i-veiligheid

banner_home

Community

i-veiligheid van Tygron Platform 

Onze uitgangspunten zijn:

 • Met een licentie werkt de gebruiker in een eigen, door een wachtwoord beveiligd, domein. Dit domein wordt door de gebruiker zelf beheerd, dus deze bepaalt zelf wie er toegang toe heeft en tot welk project.
 • De persoonsgegevens die een gebruiker invult onder domain management zijn beperkt tot wat nodig is om de licentieovereenkomst te kunnen uitvoeren: om support te kunnen verlenen en te kunnen informeren over onderhoud en upgrades aan het Platform. Het gaat om naam en emailadres (nodig om password te kunnen krijgen). Telefoonnummer is optioneel. Gebruiker kan het aangeven als men geen emails wenst te ontvangen over onderhoud en upgrades.
 • Deze gegevens zijn zichtbaar voor de gebruiker onder ‘my account’ in het Platform.
 • Een gebruikersnaam kan verwijderd worden door de domain manager en door Tygron (op aanvraag).
 • In een project is zichtbaar wanneer welke gebruiker aan welke versie heeft gewerkt. Projecten kunnen verwijderd worden door de gebruiker of (op aanvraag) door Tygron.
 • Bij het beëindigen van de licentie-overeenkomst worden de bijbehorende persoonsgegevens en projecten verwijderd, back-ups worden na twee jaar verwijderd.
 • Persoonsgegevens worden niet met andere verwerkers gedeeld zonder toestemming hiervoor.
 • Het Tygron Platform laadt voor projecten by default alleen open data in. Het is niet bij voorbaat nodig dat de gebruiker zelf gegevens toevoegt aan projecten, maar het kan wel. Data die een gebruiker toevoegt aan projecten en domein worden versleuteld verzonden en beveiligd opgeslagen (zie ‘technische maatregelen’).
 • Back-ups van projecten worden bewaard gedurende 2 jaar en kunnen op verzoek door Tygron worden verwijderd. Ook gegevens in de back-ups kunnen op aanvraag inzichtelijk gemaakt worden. Aan het eerder verwijderen van projecten en het inzichtelijk maken van gegevens zijn kosten verbonden die evenredig zijn met de hiervoor in te zetten uren.
 • Tygron is voor gegevens in projecten alleen gegevensverwerker en kan en zal deze niet voor eigen doeleinden gebruiken. De verwerking vindt dus uitsluitend plaats op basis van de licentieovereenkomst.
 • De eigenaar van de gegevens (dus niet Tygron) is verantwoordelijk ervoor te zorgen dat het gebruik ervan rechtmatig is.
 • Tygron behandelt gegevens uiterst vertrouwelijk. Indien een gebruiker wil dat Tygron in projecten meekijkt, bijvoorbeeld om support te verlenen, dan kan de gebruiker dat alleen zelf aangeven, voordat de support-afdeling van Tygron toegang krijgt tot het project.
 • De medewerkers van Tygron die gezien hun functie toegang hebben tot de broncode en daarmee ook tot projectgegevens hebben een aanvullend vertrouwelijkheidscontract ondertekend.
 • Het Tygron Platform draait op onze eigen servers, in Den Haag. Juist ook omdat we de beveiliging op die manier goed kunnen regelen. We werken met een versleutelde SSL-verbinding (zie onder voor details)
 • De software wordt aangeboden als SaaS. Dit houdt in dat de software het eigendom is en blijft van Tygron en dat een licentie er toegang tot geeft, evenals tot support en onderhoud. Het Tygron Platform bestaat uit een Client en Server Applicatie. De data (projecten) worden bewaard en bewerkt in de server applicatie. Hierbij blijft de data altijd eigendom van de klant zelf. De klant kan via de Client Applicatie de data opvragen/verwijderen en rechten toekennen.
 • Er wordt een log bijgehouden waarin zichtbaar is wanneer projecten actief zijn. Dit is nodig om te kijken of een gebruiker binnen de afgesproken licentie limieten blijft.
 • Er worden statistieken bijgehouden over hoe de gebruikers de applicatie gebruiken. Deze logs worden direct geanonimiseerd en zijn alleen voor het verbeteren van de software en supportdoeleinden.
 • Automatisch crash logs kunnen soms ook persoonsgegevens bevatten, deze worden alleen gebruikt ter verbetering van de software en daarna verwijderd.

