Security Statement: De Evolve IP Compliance CloudTM

Evolve IP beschikt wereldwijd over een set breed set certificeringen op het gebied van databeveiliging. Binnen Europa is Evolve IP ISO27001 gecertificeerd, de norm die eisen specificeert voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een kwalitatief informatiebeveiligingsbeleid. Door ons beveiligings- en privacybeleid en het permanent toetsen daarvan kan Evolve IP de data van haar klanten beschermen. Niet alleen omdat dit vanuit compliance oogpunt verplicht is in het kader van de privacywetgeving (GDPR). Maar vooral omdat dit een van de pijlers is van onze dienstverlening. Onze klanten moeten erop kunnen vertrouwen dat onze oplossingen hen helpen de beveiliging, integriteit en beschikbaarheid van hun data te beschermen.

Algemene Verodening Gegevensbescherming (GDPR/AVG)

Vanaf 25 mei 2018 moeten organisaties voldoen aan de General Data Protection Regulation (GDPR/AVG). Dit betekent dat binnen de hele Europese Unie dezelfde privacywetgeving gaat gelden, ter vervanging van alle individuele privacywetten van de verschillende landen. Vanuit de gedachte “free flow of data binnen de EU” biedt dit geweldige kansen voor onze klanten en voor Evolve IP als aanbieder van clouddiensten. Maar de invoering van de GDPR betekent ook dat de privacyrechten van EU-burgers worden versterkt en dat de verantwoordelijkheid van bedrijven die persoonsgegevens verwerken, groter wordt.

Als Verwerker van data, waaronder persoonsgegevens, moet Evolve IP kunnen garanderen dat onze klanten, ook met onze diensten kunnen voldoen aan de GDPR-eisen. Daarom is Evolve IP al in de zomer van 2017 gestart met de voorbereidingen op de nieuwe privacywetgeving. Tijdens de GDPR-kennissessie van 12 april 2018 hebben wij alle aanwezige klanten geïnformeerd over welke stappen we al hadden genomen en welke zaken we nog moesten afronden. Inmiddels zijn we zover dat we kunnen zeggen: GDPR, Evolve IP is er klaar voor!

Binnen de GDPR worden drie rollen onderscheiden, die van Betrokkene (Data Subject), Verantwoordelijke (Data Controler) en Verwerker (Data Processor) van data. Als leverancier vervult Evolve IP EU de rol van Verwerker van data voor haar klanten; de klanten van Evolve IP EU hebben de rol van Verantwoordelijke. Evolve IP EU garandeert dat zij vanuit haar verantwoordelijkheid als Verwerker alle maatregelen neemt om ervoor te zorgen dat haar klanten ook voor de aan Evolve IP EU uitbestede diensten compliant zijn.

Wat hebben wij gedaan?

√ Er is een GAP-analyse uitgevoerd met als doel de acties voor GDPR-compliance in kaart brengen. Uitgangspunt daarvoor is ons informatiebeveiligings- en privacybeleid geweest zoals dat is vastgelegd voor de ISO27001 certificering.
√ Vanaf de start zijn wij al bezig met het vergroten van awareness bij onze medewerkers. Hiervoor hebben wij ons bestaande ISO27001 awareness programma uitgebreid met privacy-onderdelen, zoals een verplichte online GDPR-training met kennistest.
√  We hebben een Verwerkingsregister gemaakt waarin we voor al onze diensten hebben opgenomen op welke systemen data wordt verwerkt en/of opgeslagen en of dit bij Evolve IP gebeurt of bij derden.
√  Voor onze klanten hebben wij een Template Verwerkersovereenkomst laten opstellen, deze vindt u hier: https://www.evolveip.nl/contractdocumenten
√  En voor die leveranciers die toegang hebben tot onze data, hebben wij een Template Sub-Verwerkersovereenkomst laten maken. Met hen hebben wij Sub-Verwerkersovereenkomsten afgesloten. En met Evolve IP US zijn daarnaast Standard Contractual Clauses (SCC’s) afgesloten. Evolve IP US heeft in 2017 een EU Privacy Shield registratie behaald.
√  De ISO27001 controls en onze Security Policy zijn uitgebreid met privacyzaken vanuit de GDPR.
√  Onze procedure voor het melden van Datalekken is verbeterd om onze klanten te kunnen helpen bij het voldoen aan de meldings- en communicatie-eisen van de Autoriteit Persoonsgegevens.
√  Security by Design en Privacy by Default waren al integraal onderdeel van onze ISO27001 certificering; de nieuwe privacywetgeving was voor ons een mooie aanleiding voor een review en aanpassingen.
√  De standaard bewaartermijnen van de data zijn onder de loep genomen. En waar mogelijk zijn deze aangescherpt. Zie hiervoor ook onze SLA, deze vindt u hier: https://www.evolveip.nl/contractdocumenten
√  De systemen en applicaties van Evolve IP zijn geschikt gemaakt en getest voor het kunnen uitvoeren van GDPR-verzoeken.
√  Ons uitgangspunt is dat onze klanten zoveel mogelijk zelf hun data op onze systemen moeten kunnen inzien/wijzigen/verwijderen/anonimiseren via onze selfservice portals.
√  Als klanten GDPR-verzoeken niet zelf kunnen of willen uitvoeren, zullen wij dit verzorgen. Onze collega’s van Customer Service en ICT worden getraind om GDPR-verzoeken in behandeling te kunnen nemen en binnen 10 werkdagen uit te voeren.

