De 6 kerncompetenties van onze BIO LOGICAL IT-diensten
Privacy
Wat doen wij voor u?
Uw gegevens zijn van u!
Uw gegevens zijn van u! Wij bieden u uw "eigen" cloud. Hetzij op uw eigen servers, hetzij zwaar beveiligd op onze Duitse servers. Uw gegevens blijven alleen bij u en komen nooit in handen van derde aanbieders of grote bedrijven. Onze cloud-oplossingen zijn open voor onze klanten en de gegevens zijn alleen toegankelijk voor onze klanten.
In vergelijking met gegevensbescherming gaat het ons om de bescherming van uw gegevens, ongeacht of zij al dan niet op een persoon betrekking hebben. Deze term omvat dus ook gegevens die geen betrekking hebben op een persoon (b.v. uw bouwtekeningen), zowel digitaal als analoog. Hierbij willen wij de veiligheidsrisico's tot een minimum beperken en uw gegevens beschermen tegen manipulatie, verlies of ongeoorloofd kopiëren. Het gaat er hier dus niet om of gegevens mogen worden verzameld en verwerkt (dat is een kwestie van gegevensbescherming), maar welke maatregelen nodig zijn om uw gegevens te beschermen. Wij waarborgen uw gegevensbeveiliging in het kader van de gegevensbescherming door passende technische en organisatorische maatregelen te treffen.
De wetgeving in de VS is totaal anders dan de onze. Sinds 9/11 kunnen Amerikaanse autoriteiten op basis van de Patriot Act of, sinds maart 2018, met de CLOUD Act toegang krijgen tot gegevens, zelfs als bedrijven hun gegevens ook buiten de VS opslaan. Daarom helpen de Europese verordeningen inzake gegevensbescherming (DSGVO) hier niet. Dus alle communicatie wordt opgeslagen. Onder meer Edward Snowden heeft onthuld dat dit op grote schaal gebeurt.
Verbindingen met Derden
Uit principe raden wij ten stelligste aan voorzichtig om te gaan met hun IT-middelen wanneer zij verbinding maken met derde aanbieders. Cloudverbindingen zijn alleen OK als ze op betrouwbare wijze worden beheerd door een gecertificeerde BIO LOGICAL IT-professional. Diensten die uw kantoor verbinden met het openbare internet- en telefoonnetwerk zodat u en uw personeel kunnen telefoneren en opzoekingen op het internet kunnen doen, vallen hier uiteraard niet onder. Voor uw veiligheid controleren wij voor al uw IT-componenten de verbindingen met externe providers. Onze aanbevolen optimale oplossing voor u is dat uw software/website alleen verbinding maakt om software-updates uit te voeren en dat geen andere gegevens dan de versie, het besturingssysteem of de gebruikte hardware worden doorgegeven.
Om veiligheidsredenen staan wij in het algemeen niet toe dat uw software/website gegevens opslaat in een niet-gecertificeerde cloud, bv. Microsoft Azure, OneDrive, Apple iCloud of de Amazon cloud. Mogelijke boosdoeners hier zijn virus/malware scanners en website plugins die meestal ongevraagd uw gegevens uploaden. Om de privacy van uw gebruikers te beschermen (DSGVO), raden wij u ten stelligste af delen van uw website te laden bij providers van derden. Hier is gegevensbescherming belangrijker dan snelheid. Bijvoorbeeld het helaas veelvuldig gebruik van content delivery networks (CDN), Google fonts of Javascript bibliotheken alleen maar om deze onderdelen sneller te laten laden. Daarom wijzen wij ook instrumenten als Google Maps of Google Statistics af. Als wij deze functies op onze eigen webserver beschikbaar stellen, blijft dit het enige "aanspreekpunt" voor uw gebruikers en behoudt u dus de controle. Links naar andere websites daarentegen zijn niet problematisch als u de eindgebruiker daarop wijst op uw website.
Als een onmisbaar stuk software een achterdeur heeft die gegevens doorstuurt naar onbekende bestemmingen, raden wij u aan over te schakelen op een open-source alternatief met toegankelijke broncode. Als dit niet mogelijk is, kunnen wij deze ongewenste verbindingen zo goed mogelijk bij u ter plaatse blokkeren door middel van proactief firewallbeheer en monitoring als onderdeel van een zogenaamde patch-oplossing
.