Technische maatregelen

 • De beveiliging van het Tygron Platform is als volgt vormgegeven:
 • Industrie standaard SSL encryptie voor gevoelige data in verbindingen. Tygron maakt gebruik van de laatste en best beveiligde TLS versie 1.2 Alle communicatie gaat dus encrypted via de laatste SSL versies (inclusief interne backups en onderhoud toegang tot de machines zelf). Het implementeren van twofactor authenticatie is in vergaande staat van voorbereiding. We horen het graag als u hier interesse in heeft. Brute-force inbraken worden automatisch herkend en is er de mogelijkheid logins direct te disablen.
 • De authenticiteit van de server wordt geverifieerd via een industrie standaard certificaat die met SHA-256 hashes wordt beveiligd.
 • De applicatie is grotendeels in Java gebouwd, volledig eigendom van Tygron en gebruikmakend van een aantal veel gebruikte industrie standaard open-source onderdelen.
 • Zowel client als server bevatten verschillende beveiligingsmechanismen ter voorkoming van reverse engineering, manipulatie of hacken.
  Toegang tot de server (en opgeslagen data) kan alleen via ge-encrypte protocollen zoals SSH en SFTP. Idem gaan de automatische backups via SFTP. We hebben een firewall die alles tegenhoudt behalve specifieke IP-adressen.
 • Onze servers zijn gebouwd met eigen hardware en staan in eigen beheer in ons eigen pand. De machines staan achter slot waar alleen Tygron personeel fysieke toegang tot heeft. De servers draaien Ubuntu Linux, een van de meest veilige besturingssystemen en standaard voor veel webservers. Het data center heeft ook firewalls die eventuele aanvallen kunnen afslaan.
 • Gebruikers wachtwoorden worden via hashes opgeslagen, dit is de wettelijke standaard (AVG) en voorkomt dat de originele wachtwoorden zijn te achterhalen als ze in verkeerde handen belanden.
 • De klant heeft zijn eigen domain waarin gebruikers verschillende rechten hebben om projecten te mogen aanpassen, opstarten, bekijken, etc. Iedere actie die een gebruiker uitvoert wordt hierop gecontroleerd. Elk domain heeft een admin account waarmee dit geregeld kan worden. Standaard heeft Tygron support zelf ook geen toegang, alleen als de project eigenaar daar toestemming voor geeft kunnen wij meekijken.
 • Errors maar ook illegale login pogingen worden direct via de server via een ge-encrypte verbinding gemeld aan Tygron. Mocht er toch een datalek optreden dan wordt de klant hier direct over geïnformeerd en wordt gehandeld cf wetgeving.

Back-up en Restore strategie

 • Wekelijks wordt er een back-up gemaakt van de klantdata op de productieserver van Tygron. Deze back-up wordt gemaakt naar een externe server, op een andere locatie in Nederland. Back-ups van projecten worden maximaal twee jaar bewaard maar kunnen op verzoek eerder worden verwijderd.
 • Om het herstellen van een project mogelijk te maken bij klant-specifieke problemen is versiebeheer mogelijk gemaakt in onze software. De gebruiker kan meerdere versies opslaan van hetzelfde project zodat eenvoudig naar een vorige versie kan worden teruggekeerd bij problemen.
 • In het geval van calamiteiten zoals een schijfcrash zullen de klantdata worden hersteld met behulp van de externe back-up, waarbij dus alleen data verloren gaat tot maximaal een week terug.

Organisatorische maatregelen

 • Datalekken worden gemeld aan de directie van Tygron en door COO gedocumenteerd. Datalekken worden conform wetgeving gerapporteerd aan betrokkenen.
 • De COO is binnen Tygron verantwoordelijk voor het handelen cf. AVG.
 • Artikel 11 van de licentievoorwaarden bevat standaard onze verwerkersovereenkomst.