Binnen Evolve IP EU zijn twee Security Officers verantwoordelijk voor compliance aan de nieuwe privacywetgeving. Zij worden hierin ondersteund door externe juridische adviseurs. Daarnaast worden kennis en kunde op het gebied van informatiebeveiliging gedeeld met privacy specialisten, zowel binnen Evolve IP EU als Evolve IP US.

Evolve IP is klaar voor de nieuwe Europese privacywetgeving. Onze klanten kunnen met een vertrouwd gevoel gebruik blijven maken van onze diensten.

ISO 27001

Evolve IP EU is sinds 2013 ISO 27001 gecertificeerd en in 2017 zonder enige bevinding hercertificeerd. De jaarlijkse externe audit en driejaarlijkse hercertificering tonen aan dat onze security management en beheer programma’s op de juiste wijze zijn ingericht en dat de controles die zijn ingesteld om de veiligheid van de data van onze klanten te waarborgen, goed werken. Onze klanten zijn in staat om de voordelen van de cloud te benutten met de zekerheid dat alle processen, technologie en controle mechanismen zo werken dat de hoogste mate van bescherming en compliance wordt bereikt ten aanzien van de beveiliging, bewerking en opslag van ieder type gevoelige data.

Informatie Security Management Systeem

Het uitgebreide en gecertificeerde Informatie Security Management Systeem (ISMS) onderscheidt Evolve IP EU van andere service providers. We begrijpen de risico’s rond security en zijn in staat om deze risico’s binnen de Evolve IP EU Trusted Cloud te beperken (inclusief de koppelingen met de klantomgeving). Dit doet Evolve IP EU onder andere door de proactieve inzet van: bewezen technologie, processen en adequate controles. Alle maatregelen worden regelmatig ge-audit. Extern door onafhankelijke audit organisaties en intern door ons gekwalificeerde personeel. Mede door het geïmplementeerde beleid ten aanzien van Informatie Security Management is Evolve IP EU de marktleider voor het leveren van cloud communicatie omgevingen.

SSAE 16 Service Organization Control II (SOC 2)

Evolve IP heeft een SSAE 16 SOC 2 Type II-rapport ontvangen over onze interne controles m.b.t. de manier waarop we potentiële risico’s, met betrekking tot veiligheid, beschikbaarheid en vertrouwelijkheid, van niet alleen de door ons aangeboden clouddiensten beoordelen, maar ook van onze fysieke en logische infrastructuur. Evolve IP gebruikt de Certified Public Accounting firma Grant Thornton om haar jaarlijkse audit en attest uit te voeren, in overeenstemming met de Statements on Standards for Attestation Engagements No. 16 en de bijbehorende Trust Services Principles, zoals gepubliceerd door de AICPA, om de effectiviteit van controles op Evolve IP’s serviceorganisaties te evalueren.

