banner_home

Community

i-veiligheid van Tygron Platform 

Onze uitgangspunten zijn:

  • Met een licentie werkt de gebruiker in een eigen, door een wachtwoord beveiligd, domein. Dit domein wordt door de gebruiker zelf beheerd, dus deze bepaalt zelf wie er toegang toe heeft en tot welk project.
  • De persoonsgegevens die een gebruiker invult onder domain management zijn beperkt tot wat nodig is om de licentieovereenkomst te kunnen uitvoeren: om support te kunnen verlenen en te kunnen informeren over onderhoud en upgrades aan de Engine. Het gaat om naam en emailadres (nodig om password te kunnen krijgen). Telefoonnummer is optioneel. Gebruiker kan het aangeven als men geen emails wenst te ontvangen over onderhoud en upgrades.
  • Deze gegevens zijn zichtbaar voor de gebruiker onder ‘my account’ in de Engine.
  • Een gebruikersnaam kan verwijderd worden door de domain manager en door Tygron (op aanvraag).
  • In een project is zichtbaar wanneer welke gebruiker aan welke versie heeft gewerkt. Projecten kunnen verwijderd worden door de gebruiker of (op aanvraag) door Tygron.
  • Bij het beëindigen van de licentie-overeenkomst worden de bijbehorende persoonsgegevens en projecten verwijderd, back-ups worden na twee jaar verwijderd.
  • Persoonsgegevens worden niet met andere verwerkers gedeeld zonder toestemming hiervoor.
  • De Tygron engine laadt voor projecten by default alleen open data in. Het is niet bij voorbaat nodig dat de gebruiker zelf gegevens toevoegt aan projecten, maar het kan wel. Data die een gebruiker toevoegt aan projecten en domein worden versleuteld verzonden en beveiligd opgeslagen (zie ‘technische maatregelen’).
  • Back-ups van projecten worden bewaard gedurende 2 jaar en kunnen op verzoek door Tygron worden verwijderd. Ook gegevens in de back-ups kunnen op aanvraag inzichtelijk gemaakt worden. Aan het eerder verwijderen van projecten en het inzichtelijk maken van gegevens zijn kosten verbonden die evenredig zijn met de hiervoor in te zetten uren.
  • Tygron is voor gegevens in projecten alleen gegevensverwerker en kan en zal deze niet voor eigen doeleinden gebruiken. De verwerking vindt dus uitsluitend plaats op basis van de licentieovereenkomst.
  • De eigenaar van de gegevens (dus niet Tygron) is verantwoordelijk ervoor te zorgen dat het gebruik ervan rechtmatig is.
  • Wij schakelen by default geen subverwerkers in. Mocht dit ooit aan de orde komen dan alleen na schriftelijke toestemming.
  • Tygron behandelt gegevens uiterst vertrouwelijk. Indien een gebruiker wil dat Tygron in projecten meekijkt, bijvoorbeeld om support te verlenen, dan kan de gebruiker dat alleen zelf aangeven, voordat de support-afdeling van Tygron toegang krijgt tot het project.
  • De medewerkers van Tygron die gezien hun functie toegang hebben tot de broncode en daarmee ook tot projectgegevens hebben een aanvullend vertrouwelijkheidscontract ondertekend.
  • De Tygron Engine draait op onze eigen servers, in Zoetermeer en in Den Haag. Juist ook omdat we de beveiliging op die manier goed kunnen regelen. We werken met een versleutelde SSL-verbinding (zie onder voor details)
  • De software wordt aangeboden als SaaS. Dit houdt in dat de software het eigendom is en blijft van Tygron en dat een licentie er toegang tot geeft, evenals tot support en onderhoud. De Tygron Engine bestaat uit een Client en Server Applicatie. De data (projecten) worden bewaard en bewerkt in de server applicatie. Hierbij blijft de data altijd eigendom van de klant zelf. De klant kan via de Client Applicatie de data opvragen/verwijderen en rechten toekennen.
  • Er wordt een log bijgehouden waarin zichtbaar is welke gebruiker wanneer en in welk project actief is. Deze log bevat eveneens informatie over IP adres en Deze log wordt na 2 jaar geanonimiseerd en alleen gebruikt voor beheer- en supportdoeleinden (bv om een gebruiker te informeren bij een servercrash)

