1. Toegangscontrole (fysiek en digitaal)

• De systemen bevinden zich in een datacenter van IONOS in Frankfurt am Main (ISO 27001-gecertificeerd).
• De toegang wordt beheerd en bewaakt onder de uitsluitende verantwoordelijkheid van de dienstverlener.

2. Toegangscontrole (machtigingen)

• Toegangsrechten worden toegekend op basis van rollen en het principe van minimale toegang, afhankelijk van de specifieke taak.
• Er worden geen extra gebruikersaccounts aan derden toegewezen.
• Externe ontwikkelaars kunnen tijdelijk beperkte toegang krijgen zonder toegang tot persoonlijke gegevens.
• De toegang tot servers, webhosting en WebDAV-opslag (scanrapporten) wordt uitsluitend door de exploitant verleend met behulp van gepersonaliseerde toegangsgegevens.
• Toegang tot administratieve systemen vindt plaats via tweefactorauthenticatie, indien beschikbaar.
• De systemen die worden gebruikt om kwetsbaarheidsscans uit te voeren, zijn alleen toegankelijk via VPN, werken autonoom en zijn niet rechtstreeks via internet toegankelijk.

3. Beveiliging van de toegang tot gegevens (gegevensopslag, software, netwerk)

• De gegevensoverdracht vindt uitsluitend plaats via gecodeerde verbindingen (HTTPS, SFTP, VPN).
• De webapplicatie (WordPress) maakt gebruik van actuele beveiligingsplugins en wordt regelmatig bijgewerkt.
• Verbindingen tussen WordPress en de testsystemen worden gemaakt via beveiligde toegang en API's.
• IP-adressen en testgegevens worden alleen tijdens het testproces opgeslagen en daarna automatisch verwijderd.

4. Scheiding van gegevens

• Auditrapporten worden niet opgeslagen in het WordPress-systeem, maar in een aparte WebDAV-opslag.
• Audit- en analysesystemen slaan gegevens slechts tijdelijk op totdat het rapport is gegenereerd. Daarna worden ze automatisch verwijderd.
• Klantgegevens (bijvoorbeeld boekingsgegevens) en technische resultaten zijn logisch en fysiek gescheiden.

5. Pseudonimisering / Encryptie

• De beheerde WebDAV-opslag van IONOS is gebaseerd op een gecodeerde infrastructuur.
• Gevoelige audit- en rapportbestanden worden veilig in dit systeem opgeslagen.
• De testsystemen werken onafhankelijk van elkaar en communiceren slechts in één richting (push-model).

6. Back-up en herstel

• Er wordt dagelijks een back-up gemaakt van de WordPress-database. Er worden 15 back-upversies bijgehouden.
• Van de functionaliteit van de website (WordPress-bestanden) wordt wekelijks en bij elke update een back-up gemaakt. Er worden drie back-upversies bijgehouden.
• Er wordt dagelijks een back-up gemaakt van de testrapporten, waarbij altijd één versie van de vorige dag beschikbaar is.
• Indien er sprake is van gegevensverlies, wordt de beveiligingscontrole opnieuw uitgevoerd.

7. Beschikbaarheid en veerkracht

• De systemen zijn redundant ontworpen: als één systeem tijdens het testen uitvalt, wordt er een nieuw exemplaar uitgerold.
• Kritieke systeemcomponenten bevinden zich in de uiterst beschikbare hostingomgeving van IONOS.

8. Procedures voor regelmatige beoordeling, evaluatie en evaluatie

• Regelmatige updates en beveiligingscontroles van de systemen door de operator.
• Indien de verwerkingsactiviteiten wijzigen, worden de technische en organisatorische maatregelen herzien en indien nodig aangepast.
• Beveiligingsrelevante logs worden regelmatig gecontroleerd (bijvoorbeeld inlogpogingen, API-gebruik).
• Kritieke wijzigingen (bijvoorbeeld de betrokkenheid van externe ontwikkelaars) worden gedocumenteerd.

Deze technische en organisatorische maatregelen zijn gebaseerd op de werkelijke bedrijfsvoering en kunnen bij wijzigingen worden aangepast. Ze maken geen deel uit van een ISO-certificering, maar dienen ter naleving van artikel 32 AVG.