Health Insurance Portability & Accountability Act (HIPAA)

De privacyreglementen van de Amerikaanse Health Insurance Portability and Accountability Act (HIPAA) vereisen dat zorgaanbieders/-organisaties en hun zakelijke relaties procedures ontwikkelen en volgen, die de vertrouwelijkheid en veiligheid waarborgen van beschermde gezondheidsinformatie (PHI), wanneer deze wordt overgedragen, ontvangen, behandeld of gedeeld. Dit geldt voor alle PHI-vormen: papier, mondeling, elektronisch, etc. Degenen die zich niet aan HIPAA houden, kunnen hoge boetes opgelegd krijgen, die bij grove schendingen tot miljoenen dollars kunnen oplopen.

De Compliance Cloud™ stelt gedekte entiteiten en hun zakenpartners volledig in staat zich aan de HIPAA-voorschriften te houden en gebruik te maken van een veilige omgeving voor het verwerken, onderhouden en opslaan van beschermde gezondheidsinformatie (PHI), door middel van o.a. de volgende besturingselementen:

  • Gegevenscodering van militaire kwaliteit tijdens verzending en in rust
  • Wachtwoord-beveiligde toegang tot back-ups
  • Redundante beveiligde datacenters

Downloadeen op HIPAA toegespitste cloudbrief voor meer informatie over hoe de Evolve IP Compliance Cloud™, in veel gevallen in de overtreffende trap, voldoet aan de compliance-vereisten voor het verzenden, verwerken en opslaan van beschermde gezondheidsinformatie (PHI).

HITRUST Common Security Framework (CSF)

Het HITRUST Common Security Framework (CSF) is ontwikkeld om de vele veiligheids-, privacy- en regelgevingsuitdagingen, waarmee organisaties in de gezondheidszorg worden geconfronteerd, aan te pakken. Het HITRUST CSF is ontwikkeld door zorg- en IT-professionals, om een efficiënt en normatief kader te stellen voor het managen van de aan HIPAA inherente beveiligingsvereisten. HITRUST CSF rationaliseert voor de gezondheidszorg relevante voorschriften en normen in één overkoepelend beveiligingskader. Een belangrijk onderdeel van het antwoord op de vraag: ‘Wat is HITRUST?’ is dat de CSF op risico’s en compliance is gebaseerd, zodat organisaties de uitgangswaarden voor beveiligingscontrole en management van leveranciers kunnen aanpassen op basis van hun specifieke organisatietype, grootte, systemen en wettelijke regelgeving.

Payment Card Industry Data Security Standard (PCI DSS)

Evolve IP heeft compliance bereikt voor de betaalkaarten-industrie (Payment Card Industry: PCI) standaard voor databeveiliging (Data Security Standard: DSS), die alle 12 secties van PCI DSS bestrijkt. De PCI-standaard voor databeveiliging is een uitgebreide reeks standaarden, dat verkopers en serviceproviders die klantkaartgegevens van klanten opslaan, verwerken of verzenden, verplicht om zich te houden aan strikte informatiebeveiligingscontroles en -processen. Het is gecreëerd door de oprichters van de PCI Security Standards Council, zoals American Express, Discover Financial, JCB International, MasterCard Worldwide en Visa Inc.

Evolve IP voldoet met deze validering aan de volgende PCI DSS-compliance doelen:

  • Heeft een veilig netwerk gebouwd en onderhoudt deze
  • Beschermt gegevens van kaarthouders
  • Handhaaft een managementprogramma voor kwetsbaarheden
  • Implementeert strenge maatregelen voor toegangscontrole
  • Test en monitort netwerken regelmatig
  • Handhaaft een informatiebeveiligingsbeleid

Evolve IP’s PCI DSS-validering omvat fysieke beveiliging, operationele controle en aanverwant beleid. De beoordeling is uitgevoerd door een geaccrediteerde Qualified Security Assessor (QSA)-firma, die garantie- en compliance-diensten verleent aan internationale bedrijven. De reikwijdte van de beoordeling omvatte de van toepassing zijnde vereisten van versie 3.1 van de PCI Data Security Standard voor de validering van “Level 1”- serviceproviders. Er is een Attest van Compliance (AOC) afgegeven om te laten zien dat Evolve IP volledig voldoet aan de PCI Data Security Standard. Dit rapport is op verzoek voor klanten beschikbaar.

Download een op PCI toegespitste cloudbrief voor meer informatie over hoe onze klanten het vermogen hebben om hun eigen kaarthoudergegevens-omgeving (cardholder data environment: CDE) te creëren die kaarthoudergegevens kan opslaan, verzenden of verwerken m.b.v. de Evolve IP Compliance Cloud™.