Volledige Backups
Wij raden u aan uw werkstations, servers en virtuele machines door ons te laten instellen, zodat er dagelijks automatisch een cloning (spiegeling) plaatsvindt. Het is ook belangrijk dat wij regelmatig de nodige hersteltests voor u uitvoeren om de kwaliteit van de back-ups te controleren. Dit zorgt ervoor dat wij uw gegevens of apparaten onmiddellijk kunnen herstellen in geval van een storing. Wij raden aan om al uw apparaten elke 24 uur te klonen. Uw gegevens moeten niet lokaal worden geback-upt, maar in uw private cloud, zodat zelfs in geval van een totaal verlies (bv. brand) uw gegevens kunnen worden hersteld. Wij zetten dit voor u op, zodat de gegevens in 256+bit versleutelde vorm worden opgeslagen en via een 256+bit versleutelde VPN-tunnel worden overgedragen. Minstens een keer per kwartaal doen we een hersteltest voor alle betrokken apparaten.
In plaats van te spiegelen, maken we handmatig een back-up van een aantal van uw apparaten met een enkel versleuteld configuratiebestand. Na elke update van zo'n apparaat, maken we een handmatige back-up. De instellingen van bijvoorbeeld uw VoIP-telefooncentrales of uw firewalls kunnen meestal met slechts één bestand worden geback-upt.
Incrementele Backups
Wij willen erop wijzen dat de hierboven beschreven spiegeling niet altijd voldoende is. Zo kunnen bijvoorbeeld defecte, per ongeluk verwijderde/gecorrigeerde of zelfs met malware geïnfecteerde bestanden worden gespiegeld. In dat geval is het gebruik van een dergelijke spiegeling voor herstel onzinnig of zelfs gevaarlijk. Om uw gegevens schoon en volledig te kunnen herstellen, voeren wij ook incrementele back-ups uit. Hier bewaren we een geschiedenis van de revisies van al uw bestanden en mappen over een gewenste tijd op een aparte locatie. Als gegevens en mappen per ongeluk zijn gewist of geïnfecteerd, is het mogelijk om deze gegevens en mappen via de geschiedenis te herstellen. Het back-up en herstelproces is hier complexer. Daarom moet alleen van de belangrijkste gegevens op deze manier een back-up worden gemaakt.
Toegang tot Gegevens in uw Kantoor
Het is belangrijk dat de toegang tot uw actieve gegevens op uw werkapparatuur en servers op kantoor wordt beschermd. Voor elk apparaat, server of virtuele machine controleren wij of al uw gegevens op het apparaat zijn versleuteld en alleen kunnen worden ontgrendeld met een wachtwoord bij het opstarten. Wij raden u aan uw wachtwoorden nergens op te slaan of met iemand anders te delen. U zou in uw bedrijf strikte richtlijnen voor het wachtwoordbeleid moeten toepassen, bijvoorbeeld met een vast aantal cijfers, tekens of hoofdletters. Uw personeel moet zich altijd aanmelden, en opnieuw na een korte afwezigheid. Wij raden u aan de lokalen waar uw apparatuur zich bevindt te beveiligen met een slot of andere speciale toegang.
Als algemene regel raden wij u aan al uw bestanden op uw apparaten te versleutelen om gegevensdiefstal te voorkomen. Voor bepaalde apparatuur is versleuteling niet altijd nodig, bijvoorbeeld als het een firewall-toestel is, waarbij versleuteling tegen diefstal duurder is dan het eenvoudigweg vernieuwen van deze bestanden na een eventueel verlies van gegevens, bijvoorbeeld met nieuwe toegangsgegevens. [Referentie: Netgate: Whole disk encryption]
BIO Data Access-Concept op 7 Niveaus in uw Cloud (© Gaastra GmbH 2021)
Om uw gegevens te beschermen, verdelen wij uw systeem in verschillende afzonderlijke zones. De respectieve partities van ons datatoegangsconcept kunnen worden geïllustreerd door de 7 gebieden in ons datacentrum te vergelijken met een hotel. Elk niveau heeft zijn eigen toegangspermissies, zijn eigen beveiligingen en is meestal ontoegankelijk voor de andere niveaus:
- Level 1 - "Uw stad in de ruggegraat" - Datacentrum: Alleen werknemers van level 1 hebben hier toegang. Er zijn beveiligingen tegen brand, weersinvloeden, stroomuitval en netwerkstoringen.
