Nmbrs® Security

De waarborging van de veiligheid van persoonsgegevens geniet bij Nmbrs® grote toewijding. De veiligheid van ons platform, netwerk en producten heeft dag en nacht onze hoogste prioriteit.

Wij waarborgen privacy

Nmbrs® zal persoonsgegevens nooit voor andere doeleinden dan HR- en payroll-gerelateerde toepassingen gebruiken. Bovendien doen wij er alles aan om te zorgen dat niemand anders dat met onze data zou kunnen doen. Alle klantgegevens die opslag behoeven, bevinden zich in het Equinix datacenter met de hoogste niveaus van beveiliging en operationele betrouwbaarheid. Het delen van gegevens met toepassingen of tools die ons product verbeteren, gebeurt in overeenstemming met de EU Data Protection Act. Dit houdt in dat de gedeelde informatie zeer beperkt is en geen gevoelige data overdraagt.

 

 

 

 

AVG / GDPR

Per 25 mei 2018 treedt de nieuwe Algemene Verordening Gegevensbescherming (AVG) - in het Engels bekend als de General Data Protection Regulation (GDPR) - in werking. Dit heeft uiteraard implicaties voor Nmbrs® en haar dienstverlening. Wij hebben sinds 1 februari een compliance- en risk officer aangesteld die dit project verder aan het uitrollen is. De compliance officer is geregistreerd bij de Autoriteit Persoonsgegevens en zal er alles aan doen betrokkenen zo nauwkeuring mogelijk te informeren.

Lees meer

Privacyverklaring

Wij behandelen alle gegevens in onze applicatie zorgvuldig, veilig en vertrouwelijk. De verwerking van gegevens gebeurt uitsluitend in overeenstemming met bestaande richtlijnen van de Wet Bescherming Persoonsgegevens. Bij het gebruik van onze applicatie komt men akkoord met het gebruik van zijn of haar gegevens, zoals beschreven in ons privacybeleid.
Privacyverklaring

Wet Meldplicht Datalekken

In het onwaarschijnlijke geval van een datalek handelt Nmbrs volgens de Wet Meldplicht Datalekken. Sinds 1 januari 2016 zijn wij verplicht om direct een melding te doen bij de Autoriteit Persoonsgegevens zodra wij een ernstig datalek hebben. Bovendien zullen wij in een aantal gevallen het datalek ook melden aan de betrokkenen (degenen wiens persoonsgegevens zijn gelekt).
Wet Meldplicht Datalekken

Hoe beschermen wij klantgegevens?

Ons beleid streeft zowel veiligheid als gebruiksgemak voor onze klanten na. We gebruiken verschillende tools voor die ons team waarschuwen tijdens kritieke situaties binnen de infrastructuur van onze applicatie. Daarnaast bieden wij onze klanten opties om de veiligheid van hun account te verhogen. De Nmbrs® IT-whitepaper biedt een volledig overzicht van deze inspanningen en beleidsmaatregelen die ons helpen bij het beveiligen van klantgegevens.

 

Infrastructuur

Het dataverkeer naar onze servers wordt 24 uur per dag gecontroleerd vanuit een centrale controlekamer. Binnen 30 minuten zal Nmbrs® reageren op pogingen tot inbreuk, ander onregelmatig verkeer of pogingen om Nmbrs® te onderbreken. De infrastructuur van Nmbrs® wordt beveiligd door een Firewall in beheer van hosting partners die het verkeer scannen om mogelijke bedreigingen te identificeren. Bovendien wordt elke server die via internet toegankelijk is (webservers) beschermd door een extra Firewall voor het besturingssysteem. 

SSL Encryptie

De client / Server communicatie is uitgevoerd met HTTPS, wat de integriteit van gegevens garandeert en datamanipulatie voorkomt. Het Nmbrs® certificaat maakt gebruik van een 2048 bit encryptie. De HTTPS transportlagen gebruiken een standaard TLS zonder terugval naar SSLv2 / SSlv3, die door veiligheidsredenen zijn uitgeschakeld. Internetgebruikers herkennen de beveiligde SSL-status aan het vergrendelingspictogram voor de adresbalk en beveiligde websites met uitgebreide validatie aan de groene adresbalk.

Gebruikersverificatie

Nmbrs® slaat geen originele gebruikerswachtwoorden op in de database. In plaats daarvan slaan wij een salted hash van het wachtwoord op, wat betekent dat zelfs toegang tot de database nog geen inzicht in de wachtwoorden verleent. Qua wachtwoordbeleid kunnen klanten zowel periodieke wachtwoord resets als het gebruik van pincodes aansturen, en biedt two-factor verificatie mogelijkheid tot een tweede verificatieniveau voor het Nmbrs®-account. 

