Consult

External Statement

Inleiding

De bedrijfsactiviteiten van Acerta houden het gebruik in van zowel sensitieve bedrijfsgegevens als persoonsgegevens van haar klanten en partners. Deze gegevens moeten beveiligd zijn tegen diverse dreigingen en in overeenstemming met internationaal aanvaarde standaarden.

Naast een goede technische beveiliging verwachten klanten en partners dat wij hun data met zorg behandelen. Acerta bevestigt dat zij in haar bedrijfsactiviteiten op een verantwoorde wijze met gegevens omgaat.

In Acerta beschouwen wij de continuïteit van onze dienstverlening als een topprioriteit. Dit weerspiegelt zich in een volledig uitgebouwd beheersproces voor bedrijfscontinuïteit.

Contact

Vragen over dit statement kunt u steeds richten aan de security officer van Acerta (ict.security@acerta.be

Gegevensbeveiliging

Privacy wetgeving

Bij Acerta garanderen wij een adequaat niveau van gegevensbeveiliging, in overeenstemming met de EU Data Protection Directive 95/46/EC en met de Belgische wetten (*).

Acerta bereidt zich voor op de bepalingen van de nieuwe Europese General Data Protection Regulation (GDPR), de opvolger van de EU Data Protection Directive, die weldra van kracht zal worden.

(*) Twee belangrijke Belgische wetten die hier gelden, zijn:

  • “Wet houdende oprichting en organisatie van de Kruispuntbank van de sociale zekerheid” (Wet van 15-01-1990)
  • “Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens” (Wet van 8-12-1992)

Informatiebescherming

In de diverse bedrijfsprocessen worden persoonsgegevens en vertrouwelijke bedrijfsgegevens verwerkt (payroll, kinderbijslag, enz.). Wij moeten ten allen tijde de vertrouwelijkheid, de integriteit en de beschikbaarheid van die informatie garanderen.

In Acerta houden wij een hoog beveiligingsniveau aan voor onze verwerking en voor de data die behandeld of opgeslagen wordt. Onze beveiliging is gebaseerd op internationaal aanvaarde standaarden zoals ISO/IEC 27001.

Voornaamste principes die Acerta toepast:

  1. Rollen en verantwoordelijkheden zijn gedefinieerd om te bekomen dat alle beveiligingsactiviteiten adequaat worden uitgevoerd.
  2. Een geheel van beleidslijnen, normen, procedures en richtlijnen is voorzien om de veiligheid te organiseren. Deze documenten worden regelmatig gereviseerd.
  3. Acerta volgt een risico-gebaseerde aanpak om de vereiste technische en niet-technische beveiligingsmaatregelen te bepalen. Dit zorgt ervoor dat de juiste prioriteiten worden gesteld en dat enkel efficiënte en effectieve beveiligingsmaatregelen geselecteerd en geïnstalleerd worden.
  4. Een dataclassificatie systematiek is ingesteld om diverse gradaties van sensitieve data te onderscheiden en deze navenant te beveiligen. Bijkomend is een data life cycle beheer operationeel voor de creatie, het gebuik, de opslag en het verwijderen van gegevens.
  5. Acerta verbindt zich ertoe om door middel van regelmatige opleiding en oefening de ganse organisatie te sensibiliseren over informatieveiligheid en gegevensbescherming..
  6. Technieken voor identiteitsbeheer en toegangscontrole zijn geïnstalleerd zodanig dat informatie beveiligd is tegen ongeoorloofde toegang, wijziging of vernietiging, zowel intentioneel als accidenteel.
  7. Fysieke veiligheidsmaatregelen beschermen de gegevens en systemen tegen brand en diefstal en garanderen de toegangscontrole tot de gebouwen.
  8. Cyber beveiligingsmaatregelen zijn operationeel. Onze toepassingen zowel als de technologieplatformen zijn ontworpen, geconfigureerd, onderhouden en geëvalueerd op basis van erkende beveiligingscriteria, zoals OWASP, NIST SP 800 en de CIS Benchmark suite. Kwetsbaarheden en dreigingen worden op een continue wijze opgevolgd.
  9. Een programma voor bedrijfscontinuïteit laat toe om de bedrijfswerking en de dienstverlening te herstellen na een uitval of calamiteit. De normen voor informatiebeveiliging blijven gehandhaafd gedurende de activatie van dit programma.
  10. Het beleid voor informatieveiligheid en de implementatie ervan worden regelmatig geëvalueerd (o.a. in ISAE3402 type II audits)

Bedrijfscontinuïteit

Continuity Philosophy

Business Continuity Management (BCM) is in Acerta als deel van “corporate governance” bedrijfswijd doorgevoerd. BCM zorgt voor de correcte implementatie van de regulering en van de standaarden en goede praktijken voor bedrijfscontinuïteit, gepubliceerd door nationale en internationale organisaties zoals BSI en ISO. ACERTA’s systeem voor business continuity management zorgt voor de continuïteit van onze dienstverlening wanneer een storing zou voorkomen ten gevolge van een ernstig incident of een calamiteit, zoals o.a. stroomuitval, brand, ontoegankelijkheid van de gebouwen en incidenten met de ICT infrastructuur. Alle cruciale activiteiten in de organisatie zijn gedocumenteerd en ze worden regelmatig getest en geoptimaliseerd overeenkomstig de continuïteitsstrategie.

BCM Implementatie

Ons BCM proces is gebaseerd op de British Standard 25999 for business continuity management en de ISO 22301 for Societal Security. Onze bedrijfscontinuïteitsstrategie behandelt de onbeschikbaarheid van gebouwen, ICT en personeel, door middel van actieplannen en de installatie van noodvoorzieningen. Zo zijn er onder meer:

  • De voorziening van uitwijklocaties en infrastructuur om onze medewerkers te huisvesten wanneer een gebouw onbruikbaar is. Daarbij blijft ook de confidentialiteit van onze klant bewaard;
  • Het doordacht ontwerp van onze informatie- en technologiesystemen zodat wij onze cruciale diensten kunnen heropstarten door middel van een ICT Disaster Recovery Plan (ICT DRP);
  • De aanstelling van titularissen en vervangers voor alle cruciale functies in de resilience organisatie.

Resilience organisatie

Acerta heeft een resilience organisatie structuur opgezet om gepast te reageren op elk type incident dat de continuïteit van de organisatie kan bedreigen. De resilience organisatie steunt op de werking van verschillende specifieke teams om de continuïteit te waarborgen: Incident, Crisis, Facility en IT DRP teams. Voor elk van deze teams zijn er up-to-date plannen die incident evaluatieprocedures omvatten, richtlijnen voor escalatie, call trees en andere business recovery vereisten. Ook zijn er instructies voor crisis management en crisis communicatie zodanig dat bij een ernstig incident of een calamiteit op de gepaste wijze gecoördineerd en gecommuniceerd wordt met alle stakeholders.

Onderhoud en testen

Naast een jaarlijkse revisie van de plannen, als onderdeel van het onderhoudsproces, wordt er actie gemaakt van een continue sensibilisering doorheen de ganse organisatie en van de inbedding van een continuïteitscultuur door middel van regelmatige opleiding en oefening. Het oefenen van de continuïteitsprocedures beschouwen wij als een vitaal element van ons BCM proces en als een gelegenheid om verbeteringspunten te ontdekken.