BIJKOMENDE INFORMATIE M.B.T. BESTELPORTAAL


Serverbeveiliging, gegevensbeheer en back-ups

Het volgende document is bedoeld om werkmethoden bij XXLPrintshop online portals op te sommen en zal als zodanig voortdurend worden herzien en bijgewerkt.

 

1. Waar worden XXLPrintshop-gegevens opgeslagen? Waar worden mijn gegevens opgeslagen?

XXLPrintshop (XXL) werkt samen met cloudhostingbedrijf Linode. XXLPrintshop 'houdt' gegevens bij van verschillende bedrijven. Alle klanten bevinden zich op servers in Frankfurt.

 

Alle opgeslagen gegevens zijn versleuteld en kunnen niet toegankelijk zijn voor iedereen voor wie het niet de bedoeling is.

 

2. Welke informatie slaan we op?

Voor mensen die inloggen, de minimale gegevens die nodig zijn is naam en e-mail. Vaak echter, XXLPrintshop zal het opslaan van werknemerslijsten, adressen, afdeling-ID's, logo's, illustraties, ordergegevens en bestanden zoals facturen en voorraadrapporten.

Wachtwoorden worden versleuteld. XXLPrintshop slaat geen creditcard- of andere betalingsgegevens op.

 

3. Toegang tot gegevens

De toegang tot klantgegevens is beperkt tot medewerkers van XXLPrintshop en zijn IT service partner. Aangezien alle productie- en testwerkzaamheden normaal gesproken worden uitgevoerd op geïsoleerde en afzonderlijke servers, heeft het personeel van XXLPrintshop alleen toegang tot clientgegevens wanneer ze ondersteuning bieden. Naast Linode (die geen toegang hebben), maakt XXLPrintshop momenteel geen gebruik van een IT service partner voor het onderhoud van de systemen.

In het geval dat XXL wel extern personeel inzet, zal hun toegang ook beperkt blijven tot testservers, elk gebruik van klantgegevens is verboden, tenzij hiervoo toestemming wordt verleend.

XXLPrintshop heeft geen recht om toegang te krijgen tot of delen van uw gegevens  anders dan nodig is om de service te verlenen.

 

Zie ook algemene voorwaarden  en privacybeleid.

 

Alle gegevens ingevoerd in de software is de verantwoordelijkheid van de gedruikers en beheerders. Beheerders kunnen gebruikersgegevens opschorten, verwijderen, maken en wijzigen. Het is de taak van de beheerders om deze gegevens te verzorgen op basis van hun verschillende wettelijke vereisten. Geen enkele beheerder heeft toegang tot wachtwoorden.

 

4. Gegevens exporteren

Beheerders kunnen op elk moment volgende exporteren : gebruikers, adressen, afdelingen, bestellingen, voorraad info etc.

 

5. Ontwikkeling

Het XXLPrintshop System werd in 2015 gelanceerd en is voortdurend in ontwikkeling.

 

 6.GDPR

Het grootste deel van ons beveiligingsbeleid was al in lijn met de aankondiging van de strenge privacy- en gegevensregels van DEUS 2018. We hebben een aantal wijzigingen aangebracht in onze afhandeling van cookies en onze EU-server verplaatst naar Frankfurt, maar verder waren we al volledig compliant.

 

  • Hoe deze standaarden van invloed zijn op XXLPrintshop bestelportals

In grote lijnen beschrijven de ISO-documentatie en GDPR minimum- en beste normen en regels over hoe persoonlijke en bedrijfsgegevens worden verwerkt en beveiligd, minimale wachtwoordvereisten, hoe wachtwoorden worden opgeslagen, hoe cookies worden gepresenteerd en gebruikt, en hoe dit alles wordt beschermd tegen ongewenste inbraak.

