om de beste operational service te garanderen. De enige gegevens uitwisseling die plaatsvindt zijn bestanden die noodzakelijk zijn voor het verwerken van gegevens (programma bestanden, parameter bestanden, etc.) .

c) Toegang tot Klant systemen gebeurt alleen over beveiligde netwerken en door geautoriseerd personeel. Directe administrative uitwisseling tussen servers van klanten is uitgesloten net zo als het verkrijgen van toegang tot een klankomgeving vanuit de omgeving van een andere Klant.

5 Gegevenslocatie, servers en back-ups
5.1 De gegevens en back-up bestanden, die iotspot B.V. in relatie tot haar diensten opslaat staan op de servers van onze dienstverlener Amazon Web Services. Amazon Web Services’ dienstverlening komt volledig overeen met de Algemene Verordening Gegevensbescherming.

5.2 De servers van Amazon voor onze Europese klanten bevinden zich fysiek in Frankfurt en Dublin.

5.3 Data back-ups worden continu en redundant gemaakt en bewaard op dezelfde servers - om indien noodzakelijk mogelijke gegevensfouten van onze diensten herstellen. Wij bewaren de back-ups maximaal  168 uur of zoveel korten als dat wij verstandig achten.

6 Beëindiging en gegevensretentie
6.1 Bij een door iotspot B.V. bevestigde beëindiging van onze diensten, zal iotspot B.V. alle privacy gevoelige en persoonsgegevens van Klant en Gebruiker(s) verwijderen. Effectief, zullen de gegevens zoals gedefinieerd in artikel 3 en 4 van onze Privacyverklaring uiterlijk 168 uur na de bevestiging van de contractbeëindiging uit onze systemen zijn verwijderd.

6.2    Gebruiksgegevens, zoals maar daar niet toe beperkt, het aantal reserveringen, gebruikstijden, reserveringsperiodes, aantal Desk & Room scans, smart device types waarop de App draaide, App versies, worden behouden door iotspot B.V. ten einde onze dienstverlening te verbeteren, juist en goed onderhoud en support te bieden, onderzoek van werkplek management uit te voeren en het voorzien van informatie over onze Dienstverlening aan klanten en potentiële klanten.

7 Wijzigingen van deze Informatiebeveiligingsverklaring
iotspot B.V. behoudt zich het recht voor om wijzigingen - binnen de kaders van wet- en regelgeving - door te voeren op deze Informatiebeveiligingsverklaring.

8 Informatiebeveiliging
iotspot B.V. verleent zijn diensten op basis van informatiebeveiligingsmanagement (ISM), vanuit statutaire bepalingen en intern vastgestelde richtlijnen en maatregelen. De geïmplementeerde beveiligingsprocedures worden continu geëvalueerd. Deze richtlijnen en maatregelen zijn tevens bindend voor derde partijen waarvan iotspot B.V. diensten betrekken. 

24 mei 2018, iotspot B.V.