ISO 27001

STEAM-connect is sinds 2012 ISO27001 gecertificeerd volgens de (toen geldende) 2005-norm. In 2015 is deze vernieuwd naar de 2013-norm. Deze transitie is samen met de certificeringsinstelling BSI gedaan vanwege de samenvoeging van meerdere beheersmaatregelen die dezelfde doelstelling hebben. De beheersmaatregelen zijn zo opgesteld dat zij aan de normen van verschillende standaarden voldoen. BSI was in haar eindoordeel met name gecharmeerd van de hoge mate van standaardisatie en integratie van de beheersprocessen van de diverse afdelingen, in combinatie met de normering vanuit de diverse certificeringen.

ISO 27001 specificeert eisen voor het vaststellen, implementeren, uitvoeren, bewaken, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van informatiebeveiligingsrisico’s. Het ISMS is ontworpen met het oog op adequate en proportionele beveiligingsmaatregelen die de informatie afdoende beveiligen en vertrouwen bieden.

Scope

‘Het beschikbaar stellen van de actuele versie van Steam-connect contact center software en aanverwante telefonie diensten, inclusief koppelingen met derde partijen zoals bijv. OBI4wan en Salesdock, door middel van API-koppelingen.’

Certificerings organisatie

De certificering is uitgevoerd door The British Standards Institution BSI.

BSI is dé organisatie op het gebied van normalisatie voor bedrijven. Zij helpen organisaties om gewoonte te maken van uitmuntendheid, waar ter wereld ze zich ook bevinden. Al meer dan een eeuw stelt BSI middelmatigheid en zelfgenoegzaamheid aan de kaak om uitmuntendheid te integreren in de werkwijze van mensen en producten. Dat houdt in dat ze bedrijven laten zien hoe ze hun prestaties kunnen verbeteren, risico’s kunnen verkleinen en een duurzame groei kunnen bewerkstelligen. Als internationaal leider die helpt organisaties te verbeteren, variëren hun klanten van topmerken tot kleine, lokale bedrijven. BSI is wereldwijd actief in 193 landen en hanteert de hoogste standaard.

mark of trust certified ISOIEC 27001 information security management black logo En GB 1019

ISO 27001:2013 certificaat 

Veel gestelde vragen over de ISO27001 certificering: 

Waarom is de ontwikkeling van de software zelf niet meegenomen in de test, maar alleen opgeleverde software?

De software die als SaaS (Software as a Service) aan onze klanten wordt aangeboden hebben we bewust niet in de scope opgenomen vanwege de duidelijke scheiding die er zit tussen de software ontwikkeling en de SaaS dienstverlening. Het grootste deel van de gebruikte software wordt door een dedicated Steam-connect onderneming ontwikkeld, welke buiten de scope van de certificering valt. Daarnaast wordt er ook gebruik gemaakt van applicaties die door derden zijn ontwikkeld (denk aan postcode-, eMail- en IBAN  checkers en Travel Time Calculators). Wij hebben er voor gekozen om de ontwikkeling zelf niet onder de certificering te laten vallen, maar alleen uitgebreid geteste software beschikbaar te stellen op het platform.  

In de VvT geven jullie aan dat fysieke beveiliging volledig door de hosting provider wordt uitgevoerd en daarmee verklaren jullie dit niet van toepassing. Voor jullie eigen systeembeheerders geldt toch ook een fysieke beveiliging?  

Alle toegang tot de data binnen Steam-connect (door onze systeembeheerders) wordt dubbel digitaal beveiligd (2FA met VPN Clients). De fysieke locatie van die systeembeheerders maakt daarbij niet uit. Ook onze systeembeheerders kunnen prima vanuit huis werken waar een ‘fysieke beveiliging’ niet van toepassing is. 

De beheersmaatregel A.14.3.1 Bescherming van testgegevens sluiten jullie uit. De software wordt toch wel getest? Kan worden aangetoond dat ‘onze data’ niet gebruikt wordt voor testdoeleinde?

Het is altijd lastig om aan te tonen dat je iets ‘niet doet’ of ‘niet hebt’, maar Steam-connect test nooit op klantdata zonder dat de klant daar schriftelijk toestemming voor heeft gegeven. In hoogst uitzonderlijk heel specifieke klantscenario’s kan dit in een enkel geval noodzakelijk zijn en dat wordt altijd eerst met de klant afspraken gemaakt om welke data voor test gebruikt zal mogen worden.  

ISO 27001 2013 Cert