- Level 2 - "Uw BIO Aparthotel in het centrum van de stad" - Colocation Partner: In principe heeft alleen Level 2 hier toegang. Niveau 3 krijgt speciale fysieke toegang tot de eigen verdieping, maar alleen onder begeleiding van een medewerker van niveau 2. Beveiligd is ook hier tegen brand, weersinvloeden, stroomstoringen en netwerkstoringen, met name tegen "Distributed Denial of Service" (DDoS)-aanvallen.
- Level 3 - "Uw Premium BIO-verdieping in het hotel" - Fysieke server: Alleen Level 3, d.w.z. wij, Gaastra GmbH, hebben hier managementtoegang via sterk beveiligde VPN-tunnels. Hoewel werknemers van niveau 2 theoretisch de fysieke toegang hebben, blijft de vloer van niveau 3 afgeschermd, omdat deze werknemers niet over de juiste VPN-tunnels en wachtwoorden beschikken.
- Level 4 - "Je vleugel binnen in de vloer" - Virtueel Sub (Sub) Netwerk: Vanaf Level 4 is alles virtueel en is er geen fysieke toegang meer. Wij, Gaastra GmbH, hebben hier console toegang via onze management VPN tunnels. De klant kan ook optionele toegang krijgen via een eigen VPN-tunnel.
- Level 5 - "Uw appartement" - Virtuele server: Net als bij Level 4 is er alleen toegang voor Gaastra GmbH en optioneel voor u als klant, wederom met een eigen beveiliging. In tegenstelling tot Niveau 4, is het hier met Niveau 5 één enkele server (en geen netwerk van meerdere servers).
- Level 6 - "De domotica van uw appartement" - De backend(s) van het platform: Dit gedeelte is voor de beheerder om het platform te configureren. Hier beschermen we de toegang via een IP-adres of een VPN-tunnel. Bovendien heeft de klant hier een "sterk" wachtwoord nodig. Hier is er alleen toegang tot niveau 6 en niveau 7.
- Level 7 - "De salon" - De front-end(s) van het platform: De toegang voor eindgebruikers is beveiligd via wachtwoorden met mogelijke multifactorauthenticatie (MFA), waarbij de toegangsautorisatie wordt geverifieerd aan de hand van verschillende onafhankelijke kenmerken (factoren). In het geval van een website kan deze toegang ook zonder authenticatie plaatsvinden. In het geval van een openbare server is het de bedoeling dat alleen niveau 7 via het openbare internet toegankelijk is.
Waarom is dit interessant voor u?
Wij verbreken alle verbindingen met externe providers op uw terrein, zodat uw gegevens alleen bij u blijven. Wij beschermen u tegen mogelijk gegevensverlies door middel van een uitgekiende strategie voor gegevensback-up. Op dezelfde manier bouwen wij incrementele beveiligingsconcepten in uw bedrijf om uw gegevens te beschermen tegen ongeoorloofde toegang. Ons veiligheidsconcept is een ander kernpunt dat, samen met de andere kernpunten, ons systeem BIO LOGICAL IT uniek maakt.
Gezondheid ⇄ Privacy: Bekabelde verbindingen (LAN) bieden de best mogelijke gegevensbeveiliging. Indien u gebruik maakt van WLAN of Bluetooth, kan geen enkele gerenommeerde IT-dienstverlener de bescherming van uw persoonlijke gegevens garanderen. Wanneer u WLAN gebruikt, is het altijd mogelijk om van buitenaf toegang te krijgen tot uw gegevens. Hackers hebben veel openbare middelen tot hun beschikking voor aanvallen, bijvoorbeeld: https://github.com/wifiphisher/wifiphisher.
Open Source ⇄ Privacy: Wanneer het op gegevensbescherming/gegevensbeveiliging aankomt, moeten fabrikanten van closed-source software voorzichtig zijn, omdat Amerikaanse en ook Chinese bedrijven zonder uitzondering gebonden zijn aan de wetten van hun land. De wetten in deze landen leiden tot het doorgeven van klantgegevens aan hun eigen staatsinstellingen indien de regering of de autoriteiten daarom vragen. Zogenaamde "achterdeurtjes" die in de respectieve software zijn ingebouwd, kunnen ook willekeurige toegang verschaffen tot de aangekochte software in Europa. Closed-source producten zijn daarom problematisch om redenen van gegevensbescherming. Als positief neveneffect kan worden waargenomen hoe bedrijven geleidelijk inzien dat gegevensbeveiliging een waardepropositie voor klanten inhoudt - vooral in Europa.