 

  • Hoe XXLPrintshop uw gegevens beschermt

XXLPrintshop werkt samen met Linode  om veilige en regelmatige back-uproutines, load balancing, Apache-updates, SSL-encyption, Firewall, anti DOS, antivirus- en malwarescanning,  rootkit-monitoring  en andere maatregelen op alle PJ-servers te bieden. We ontvangen regelmatig e-mailwaarschuwingen van  Monit,een procesbegeleidingstool en e-mailwaarschuwingen die nieuw geblokkeerde IP-adressen aangeven (we blokkeren automatisch IP-adressen met meerdere mislukte inlogpogingen (dat wil zeggen: antirobot/crawlerbeveiliging)).

 

  • Onze servers worden beschermd door de volgende beveiligingen:
    • fail2ban - tegen brute force aanvallen
    • iptables - firewalls die alleen toegang via single access ports-Ddos mogelijk maken - beschermen tegen denial of service (DOS) aanvallen
    • -Rkhunter/maldet – draait 24/7 en scant dagelijks op zoek naar rootkits & malware
    • -Monit - controleert CPU / RAM-gebruik, schijfruimte, SSH, Apache, Postfix, Mysql, Cron, Syslog, NSD, de vaststelling van alles automatisch als het kan of dwingen een herstart van componenten zoals Apache, alsmede het verzenden van waarschuwingen.

 

  • Backups

Er worden voortdurend 3 back-ups onderhouden (gisteren, een week geleden en een maand geleden), deze worden bewaard op aparte, dedicated back-up servers en kunnen worden hersteld binnen 2/4 uur. We testen deze back-ups op een maandelijkse basis.

 

  • SSL-versleuteling

Alle verbindingen met de XXLPrintshop-servers worden versleuteld via SSL. Front-endsystemen worden automatisch beschermd door SSL-versleuteling in het geval dat u uw eigen domeinnamen gebruikt, een proces dat automatisch plaatsvindt wanneer wij u domeinnaam toevoegen.

 

  • Beperkte toegang op basis van rollen

Alleen een gebruiker met een wachtwoord heeft toegang tot het systeem, en tenzij ze een admin-gebruiker zijn, ziet hij slechts een beperkte hoeveelheid gegevens en de gegevens die in overeenstemming zijn met de rol waaraan ze zijn toegewezen.

 

  • Gedeelde aanmeldingen?

XXLPrintshop gebruikt geen gebruikersnamen en moedigt niemand aan om aanmeldingen te delen. Het gebruik van e-mails als primaire id ontmoedigt de praktijk van het delen van aanmeldingen en is veiliger. Dit komt omdat u geen toegang hebt om uw gegevens op het systeem tewijzigen, inclusief uw eigen systeem, zonder eerst uw e-mailadres te verifiëren. XXL adviseert klanten om hun aanmeld gegevens niet te, dit is steeds op eigen verantwoordelijkheid.

 

  • Iedereen met kwade bedoelingen zou kunnen inbreken in het XXL-systeem, om dit te doen, zouden ze eerst moeten inbreken in uw e-mail. Mocht dit gebeuren en er met opzet ongeoorlooft toegang verkregen worden tot het systeem. Is de toegang beperkt tot de klantgegevns en data. Als een admin/ manager zijn e-mail werd gekaapt, zou het ernstiger kunnenzijn (Gebruiker kon eventueel gegevens stelen of verwijderen (in dit geval kunenn wij een back up herstel))

Om dit te voorkomen, raden we het bebruik van een aantal basis beveiligen aan aan, zoals schermvergrendelingen, niet automatisch opslaan van login data etc, deze aanbeveilingen zijn informatief en niet voor de verantwoordelijkheid van XXLPrintshop

 

  • Eenmalig aanmelden (Single Sign On)

XXL biedt SSO aan, deze functie maakt het mogelijk om het XXL-systeem te koppelen aan een ander systeem. Hiermee kunnen de gebruikers inloggegevens van een andere systemen gebruiken, om toegang te krijgen tot het XXL-systeem. Echter, indien u toegang krijgt op deze manier wordt u verhinderd om gegevens van andere gebruikers te zien. Afhankelijk van de gegevens die uitgewisselt moeten worden kan er maatwerk nodig zijn..