CSA STAR – Deelnemend Lid

Evolve IP is ook een geregistreerd en deelnemend lid van het CSA Security, Trust & Assurance Registry (STAR). De CSA is opgericht om de transparantie van praktijken m.b.t. beveiliging bij cloudproviders te bevorderen. Het is een gratis, openbaar toegankelijk register dat de beveiligingscontroles van het verschillende cloud computing-aanbod documenteert, zodat gebruikers de beveiliging van cloudproviders die zij op dit moment (overwegen te) gebruiken, kunnen beoordelen. CSA STAR staat open voor alle cloudproviders en stelt hen in staat om beoordelingsrapporten in te dienen, waarin compliance van de door CSA gepubliceerde aanbevolen werkwijzen is vastgelegd. Het doorzoekbare register stelt potentiële cloud-klanten in staat de praktijken m.b.t. de beveiliging van providers sneller grondig te onderzoeken en te beoordelen, wat leidt tot een koopervaring van hogere kwaliteit. CSA STAR betekent een grote stap voorwaarts m.b.t. industrie-transparantie en moedigt providers aan om beveiligingscapaciteiten een markt-onderscheidende factor te maken.

Evolve IP-medewerkers zijn gericht op leren en uitbreiding van kennis. Tegenwoordig zult u in onze staf medewerkers vinden die in het bezit zijn van meerdere certificeringen, waaronder:

Cisco

  • Cisco SMB
  • Cisco SMB Engineer
  • CCNA
  • CCNP
  • CCNET

Microsoft

  • MCP
  • MCSA
  • MCTS
  • MS 365
  • Windows 7

VMware

  • VCP-DCV
  • VCP6-DTM
  • VMware VSP5
  • VCA-DCM
  • VMware VTSP
  • VOP CP

Industry and Other Vendor Certifications

  • CISSP
  • Six Sigma
  • ITIL
  • PMP
  • SSCA-SIP
  • Citrix
  • LINUX
  • Red Hat
  • Veeam
  • HP
  • Apple
  • Broadsoft
  • Polycom
  • Intronis
  • Zerto

Evolve IP’s beveiligde data en werkwijzen voor beveiligingsmanagement

Vanaf het begin zag Evolve IP in dat beveiligingsmanagement en data-integriteit niet alleen belangrijke functies waren en “leuk om te hebben”, maar ook kritieke vereisten van zakelijke klanten, die onderhevig zijn aan formele compliance-voorschriften.

Ervaring Waar U Op Kunt Bouwen

Evolve IP is een Managed Security Services Provider (MSSP) met jarenlange ervaring in het beschermen, rapporteren en controleren van zakelijke klantnetwerken. Producten en diensten variëren van perimeterbeveiliging (op locatie of in de cloud) tot voortgaande kwetsbaarheidsbeoordelingen en herstel.

Deze rapporten zijn beschikbaar voor in aanmerking komende klanten, om te helpen bij audits, procesontwerp en evaluatie van leveranciers-competentie. Deze rapporten bevestigen dat ons beveiligingsmanagement en controleprogramma op de juiste manier is ontworpen en dat de controles die zijn gedefinieerd om klantengegevens te beschermen, voor langere tijd effectief werken. Hierdoor kunnen onze klanten de kracht van de cloud gebruiken, maar ook het volste vertrouwen hebben dat de van toepassing zijnde processen, technologieën en controles aanwezig zijn om het hoogste niveau van bescherming en compliance te bieden bij het beveiligen, verwerken en opslaan van elk type gevoelige data. Dit omvat data voor financiële rapportage, patiëntgegevens in de gezondheidszorg (PHI, ePHI), zoals gedefinieerd door HIPAA en creditcardverwerking, zoals gedefinieerd door PCI DSS 2.0.

Deze rapporten, certificeringen en connecties onderscheiden Evolve IP van andere serviceproviders, door aan te tonen dat we de risico’s binnen onze omgeving (en daardoor ook binnen de omgevingen van onze klanten) begrepen en verkleind hebben, door proactief geauditeerde en bewezen technologie, processen en van toepassing zijnde controles te implementeren. Om deze redenen leidt Evolve IP de markt voor Securitisatie in clouddiensten.