Informatiebeveiliging en compliance

Wij nemen de veiligheid van onze systemen en gebruikers zeer serieus en hechten we veel waarde aan het continu verbeteren hiervan. 

Bij Shift2 streven we naar een toekomst waarin het regelen van overheidszaken net zo eenvoudig is als het gebruik van je favoriete app op je telefoon. We geloven in het creëren van betrouwbare open oplossingen en digitale systemen die de samenleving ten goede komen, zodat iedereen moeiteloos overheidszaken kan regelen. 

De betrouwbaarheid van informatie is hierbij essentieel, zeker voor onze klanten met publieke taken. Hier bovenop wordt ook steeds vaker gevraagd om aan te tonen dat je als organisatie voldoet aan vereisten en standaarden.   

Onze aanpak

Bij Shift2 zijn we ons bewust van de verantwoordelijkheid die we dragen met betrekking tot de data van onze klanten, waaronder publieke en vertrouwelijke data. We begrijpen dat deze data passend beschermd dient te worden door middel van technische en organisatorische maatregelen. Onze aanpak ondersteunt overheden onder andere bij het voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) en de Network and Information Systems Directive (NIS2). Hoewel we als externe dienstverlener niet rechtstreeks onder de BIO vallen, begrijpen we het cruciale belang hiervan voor onze klanten. Daarom hebben we onze dienstverlening laten certificeren voor ISO 9001 (kwaliteit) en ISO 27001 (informatiebeveiliging). 

ISO 9001 logo
ISO IEC 27001 logo

Certificeringen

Het behalen van deze certificeringen is een belangrijke mijlpaal voor ons. Het toont aan dat we sinds 2018 voldoen aan internationale normen voor informatiebeveiliging en proactief blijven inspelen op veranderende eisen en best practices, gezien het snel veranderende cybersecuritylandschap. We zijn voornemens deze certificeringen te blijven continueren. 

ISO 27001 Informatiebeveiliging

De ISO 27001-norm specificeert eisen voor het opzetten, implementeren, uitvoeren, controleren, beoordelen en bijhouden van een Information Security Management Systeem (ISMS). Dit biedt een raamwerk voor het identificeren, beoordelen en beheersen van informatiebeveiligingsrisico's. Door de ‘best practices’ van ISO 27002 toe te passen, waarborgen we de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. ISO 27001 benadrukt een op risico gebaseerde aanpak, waardoor we proactief kunnen reageren op potentiële bedreigingen en kwetsbaarheden.

ISO 9001 Kwaliteitsmanagement 

ISO 9001 stelt eisen aan een kwaliteitsmanagementsysteem, waaronder kwaliteitsbeleid, procesmanagement en klantgerichtheid. Door volgens ISO 9001 te werken, waarborgen we de kwaliteit van onze diensten en verhogen we de klanttevredenheid. Het toont aan dat Shift2 voldoet aan relevante wet- en regelgeving en klanttevredenheid hoog in het vaandel heeft staan.

Scope van certificeringen 

Shift2 heeft de gehele scope van dienstverlening gecertificeerd voor zowel ISO 9001 als ISO 27001. De scope is als volgt: “Het ontwikkelen, verkopen, implementeren, hosten en beheren van webapplicaties.” 

Baseline Informatiebeveiliging Overheid (BIO) 

Baseline Informatiebeveiliging Overheid Logo

De Baseline Informatiebeveiliging Overheid (BIO) is een richtlijn die de minimale eisen voor informatiebeveiliging binnen de Nederlandse overheid vaststelt. Het is gebaseerd op internationale standaarden zoals ISO 27001 en ISO 27002, en helpt overheidsorganisaties bij het beschermen van hun informatie en systemen tegen bedreigingen. De BIO is verplicht voor alle overheidsinstanties en dient als basis voor hun informatiebeveiligingsbeleid.

Shift2 wordt opgemerkt als ‘externe dienstverlener’ en helpt klanten voldoen aan de vereisten van de BIO. De nieuwe versie van de BIO, gebaseerd op ISO 27002:2022, sluit naadloos aan op onze recent behaalde ISO-certificering. Dit betekent dat onze diensten en producten in lijn zijn met de overheidsvereisten.

DigiD assessment 

DigiD

Elke aansluiting op DigiD wordt jaarlijks getoetst volgens het normenkader van het ICT-beveiligingsassessment DigiD, gebaseerd op de beveiligingsrichtlijnen van het Nationaal Cyber Security Centrum (NCSC). Als SaaS-leverancier kunnen wij alle 21 normen centraal laten auditen en er een Third Party Memorandum (TPM) voor verstrekken. De TPM toont aan dat wij als leverancier voldoen aan de normen die aan de zogeheten serviceorganisatie zijn opgelegd. De TPM wordt voor medio oktober opgeleverd, zodat onze klanten kunnen voldoen aan de ENSIA-planning. Sinds de introductie van het DigiD-assessment in 2012 voldoet Shift2 succesvol aan alle vereiste normen.

