Nmbrs® Security

De waarborging van de veiligheid van persoonsgegevens geniet bij Nmbrs® grote toewijding. De veiligheid van ons platform, netwerk en producten heeft dag en nacht onze hoogste prioriteit.

Wij waarborgen privacy

Nmbrs® zal persoonsgegevens nooit voor andere doeleinden dan HR- en payroll-gerelateerde toepassingen gebruiken. Bovendien doen wij er alles aan om te zorgen dat niemand anders dat met onze data zou kunnen doen. Alle klantgegevens die opslag behoeven, bevinden zich in het Equinix datacenter met de hoogste niveaus van beveiliging en operationele betrouwbaarheid. Het delen van gegevens met toepassingen of tools die ons product verbeteren, gebeurt in overeenstemming met de EU Data Protection Act. Dit houdt in dat de gedeelde informatie zeer beperkt is en geen gevoelige data overdraagt.

 

 

 

 

AVG

De doorgang van de Algemene Verordening Gegevensbescherming (AVG) heeft implicaties voor onze omgang met persoonsgegevens bij Nmbrs®. De deadline voor naleving van de voorwaarden is bepaald op mei 2018. In de implementatieperiode beoordelen we eventuele aanvullende eisen of beperkingen die door de AVG zijn opgelegd. We zullen maatregelen treffen om ervoor te zorgen dat we in 2018 klantgegevens verwerken conform de toepasselijke wetgeving. Tijdens deze periode zullen we deze pagina completeren met aanvullende informatie.

Privacyverklaring

Wij behandelen alle gegevens in onze applicatie zorgvuldig, veilig en vertrouwelijk. De verwerking van gegevens gebeurt uitsluitend in overeenstemming met bestaande richtlijnen van de Wet Bescherming Persoonsgegevens. Bij het gebruik van onze applicatie komt men akkoord met het gebruik van zijn of haar gegevens, zoals beschreven in ons privacybeleid. 

Privacyverklaring

Wet Meldplicht Datalekken

In het onwaarschijnlijke geval van een datalek handelt Nmbrs® volgens de Wet Meldplicht Datalekken. Sinds 1 januari 2016 zijn wij verplicht om direct een melding te doen bij de Autoriteit Persoonsgegevens zodra wij een ernstig datalek hebben. Bovendien zullen wij in een aantal gevallen het datalek ook melden aan de betrokkenen (degenen wiens persoonsgegevens zijn gelekt).

Wet Meldplicht Datalekken

Hoe beschermen wij klantgegevens?

Ons beleid streeft zowel veiligheid als gebruiksgemak voor onze klanten na. We gebruiken verschillende tools voor die ons team waarschuwen tijdens kritieke situaties binnen de infrastructuur van onze applicatie. Daarnaast bieden wij onze klanten opties om de veiligheid van hun account te verhogen. De Nmbrs® IT-whitepaper biedt een volledig overzicht van deze inspanningen en beleidsmaatregelen die ons helpen bij het beveiligen van klantgegevens.

 

Infrastructuur

Het dataverkeer naar onze servers wordt 24 uur per dag gecontroleerd vanuit een centrale controlekamer. Binnen 30 minuten zal Nmbrs® reageren op pogingen tot inbreuk, ander onregelmatig verkeer of pogingen om Nmbrs® te onderbreken. De infrastructuur van Nmbrs® wordt beveiligd door een Firewall in beheer van hosting partners die het verkeer scannen om mogelijke bedreigingen te identificeren. Bovendien wordt elke server die via internet toegankelijk is (webservers) beschermd door een extra Firewall voor het besturingssysteem. 

SSL Encryptie

De client / Server communicatie is uitgevoerd met HTTPS, wat de integriteit van gegevens garandeert en datamanipulatie voorkomt. Het Nmbrs® certificaat maakt gebruik van een 2048 bit encryptie. De HTTPS transportlagen gebruiken een standaard TLS zonder terugval naar SSLv2 / SSlv3, die door veiligheidsredenen zijn uitgeschakeld. Internetgebruikers herkennen de beveiligde SSL-status aan het vergrendelingspictogram voor de adresbalk en beveiligde websites met uitgebreide validatie aan de groene adresbalk.

Gebruikersverificatie

Nmbrs® slaat geen originele gebruikerswachtwoorden op in de database. In plaats daarvan slaan wij een salted hash van het wachtwoord op, wat betekent dat zelfs toegang tot de database nog geen inzicht in de wachtwoorden verleent. Qua wachtwoordbeleid kunnen klanten zowel periodieke wachtwoord resets als het gebruik van pincodes aansturen, en biedt two-factor verificatie mogelijkheid tot een tweede verificatieniveau voor het Nmbrs®-account. 