IP Validatie

Elke gebruiker heeft een whitelist met goedgekeurde IP-adressen om toegang te krijgen tot het systeem. Wanneer gebruikers toegang krijgen tot het systeem vanuit een nieuw IP-adres, wordt een e-mail verzonden om deze te verifiëren. Het is ook mogelijk om de toegang tot Nmbrs® accounts te beperken tot een voorgedefinieerde lijst met IP-adressen of IP-bereik. Dit beleid voorkomt inbreuk op Nmbrs® accounts vanuit onbekende locaties of apparaten.

Download IT whitepaper

Wie verifieert onze kwaliteit?

Wij vertrouwen op externe partijen om onze operationele kwaliteit, procedures en methodieken te verifiëren. Nmbrs® handhaaft een reeks certificaties die een onafhankelijk deze controle op onze kwaliteit vormen.

 

ISAE 3402 Type II

Het doel van dit ISAE 3402 Type II rapport is onder andere om de klanten te voorzien van antwoord op de vraag hoe Nmbrs® als service organisatie processen beheerst; hoe wij omgaan met risicomanagement, informatiebeveiliging en anti-fraude. Processen die uitgevoerd worden door een serviceorganisatie hebben namelijk vaak invloed op financiële en operationele processen die effect hebben op de jaarrekening van de gebruikersorganisatie.

ISAE 3402 Type II

 

 

 

Welke beleidsmaatregelen handhaven wij?

Voor zowel ons bij Nmbrs®, als voor onze partners, onze klanten en gebruikers van onze applicatie bestaat een aantal beleidslijnen. We hebben de belangrijkste documenten hier onder één dak gebundeld.

 

Verwerkersovereenkomst

Een verwerkersovereenkomst betreft een overeenkomst over vertrouwelijkheid, beveiliging, privacy, data eliminatie en andere verplichtingen. Indien u als (nieuwe) klanten die opzoek zijn naar onze standaard verwerkersovereenkomst, wij hebben deze opgenomen in onze algemene leveringsvoorwaarden. Bij het aangaan van een Free Trial en opnieuw bij het geven van de opdrachtbevestiging gaat u akkoord met deze voorwaarden.
Algemene Voorwaarden

Responsible Disclosure Policy

In de onwaarschijnlijke situatie dat een gebruiker of hacker een kwetsbaarheid blootlegt binnen de infrastructuur van Nmbrs®, schrijft de Responsible Disclosure Policy voor dat deze zaak in samenwerking met deze partij vertrouwelijk wordt behandeld. Vervolgens zal de kwetsbaarheid met hoge prioriteit worden onderzocht.

Responsible disclosure policy

Hoe kunnen we nog veiliger werken?

Het zijn van een online software betekent dat cybercrime een risico van onze dienstverlening is. Cybercriminelen proberen vaak gevoelige informatie te verkrijgen door toegang te krijgen tot individuele accounts of door gebruik te maken van ons merk. Wij zijn van mening dat gedeelde kennis het meest krachtige wapen tegen deze vorm van misdaad is. Daarom streven wij ernaar alle gebruikers en partners te voorzien van duidelijke kennis en instructies over hoe om te gaan met mogelijke pogingen tot online criminaliteit. Een toevoeging op 

 

 
 
 
Screenshot 2018-04-06 10.13.41 
 
 

Phishing en malafide e-mails

Phishing is een vorm van online fraude waar men in groeiende mate rekening mee dient te houden. Criminelen sturen bijvoorbeeld misleidende e-mails of berichten die vanuit Nmbrs® of een andere vertrouwde afzender lijken te komen, om zo vertrouwlijke informatie te ontfutselen. Vanuit Nmbrs® zal echter nooit naar gevoelige informatie worden gevraagd; Laat dus in geen geval uw gegevens achter. Een phishingmail zou bijvoorbeeld ook naar de inloggegevens van jouw Nmbrs® account kunnen vragen.  Zorg dat je deze inloggegevens enkel invult binnen een Nmbrs® domein waarvan de SSL encryptie herkenbaar is. We verwijzen je graag naar de pagina van Rijksoverheid, om meer informatie over onder andere het herkennen van cybercrime te vinden.

Wanneer je een verdachte e-mail hebt ontvangen waarin de merknaam van Nmbrs® wordt gebruikt, kun je de volgende stappen volgen:

  1. Klik niet op een link of bijlage in de e-mail.
  2. Beantwoord de e-mail niet.
  3. Stel ons supportteam op de hoogte door een bericht te sturen via ons ticket formulier.
  4. Verwijder het e-mailbericht.
  5. Update je anti-malware (anti-virus, anti-spyware) en voer een volledige scan uit op je computer.