Crystaxon Max logo

Beveiligingsbeleid

Laatst bijgewerkt: 14 januari 2025

Crystaxon Max hecht groot belang aan de beveiliging van de gegevens en systemen van onze gebruikers. Dit beveiligingsbeleid beschrijft de maatregelen die wij nemen om uw informatie te beschermen en de integriteit van onze diensten te waarborgen.

1. Toepassingsgebied

Dit beleid is van toepassing op alle systemen, applicaties en infrastructuren die worden beheerd door Crystaxon Max, inclusief onze webplatforms, API-diensten en ondersteunende technische omgevingen. Het is van toepassing op alle medewerkers, verwerkers en derden die toegang hebben tot onze systemen of gegevens verwerken namens ons.

2. Gegevensbescherming en versleuteling

2.1 Gegevens in transit

Alle communicatie tussen gebruikers en onze diensten is versleuteld via TLS (Transport Layer Security). Wij ondersteunen uitsluitend actuele en veilige versies van dit protocol. Verbindingen via verouderde of onveilige protocollen worden geweigerd.

2.2 Gegevens in opslag

Gevoelige gegevens worden in rust versleuteld opgeslagen met behulp van erkende versleutelingsstandaarden. Wachtwoorden worden nooit in leesbare vorm opgeslagen, maar uitsluitend als gehashte waarden met gebruik van geschikte algoritmen.

2.3 Sleutelbeheer

Encryptiesleutels worden beheerd via beveiligde sleutelbeheerprocessen. Sleutels worden periodiek geroteerd en de toegang tot sleutelmateriaal is strikt beperkt tot geautoriseerde systemen en personen.

3. Toegangscontrole

3.1 Authenticatie

Toegang tot interne systemen vereist sterke authenticatie. Wij passen het principe van minimale rechten toe: gebruikers en systemen ontvangen uitsluitend de toegangsrechten die noodzakelijk zijn voor hun specifieke taken.

3.2 Meervoudige authenticatie

Meervoudige authenticatie (MFA) is verplicht voor toegang tot kritieke systemen, beheeromgevingen en productieinfrastructuur. Dit geldt voor alle interne en externe beheeraccounts.

3.3 Toegangsbeheer

Toegangsrechten worden periodiek beoordeeld en indien nodig ingetrokken. Bij beëindiging van een dienstverband of samenwerking worden toegangsrechten onmiddellijk ingetrokken.

4. Netwerkbeveiliging

Onze infrastructuur is beschermd door meerdere lagen van netwerkbeveiliging, waaronder:

5. Kwetsbaarheidsbeheer

5.1 Patchbeheer

Beveiligingsupdates voor besturingssystemen, software en afhankelijkheden worden regelmatig en tijdig toegepast. Kritieke patches worden zo snel mogelijk geïmplementeerd na beschikbaarstelling.

5.2 Kwetsbaarheidsscans

Wij voeren regelmatig geautomatiseerde kwetsbaarheidsscans uit op onze systemen en applicaties. Gevonden kwetsbaarheden worden geprioriteerd en verholpen op basis van het risico dat zij vertegenwoordigen.

5.3 Penetratietests

Periodiek worden penetratietests uitgevoerd door gekwalificeerde partijen om de effectiviteit van onze beveiligingsmaatregelen te toetsen. Bevindingen worden vastgelegd en opgevolgd.

6. Incidentbeheer

6.1 Detectie en respons

Wij beschikken over procedures voor de detectie, beoordeling en respons op beveiligingsincidenten. Beveiligingsgebeurtenissen worden gelogd en gemonitord. Bij detectie van een incident wordt een gestructureerd responsproces in gang gezet.

6.2 Melding van incidenten

In geval van een beveiligingsincident dat betrekking heeft op persoonsgegevens of dienstverlening aan gebruikers, zullen wij de betrokken partijen tijdig informeren in overeenstemming met toepasselijke verplichtingen.

6.3 Verantwoordelijke bekendmaking

Wij verwelkomen verantwoordelijke bekendmaking van beveiligingskwetsbaarheden. Indien u een kwetsbaarheid ontdekt in onze systemen, verzoeken wij u dit te melden via [email protected]. Wij verbinden ons ertoe gemelde kwetsbaarheden serieus te behandelen en tijdig op te volgen.

7. Fysieke beveiliging

De infrastructuur die onze diensten ondersteunt, bevindt zich in datacenters met passende fysieke beveiligingsmaatregelen, waaronder toegangscontrole, bewaking en bescherming tegen omgevingsrisico's. Toegang tot deze faciliteiten is beperkt tot geautoriseerd personeel.

8. Personeelsbeveiliging

Medewerkers die toegang hebben tot systemen of gegevens worden getraind op het gebied van informatiebeveiliging. Beveiligingsverantwoordelijkheden zijn vastgelegd in interne richtlijnen. Medewerkers zijn verplicht vermoedelijke beveiligingsincidenten te melden.

9. Back-up en herstelbeheer

Kritieke gegevens worden regelmatig geback-upt. Back-ups worden versleuteld opgeslagen en periodiek getest op herstelbaarheid. Herstelplannen zijn gedocumenteerd en worden regelmatig geoefend om continuïteit van de dienstverlening te waarborgen.

10. Beheer van derden

Derde partijen die namens ons diensten verlenen of toegang hebben tot onze systemen worden beoordeeld op hun beveiligingspraktijken. Contractuele afspraken over beveiliging en gegevensbescherming zijn van toepassing op alle relevante leveranciers en verwerkers.

11. Logbeheer en monitoring

Beveiligingsrelevante gebeurtenissen worden gelogd en bewaard gedurende een passende periode. Logbestanden worden beschermd tegen ongeautoriseerde toegang of wijziging. Automatische monitoring en alertering zijn ingericht om afwijkend gedrag tijdig te signaleren.

12. Wijzigingen in dit beleid

Dit beveiligingsbeleid wordt periodiek herzien en bijgewerkt om wijzigingen in onze diensten, technologie of toepasselijke normen te weerspiegelen. Bij materiële wijzigingen zullen wij gebruikers informeren via onze gebruikelijke communicatiekanalen. De datum bovenaan dit document geeft aan wanneer het beleid voor het laatst is bijgewerkt.

13. Contact

Voor vragen over dit beveiligingsbeleid of om een beveiligingsprobleem te melden kunt u contact opnemen met:

Crystaxon Max
Rue Marie-Henriette 19, 5000 Namur, België
E-mail: [email protected]
Telefoon: +32 65 94 65 97