Toevoeging: eis van de Europese Groenen (EFA): geen propriëtaire software voor overheidscomputers!"
[Referentie: Time Online]
Met macOS zijn er specifieke beleidsregels om te beschermen tegen inbreuken op de privacy. Door onze kennis kunnen wij u gegevensbeveiliging garanderen met gegevensbescherming op Macs. Dit veronderstelt echter dat u geen gebruik maakt van de iCloud.
IT Security ⇄ Privacy: IT Security
en Privacy
gaan niet alleen hand in hand, maar zijn onderling afhankelijk. Bij andere IT-dienstverleners worden deze termen soms per vergissing
gecombineerd. Wij onderscheiden hier alle veiligheidsaspecten die rechtstreeks verband houden met gegevens
als Privacy
. Onder de ruimere term IT Security
gaat het om de bescherming van de technische verwerking van informatie. Het gaat in de eerste plaats om de foutloze werking en de betrouwbaarheid van uw IT-systemen. Referentie: Dr. Datenschutz
Onafhankelijkheid ⇄ Privacy: Meer onafhankelijkheid van externe providers betekent ook dat minder gegevens buiten uw eigen bescherming vallen. Tegenwoordig kan het gemakkelijk gebeuren dat uw gegevens - zonder uw toestemming - terechtkomen op de servers van Microsoft of worden opgeslagen in China. Ons doel is om uw gegevens zo goed mogelijk te beschermen.
Hoe doen we dat? Onze eigen BIO-certificering
Verbindingen met Derden
Uit principe raden wij ten stelligste aan voorzichtig om te gaan met hun IT-middelen wanneer zij verbinding maken met derde aanbieders. Cloudverbindingen zijn alleen OK als ze op betrouwbare wijze worden beheerd door een gecertificeerde BIO LOGICAL IT-professional. Diensten die hun kantoor en cloud verbinden met het openbare internet- en telefoonnetwerk zijn uitgesloten. Wij controleren de verbindingen van derden op alle IT-apparatuur:
- BIO PT Cl 1 OK: De software/website maakt alleen verbinding om software-updates uit te voeren. Er worden geen andere gegevens dan de versie, het besturingssysteem of de gebruikte hardware doorgegeven.
- BIO PT Cl 2 FAIL CLD: De software/website slaat gegevens op in een niet-gecertificeerde cloud, bijv. Microsoft Azure, OneDrive, Apple iCloud of in de Amazon cloud. Er is software in uw systeem, zoals virus/malware scanners, die uw gegevens uploadt naar buitenlandse of niet-gecertificeerde servers voor matching.
- BIO PT Cl 3 FAIL CDN: De website maakt gebruik van een content delivery network (CDN) om onderdelen van de website sneller te laten laden. Voorbeelden hiervan zijn de Google Fonts, Maps of Statistieken. Als u uw privacy wilt beschermen, kan dit niet worden getolereerd. Links naar andere websites zijn geen probleem als de eindgebruikers daarvan op de hoogte worden gebracht.
- BIO PT Cl 4 FAIL BKD: De software heeft een achterdeur om gegevens naar onbekende bestemmingen door te sturen. Wij bevelen daarom altijd open-source software aan, waar de broncode kan worden ingezien.
Door pro-actief firewallbeheer en -monitoring kunnen problemen zoals BIO PT Cl 2 FAIL CLD of BIO PT Cl 4 FAIL BKD gedeeltelijk worden voorkomen als onderdeel van een zogenaamde patch-oplossing
.
Volledige Backups
Het dagelijks klonen (mirroring) van de werkstations, servers en virtuele machines met regelmatige hersteltests moet het mogelijk maken de gegevens of apparatuur onmiddellijk te herstellen in geval van een hardwarestoring.