 

  • Wachtwoorden

Alle wachtwoorden zijn versleuteld en niet zichtbaar voor de beheerders bij XXLPrintshop. XXL-medewerkers kunnen klantwachtwoorden nooit achterhalen.  

Wachtwoorden zijn minimaal 8 tekens zonder verdere regels.

 

  • Wachtwoord vergeten?

Als iemand zijn wachtwoord vergeet, moet hij of zij het wachtwoord opnieuw instellen, waarbij een e-mail wordt geactiveerd die naar de gebruiker wordt verzonden. Met de koppeling in de e-mail kan de gebruiker het wachtwoord opnieuw instellen. Dit kan enkel door de gebruiker zelf geactiveerd worden


  • Verwijderen van gebruikers of gegevens?

Beheerders kunnen gebruikers en bedrijven opschorten, waardoor ze niet kunnen inloggen en geen toegang krijgen tot de gegevens.

Beheerders kunnen gebruikers verwijderen, maar geen bedrijven verwijderen, maar kunnen wel vragen dat medewerkers van XXLPrintshop deze verwijderen.

 

  • Beveiligingstests

XXLPrintshop Systems zijn niet formeel beoordeeld of getest door ISO of een EU-instantie, maar XXL zal alle vragen, ondervragingen en stresstesten die door een onafhankelijke organisatie worden uitgevoerd, waaronder defensieaannemers of overheidsinstanties, graag beantwoorden. Dergelijke tests bieden gemoedsrust, evenals advies aan alle partijen, in het houden van gegevens en systemen veilig.

Sinds 2015 zijn er bij XXLPrintshop nog geen ernstige inbreuken of gebreken in haar beveiligingsbeleid gevonden. XXL heeft altijd gereageerd op het advies dat naar aanleiding van deze tests is gegeven. De zwakste schakel in het beveiligingssysteem zijn gebruikers - mensen delen of schrijven hun wachtwoorden op. Dat is iets wat XXL niet kan voorkomen.

 

  • Toekomstige ontwikkeling op het gebied van veiligheid

Wij zijn nsteeds alert en actief bezig om de veiligheid te verhogen.

Toestaan van  google- of Microsoft-aanmeldingen.

 

  • Ben je een doelwit? Bedreigingen?

Als u of een van uw gebruikers enige reden heeft om te vermoeden dat uw gegevens het doelwit zullen zijn van hackers of een ander beveiligingsprobleem, informeer XXL zodat we voorzorgsmaatregelen kunnen nemen om uw systemen extra te beveiligen of naar een dedicated en 'onafhankelijke' servers te verplaatsen.Hier kunnen wel extra kosten aan verbonden zijn.

 

  • Controleert XXLPrintshop haar personeel?

Ja. Iedereen die bij XXLPrintshop werkt, wordt gecontroleerd, om ervoor te zorgen dat ze zelf geen bedreiging vormen voor de gegevensbeveiliging.

 

  • Hoe krijgt iemand ondersteuning?

XXL portal gebruikers kunnen ondersteuning krijgen via Chat, mail of telefonisch tussen 8u00 en 16u00 van maadag tot vrijdag.

 

  • Wie kan mijn ondersteuningsquery's zien?

Alleen XXLPrintshop personeel.

 

  • Wat gebeurt er als de systemen uit vallen?

Downtime gebeurt, maar wanneer het zich voordoet tijdens kantooruren, het heeft nooit langer geduurd dan 3 of 4 uur, meestal zelfs minder dan 20 minuten. In het ergste geval (in het geval dat de gegevens niet kunnen worden hersteld) kan XXL meestal binnen ongeveer een uur back-ups herstellen.

 

  • Specificaties cloudserver

4 core CPU's, 8 GB RAM, 1000 GB RAID-opslag en 5000 GB maandelijkse bandbreedte op alle servers. Verdere upgrades zijn mogelijk.