Cloud compliance 

Alle hosting van Shift2 vindt plaats binnen de Europese Economische Ruimte (EER). Onze hostingleverancier biedt een uitgebreid en toekomstvaste cloud computing platform dat een breed scala aan infrastructuurdiensten levert. Dit platform staat bekend om zijn betrouwbaarheid, schaalbaarheid en veiligheid. Dit stelt ons in staat om onze webapplicaties en diensten flexibel en kostenefficiënt te beheren, met de zekerheid van een veilige en stabiele omgeving die voldoet aan de hoogste normen voor gegevensbescherming en privacy.

De hostingleverancier voldoet onder andere aan de volgende normen en certificeringen:

  • Relevante certificeringen: ISO 22301 (Security and Resilience), ISO 27001 (Security Management Controls), ISO 27017 (Cloud Specific Controls), ISO 27701 (Privacy Information Management), ISO 27018 (Personal Data Protection)
  • Assurance rapportage: SOC 2 Type 2 (Security, Availability, & Confidentiality Report)
  • CISPE Code: Onze hostingleverancier committeert zich aan strikte normen voor gegevensbescherming en privacy bij het leveren van cloudinfrastructuurdiensten volgens de CISPE Code. 

Voldoen aan wet- en regelgeving

Het borgen van toekomstige wettelijke ontwikkelingen ten aanzien van security vereist een proactieve benadering. Dit is een vereiste vanuit ISO 27001, ISO 9001 en de BIO. Monitoring van wet- en regelgeving is onderdeel van ons managementsysteem. Shift2 werkt samen met relevante autoriteiten en brancheorganisaties, zoals de Informatiebeveiligingsdienst voor gemeenten (IBD) en de Vereniging van Nederlandse Gemeenten (VNG), om op de hoogte te blijven van de laatste ontwikkelingen.

Bevestiging van compliance

Bij Shift2 hechten we veel waarde aan het regelmatig laten bevestigen dat we voldoen aan alle relevante vereisten en standaarden op het gebied van informatiebeveiliging en kwaliteitsmanagement. Dit doen we onder andere door middel van:

Onze ISO 9001 en ISO 27001 certificeringen worden periodiek getoetst door onafhankelijke auditors. Deze audits zorgen ervoor dat ons Information Security Management Systeem (ISMS) en kwaliteitsmanagementsysteem continu voldoen aan de internationale normen en blijven aansluiten bij de nieuwste best practices en regelgeving.

Naast de jaarlijkse pentesten in kader van DigiD laten we onze systemen en processen regelmatig beoordelen door externe experts. Dit omvat onder andere penetratietests, risicoanalyses en beveiligingsreviews om ervoor te zorgen dat we voorbereid zijn op potentiële bedreigingen en kwetsbaarheden. 

Responsible Disclosure

Bij Shift2 nemen we de veiligheid van onze systemen en gebruikers zeer serieus en hechten we veel waarde aan het continu verbeteren hiervan. Ondanks alle voorzorgsmaatregelen kan het voorkomen dat er een kwetsbaarheid in onze systemen wordt gevonden. Om kwaadwillenden een stap voor te blijven, moedigen we iedereen aan die een kwetsbaarheid ontdekt, dit aan ons te melden. We hebben hiervoor een responsible disclosure beleid opgesteld, waarmee beveiligingsonderzoekers en gebruikers veilig en verantwoord kwetsbaarheden kunnen rapporteren. 

Emiel Duinisveld, Chief Information Security Officer (CISO) Shift2:

“Het is elke keer weer fijn om de bevestiging te krijgen van een onafhankelijke auditor dat onze inspanningen op het gebied van informatiebeveiliging het gewenste resultaat opleveren. In het bijzonder bij het DigiD assessment waarbij tevens met een penetratietest de webapplicatie als de infrastructuur uitvoerig onderzocht wordt.”

Vragen over onze informatiebeveiliging en certificeringen?

Heb je vragen over informatiebeveiliging of de certificeringen van Shift2, dan kun je contact opnemen met Emiel Duinisveld, Chief Information Security Officer. Bij Emiel kun je ook de certificaten en de bijbehorende Verklaring van Toepasselijkheid (VvT) opvragen. 

Neem contact op