Certificeringen en verklaringen Evidos

Evidos is marktleider in het leveren van oplossingen voor de digitale handtekening en digitale identiteit. Ondertekenen.nl en Signhost.com zijn oplossingen die geleverd worden door Evidos. De beveiliging van informatie is voor Evidos belangrijk. We moeten er bijvoorbeeld niet aan denken dat vertrouwelijke informatie van onze klanten in handen valt van onbevoegden, niet klopt, of niet beschikbaar is op de momenten dat het nodig is. Evidos voert daarom een actief securitybeleid.

Het plaatsen van een digitale handtekening moet op een betrouwbare en veilige manier plaatsvinden. Continu zijn wij bezig om de kwaliteit en betrouwbaarheid van onze dienst te bewaken. Wij voldoen aan de hoogste industriële normen voor de beveiliging op elk niveau. Wij zijn uw vertrouwde partner voor het digitaal ondertekenen van documenten zoals pdf’s. Verder zorgt Evidos ervoor dat procedures en processen opgesteld en ingericht worden volgens algemeen geaccepteerde standaarden (good practices). Voorbeelden van dergelijke standaarden zijn ISO27001 en COBIT.

Certificeringen en verklaringen Evidos

Evidos beschikt over de volgende certificeringen en verklaringen, te weten:

  • ISO/IEC 27001:2013 certificering.

Evidos wil aan klanten kunnen aantonen dat zij informatiebeveiliging op orde heeft.
Daarom voldoet wij sinds maart 2017 aan de voorwaarden van ISO/IEC 27001: de ‘de facto’ standaard voor informatiebeveiliging..

Dit geldt voor het toepassingsgebied:” Het vermarkten, ontwikkelen, beheren en ondersteunen van een cloud onderteken- en authenticatiedienst, bekend onder Ondertekenen.nl en Signhost.com.

Jaarlijks wordt door DEKRA Certification gecontroleerd of wij nog aan de criteria hiervoor voldoen, en eenmaal in de drie jaar vindt een complete ISO-audit plaats.

SOC2

Evidos heeft de ambitie om voor het einde van 2018 te voldoen aan de Service Organization Controls (SOC): maatregelen op het gebied van beveiliging, beschikbaarheid, vertrouwelijkheid, privacy en procesintegriteit. Dit moet uiteindelijk resulteren in een SOC2 Type II rapportage aan het einde van 2018.

DigiD TPM verklaring.

Logius eist jaarlijks, een rapportage van het ICT-beveiligingsassessment DigiD. Deze audit wordt uitgevoerd door een RE auditor van een onafhankelijke gecertificeerde partij. Deze partij stelt naar aanleiding van de audit een Third Party Mededeling (TPM) op.

Evidos verstrekt jaarlijks deze TPM aan haar klanten die gebruik maken van DigiD.

Hostingprovider

Signhost draait in een beveiligd datacenter in Nederland. Dit datacenter voldoet teven aan de eisen van ISO/IEC 27001:2013 en NEN7510:2011.

Hostingprovider

Onze hosting provider geeft jaarlijks een ISAE3402 type II verklaring af welke een beeld geeft over de betrouwbaarheid van haar dienstverlening.

Responsible disclosure

Wij hebben een ‘responsible disclosure’-richtlijn. Deze helpt ons bij het beschermen van onze systemen en klanten. Mocht u specifieke beveiligingsissues ontdekken dan horen wij dit graag zo snel mogelijk zodat wij hier direct actie op kunnen ondernemen.

Data-encryptie

Alle verbindingen naar de Signhost webapplicatie of middels een API-koppeling gaan via een beveiligde SSL-verbinding. Deze SSL-verbinding zorgt voor de versleuteling van gegevens, een techniek die ook voor internetbankieren wordt gebruikt.

Secure datacenter

Signhost draait in een beveiligd datacenter in Nederland. Onze secure-hosting partner voldoet aan de ISO 27001 informatiebeveiligingsnorm. Daarnaast beschikt onze hosting partij over een ISAE3402 type II Assurance verklaring.

Juridisch rechtsgeldig

Signhost voldoet aan de vereisten voor de geavanceerde elektronische handtekening, conform artikel 3:15a BW en de eIDAS verordening. Zie onze uitleg over rechtsgeldigheid.

Continue monitoring

De Signhost-dienst wordt met behulp van interne en externe hulpmiddelen continu beschermd tegen kwetsbaarheden. Wij hanteren de OWASP-richtlijn voor het toetsen op beveiligingsissues.

Penetratietesten

Minimaal jaarlijks zal er in kader van de ICT-beveiligingsassessment DigiD conform de NOREA “Handreiking DigiD-assessments V2.0”, penetratietesten op de web omgevingen van Signhost uitgevoerd worden. Deze penetratietesten worden door wisselende externe partijen uitgevoerd.

Privacyverklaring

In onze privacy- en cookieverklaring leggen wij onder andere uit welke persoonsgegevens wij van u verzamelen en voor welke doeleinden dit gebeurt. Daarnaast geven wij middels deze verklaring informatie over de cookies die worden geplaatst. Wij vinden het belangrijk dat u op een duidelijke en transparante wijze wordt geïnformeerd over deze onderwerpen. Heeft u toch nog vragen over de verwerking van uw persoonsgegevens of over deze verklaring, neem dan gerust contact met ons op.

Verwerkersovereenkomst

Om conform de huidige en toekomstige privacywetgeving te handelen, is het van belang dat de afspraken omtrent het verwerken van persoonsgegevens contractueel worden vastgelegd. Als extra service biedt Evidos aan al haar klanten een standaard verwerkersovereenkomst aan, zodat beide partijen conform de privacywetgeving handelen. Deze verwerkersovereenkomst houdt rekening met de eisen die voortvloeien uit de Algemene Verordening Gegevensbescherming.

Calamiteitenplan datalekken

Naast de (contractuele) afspraken die worden gemaakt tussen u en Evidos over het melden van datalekken, acht Evidos het van belang dat zij deze afspraken kan nakomen. Evidos heeft daarom interne processen ontwikkeld om datalekken tijdig te herkennen en op te volgen. Evidos hanteert een calamiteitenplan datalekken, waarin is omschreven hoe Evidos omgaat met eventuele datalekken. Dit calamiteitenplan kan op verzoek door u worden ingezien.

Beveiliging persoonsgegevens

Evidos treft conform artikel 13 uit de Wet bescherming persoonsgegevens (en vanaf 25 mei 2018 conform artikel 32 uit de Algemene Verordening Gegevensbescherming) passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies en onrechtmatige verwerking. Evidos houdt hierbij rekening met de beleidsregels van de Autoriteit Persoonsgegevens, zoals de ‘Beleidsregels beveiliging van persoonsgegevens (2013)’.

Algemene Verordening Gegevensbescherming (AVG)

Vanaf 25 mei 2018 wordt de Wet bescherming persoonsgegevens vervangen door de AVG. De AVG brengt extra verplichtingen voor organisaties met zich mee, zoals het bijhouden van een verwerkingsregister, een uitbreiding van de rechten van betrokkenen en het in bepaalde gevallen verplicht uitvoeren van data protection impact assessments. Evidos is op de hoogte van deze wijzigingen en draagt er zorg voor dat zij vanaf 25 mei 2018 conform de AVG handelt.

Wilt u meer weten over de mogelijkheden van het digitaal ondertekenen of digitale identificatie in uw organisatie?
Neem dan contact ons op, wij vertellen u graag meer.