- BIO PM Cl 1 OK: Er wordt ten minste elke 24 uur een kloon van alle apparaten gemaakt en deze wordt opgeslagen in uw privécloud. Dit gebeurt in 256+ bits versleutelde vorm via een 256+ bits versleutelde VPN-tunnel. Voor elk type inrichting vindt ten minste eenmaal per kwartaal een hersteltest plaats.
- BIO PM Cl 2 OK MAN: Van sommige apparaten kan handmatig een back-up worden gemaakt met een enkel gecodeerd configuratiebestand. Na elke update wordt zo'n handmatige back-up gemaakt op een ander apparaat dat kan worden toegewezen aan de code "BIO PC Cl 1 OK". Dit betreft bijvoorbeeld de instellingen van een telefooncentrale, waarvan met één bestand een back-up kan worden gemaakt
- BIO PM Cl 3 FAIL TRN: Hetzelfde als Cl 1, maar het transport is niet voldoende beveiligd door een 256+bit geëncrypteerde VPN-tunnel.
- BIO PM Cl 4 FAIL ENC: Zoals Cl 1, maar het opslagmedium is niet voldoende versleuteld met 256+bit encryptie of het wachtwoord (de sleutel) van de encryptie is bekend buiten de kring van geautoriseerde toegang.
- BIO PM Cl 5 FAIL LOC: Hetzelfde als Cl 1, maar de bestemming van de back-up komt overeen met de bronlocatie en is dus niet op verschillende locaties beveiligd.
- BIO PM Cl 6 FAIL TMG: Zelfde als Cl 1 als niet meer dan vijf keer per maand wordt gekloonnden niet is/zijn voltooid.
- BIO PM Cl 7 FAIL SAN: Het opslagmedium is defect of vol.
- BIO PM Cl 8 FAIL NA: Er is geen back-upstrategie.
Incrementeel Backups
Incrementele backups bewaren een geschiedenis van de revisies van alle bestanden en mappen gedurende een gewenste tijd. Als gegevens en mappen per ongeluk zijn gewist, is het mogelijk om die gegevens en mappen via de geschiedenis te herstellen. Ze herstellen is tijdrovender. Daarom moet alleen van de belangrijkste gegevens op deze manier een back-up worden gemaakt.
BIO PI Cl 1 OK / BIO CI Cl 2 MAN / BIO PI Cl 3 FAIL TRN / BIO PI Cl 4 FAIL ENC / BIO PI Cl 5 FAIL LOC / BIO PI Cl 6 FAIL TMG / BIO PI Cl 7 FAIL SAN / BIO CI Cl 8 FAIL NA - zoals hierboven beschreven, dan voor incrementele backups.
Toegang tot Gegevens in uw Kantoor
Het is belangrijk dat de toegang tot uw actieve gegevens op uw werkapparatuur en servers op kantoor wordt beschermd. Voor elk apparaat, server of virtuele machine controleren we:
- BIO PO Cl 1 OK: Alle gegevens op het apparaat zijn versleuteld en kunnen alleen worden ontgrendeld met een wachtwoord tijdens het opstarten. De gebruiker gebruikt een wachtwoord wanneer hij zich aanmeldt of wanneer hij zich opnieuw aanmeldt na een korte afwezigheid. Het wachtwoord voldoet aan de richtlijnen van het wachtwoordbeleid van de instelling. Het wordt nergens opgeslagen of met iemand anders gedeeld. De ruimte waar de eenheid zich bevindt, is beveiligd met een slot of een andere speciale toegang.
- BIO PO CL 2 OK PUB: Alle gegevens op de eenheid mogen voor het publiek toegankelijk zijn, daarom hoeft niet te worden voldaan aan de criteria van "BIO PO CL 1 OK", bijv. Macs voor gasten.
- BIO PO Cl 3 OK ENC: Bepaalde gegevens op de harde schijf hoeven niet te worden versleuteld, bijvoorbeeld als het gaat om een
appliance
voor een firewall, waarbij versleuteling tegen diefstal duurder is dan het gewoon vernieuwen van deze gegevens. [Referentie: Netgate: Whole disk encryption] - BIO PO Cl 4 FAIL ENC: De gegevens op de harde schijf zijn niet (voldoende) versleuteld en kunnen in geval van diefstal onmiddellijk worden gelezen.
- BIO PO Cl 5 FAIL LEAK: Het wachtwoord is bij meerdere mensen bekend.