Technische maatregelen

De beveiliging van de Tygron Engine is als volgt vormgegeven:

  • Industrie standaard SSL encryptie voor gevoelige data in verbindingen. Tygron maakt gebruik van de laatste en best beveiligde TLS versie 1.2 Alle communicatie gaat dus encrypted via de laatste SSL versies (inclusief interne backups en onderhoud toegang tot de machines zelf). We maken niet gebruik van twofactor authenticatie. Wel worden brute-force inbraken automatisch herkent en is er de mogelijk logins direct te disablen.
  • De authenticiteit van de server wordt geverifieerd via een industrie standaard certificaat die met SHA-256 hashes wordt beveiligd.
  • De applicatie is grotendeels in Java gebouwd, volledig eigendom van Tygron en gebruikmakend van een aantal veel gebruikte industrie standaard open-source onderdelen.
  • Zowel client als server bevatten verschillende beveiligingsmechanismen ter voorkoming van reverse engineering, manipulatie of hacken.
  • Toegang tot de server (en opgeslagen data) kan alleen via ge-encrypte protocollen zoals SSH en SFTP. Idem gaan de automatische backups via SFTP. We hebben een firewall die alles tegenhoudt behalve specifieke IP-adressen.
  • Onze server is gebouwd met eigen hardware en draait volledig in eigen beheer te Zoetermeer (NL), in een van de nieuwste datacenters. De machines staan achter slot in een datacentrum waar alleen Tygron personeel fysieke toegang tot heeft. De servers draaien Ubuntu Linux, een van de meest veilige besturingssystemen en standaard voor veel webservers. Het data center heeft ook firewalls die eventuele aanvallen kunnen afslaan.
  • Gebruikers wachtwoorden worden via hashes opgeslagen, dit is de wettelijke standaard (AVG) en voorkomt dat de originele wachtwoorden zijn te achterhalen als ze in verkeerde handen belanden
  • De klant heeft zijn eigen domain waarin gebruikers verschillende rechten hebben om projecten te mogen aanpassen, opstarten, bekijken, etc. Iedere actie die een gebruiker uitvoert wordt hierop gecontroleerd. Elk domain heeft een admin account waarmee dit geregeld kan worden. Standaard heeft Tygron support zelf ook geen toegang, alleen als de project eigenaar daar toestemming voor geeft kunnen wij meekijken.
  • Errors maar ook illegale login pogingen worden direct via de server via een ge-encrypte verbinding gemeld aan Tygron. Mocht er toch een datalek optreden dan wordt de klant hier direct over geïnformeerd en wordt gehandeld cf wetgeving.

Organisatorische maatregelen

  • Datalekken worden gemeld aan de directie van Tygron en door COO gedocumenteerd. Datalekken worden conform wetgeving gerapporteerd aan betrokkenen. De COO is binnen Tygron verantwoordelijk voor het handelen cf. AVG.
  • Voorafgaand aan de inwerkingtreding van de AVG zijn de voorbereidingsstappen zoals gepubliceerd op de website van de Autoriteit Persoonsgegevens doorgenomen. Deze stappen zijn besproken met de directie en team van Tygron in mei/juni 2018.
  • De bestaande verwerkingsovereenkomsten van Tygron zijn gecheckt en voldoen aan de AVG:
  • Voor de support helpdesk maken we gebruik van de Freshdesk applicatie. Freshdesk heeft een eigen privacy notice conform AVG: https://www.freshworks.com/privacy.          Tygron slaat de in Freshdesk ingevoerde gegevens niet elders op en gebruikt ze ook niet buiten de applicatie.