IP Validatie

Elke gebruiker heeft een whitelist met goedgekeurde IP-adressen om toegang te krijgen tot het systeem. Wanneer gebruikers toegang krijgen tot het systeem vanuit een nieuw IP-adres, wordt een e-mail verzonden om deze te verifiëren. Het is ook mogelijk om de toegang tot Nmbrs® accounts te beperken tot een voorgedefinieerde lijst met IP-adressen of IP-bereik. Dit beleid voorkomt inbreuk op Nmbrs® accounts vanuit onbekende locaties of apparaten.

Download IT whitepaper

Wie verifieert onze kwaliteit?

Wij vertrouwen op externe partijen om onze operationele kwaliteit, procedures en methodieken te verifiëren. Nmbrs® handhaaft een reeks certificaties die een onafhankelijk deze controle op onze kwaliteit vormen.

 

ISAE 3402 Type II

Het doel van dit ISAE 3402 Type II rapport is onder andere om de klanten te voorzien van antwoord op de vraag hoe Nmbrs® als service organisatie processen beheerst; hoe wij omgaan met risicomanagement, informatiebeveiliging en anti-fraude. Processen die uitgevoerd worden door een serviceorganisatie hebben namelijk vaak invloed op financiële en operationele processen die effect hebben op de jaarrekening van de gebruikersorganisatie.

ISAE 3402 Type II

 

 

 

Welke beleidsmaatregelen handhaven wij?

Voor zowel ons bij Nmbrs®, als voor onze partners, onze klanten en gebruikers van onze applicatie bestaat een aantal beleidslijnen. We hebben de belangrijkste documenten hier onder één dak gebundeld.

 

Bewerkersovereenkomst

Een bewerkersovereenkomst betreft een overeenkomst over vertrouwelijkheid, beveiliging, privacy, data eliminatie en andere verplichtingen. Vanwege de omvang van ons klantenbestand ondertekent Nmbrs® niet elke individuele overeenkomst. In plaats daarvan kan deze worden opgevraagd via onze Kennisbank. 

Bewerkersovereenkomst

Responsible Disclosure Policy

In de onwaarschijnlijke situatie dat een gebruiker of hacker een kwetsbaarheid blootlegt binnen de infrastructuur van Nmbrs®, schrijft de Responsible Disclosure Policy voor dat deze zaak in samenwerking met deze partij vertrouwelijk wordt behandeld. Vervolgens zal de kwetsbaarheid met hoge prioriteit worden onderzocht.

Responsible disclosure policy

Hoe kunnen we nog veiliger werken?

Het zijn van een online software betekent dat cybercrime een risico van onze dienstverlening is. Cybercriminelen proberen vaak gevoelige informatie te verkrijgen door toegang te krijgen tot individuele accounts of door gebruik te maken van ons merk. Wij zijn van mening dat gedeelde kennis het meest krachtige wapen tegen deze vorm van misdaad is. Daarom streven wij ernaar alle gebruikers en partners te voorzien van duidelijke kennis en instructies over hoe om te gaan met mogelijke pogingen tot online criminaliteit.

 

 
 
 
 
 

Phishing en malafide e-mails

Phishing is een vorm van online fraude waar men in groeiende mate rekening mee dient te houden. Criminelen sturen bijvoorbeeld misleidende e-mails of berichten die vanuit Nmbrs® of een andere vertrouwde afzender lijken te komen, om zo vertrouwlijke informatie te ontfutselen. Vanuit Nmbrs® zal echter nooit naar gevoelige informatie worden gevraagd; Laat dus in geen geval uw gegevens achter. Een phishingmail zou bijvoorbeeld ook naar de inloggegevens van jouw Nmbrs® account kunnen vragen.  Zorg dat je deze inloggegevens enkel invult binnen een Nmbrs® domein waarvan de SSL encryptie herkenbaar is. We verwijzen je graag naar de pagina van Rijksoverheid, om meer informatie over onder andere het herkennen van cybercrime te vinden.

Wanneer je een verdachte e-mail hebt ontvangen waarin de merknaam van Nmbrs® wordt gebruikt, kun je de volgende stappen volgen:

  1. Klik niet op een link of bijlage in de e-mail.
  2. Beantwoord de e-mail niet.
  3. Stel ons supportteam op de hoogte door de e-mail door te sturen naar support@nmbrs.nl. Laat in het bericht weten waarom het een verdachte e-mail betreft.
  4. Verwijder het e-mailbericht.
  5. Update je anti-malware (anti-virus, anti-spyware) en voer een volledige scan uit op je computer.