- BIO PO Cl 6 FAIL POL: Het wachtwoord voldoet niet aan de operationele richtlijnen, bijv. wat betreft het aantal cijfers, tekens of hoofdletters.
- BIO PO Cl 7 FAIL NLO: De gebruiker is niet afgemeld, zodat een andere persoon toegang tot het apparaat kan krijgen.
- BIO PO Cl 8 FAIL PHY: De fysieke toegang tot het apparaat is niet beveiligd, bijv. de ruimte heeft geen toegangscontrole.
BIO Data Access-Concept op 7 Niveaus in uw Cloud (© Gaastra GmbH 2021)
Om uw gegevens te beschermen, verdelen wij uw systeem in verschillende afzonderlijke zones. De respectieve partities van ons datatoegangsconcept kunnen worden geïllustreerd door de 7 gebieden in ons datacentrum te vergelijken met een hotel. Elk niveau heeft zijn eigen toegangspermissies, zijn eigen beveiligingen en is meestal ontoegankelijk voor de andere niveaus:
- Level 1 - "Uw stad in de ruggegraat" - Datacentrum: Alleen werknemers van level 1 hebben hier toegang. Er zijn beveiligingen tegen brand, weersinvloeden, stroomuitval en netwerkstoringen.
- Level 2 - "Uw BIO Aparthotel in het centrum van de stad" - Colocation Partner: In principe heeft alleen Level 2 hier toegang. Niveau 3 krijgt speciale fysieke toegang tot de eigen verdieping, maar alleen onder begeleiding van een medewerker van niveau 2. Beveiligd is ook hier tegen brand, weersinvloeden, stroomstoringen en netwerkstoringen, met name tegen "Distributed Denial of Service" (DDoS)-aanvallen.
- Level 3 - "Uw Premium BIO-verdieping in het hotel" - Fysieke server: Alleen Level 3, d.w.z. wij, Gaastra GmbH, hebben hier managementtoegang via sterk beveiligde VPN-tunnels. Hoewel werknemers van niveau 2 theoretisch de fysieke toegang hebben, blijft de vloer van niveau 3 afgeschermd, omdat deze werknemers niet over de juiste VPN-tunnels en wachtwoorden beschikken.
- Level 4 - "Je vleugel binnen in de vloer" - Virtueel Sub (Sub) Netwerk: Vanaf Level 4 is alles virtueel en is er geen fysieke toegang meer. Wij, Gaastra GmbH, hebben hier console toegang via onze management VPN tunnels. De klant kan ook optionele toegang krijgen via een eigen VPN-tunnel.
- Level 5 - "Uw appartement" - Virtuele server: Net als bij Level 4 is er alleen toegang voor Gaastra GmbH en optioneel voor u als klant, wederom met een eigen beveiliging. In tegenstelling tot Niveau 4, is het hier met Niveau 5 één enkele server (en geen netwerk van meerdere servers).
- Level 6 - "De domotica van uw appartement" - De backend(s) van het platform: Dit gedeelte is voor de beheerder om het platform te configureren. Hier beschermen we de toegang via een IP-adres of een VPN-tunnel. Bovendien heeft de klant hier een "sterk" wachtwoord nodig. Hier is er alleen toegang tot niveau 6 en niveau 7.
- Level 7 - "De salon" - De front-end(s) van het platform: De toegang voor eindgebruikers is beveiligd via wachtwoorden met mogelijke multifactorauthenticatie (MFA), waarbij de toegangsautorisatie wordt geverifieerd aan de hand van verschillende onafhankelijke kenmerken (factoren). In het geval van een website kan deze toegang ook zonder authenticatie plaatsvinden. In het geval van een openbare server is het de bedoeling dat alleen niveau 7 via het openbare internet toegankelijk is.
Om u een overzicht te geven van hoe goed uw concept voor gegevenstoegang is, beoordelen wij de naleving op een schaal van 0 tot 100%. Is in uw cloud de toegang tot gegevens hoogstens verdeeld in verschillende niveaus over meerdere personen/instellingen, elk met beperkte toegang?
- BIO PC Cl 1 OK: In uw geval wordt volledig voldaan aan het 7-niveauconcept, of er zijn zelfs strengere eisen in sommige gevallen: 100%
- BIO PC Cl 2 FAIL: Geen enkel aspect van het 7-stappenconcept is nageleefd: 0%