Payhawk Trust Portaal

Mihail Yanev dpo@payhawk.com

Todor Iliev security@payhawk.com

Alle bij Payhawk opgeslagen gegevens worden in rust en tijdens het transport versleuteld met maximaal TLS v1.2.

Ja, inclusief de vereiste voor multi-factor authenticatie (MFA).

Ja, lees hier meer over onze SSO- en SAML-functies: - https://payhawk.com/nl/integraties/sso-and-saml

Payhawk documentatie is openbaar in te zien op help.payhawk.com

Informatie over storingen en uitval wordt per e-mail verzonden. De actuele systeemstatus kan worden gecontroleerd op status.payhawk.com

We hebben een opleidingsplatform waarop alle nieuwe en huidige medewerkers trainingen volgen. Hierin komen verschillende aspecten van informatiebeveiliging en best practices aan bod. We voeren ook regelmatig interne phishing-campagnes uit om het bewustzijn te vergroten en hebben een speciaal communicatiekanaal voor alle medewerkers om infosec-gerelateerde onderwerpen te bespreken.

We hebben een beleid waarin de stappen worden beschreven die moeten worden genomen in het geval van een beveiligingsincident. De stappen variëren afhankelijk van de ernst van het incident.

We zorgen voor fysieke beveiliging door toegangscontrole, camerabewaking, een robuust rampherstelbeleid en regelmatige controles van onze beveiligingsmaatregelen. Alle gegevens van klanten en kaarthouders worden beveiligd in de cloud, onderweg en in rust versleuteld en onderworpen aan strikte veiligheidsmaatregelen.

We gebruiken firewalls om een sterke verdedigingslinie op te zetten. We handhaven strenge toegangscontroles en robuuste verificatiemechanismen om ervoor te zorgen dat alleen bevoegde personen toegang hebben tot onze netwerkbronnen. Dit omvat het gebruik van sterke wachtwoorden, multi-factor authenticatie (MFA) en veilige VPN-verbindingen voor externe toegang. We maken gebruik van sterke encryptieprotocollen om gegevens onderweg en in rust te beschermen. We gebruiken geavanceerde bewakingstools om continu het netwerkverkeer te controleren, gebeurtenissen te loggen en abnormale activiteiten te detecteren. We voeren regelmatig beveiligingsaudits en penetratietests uit om kwetsbaarheden en potentiële toegangspunten voor aanvallen te identificeren.

We dwingen sterke authenticatie-eisen af op alle systemen. Toegang wordt verleend op een 'need-to-know' basis, met een afgedwongen sterk wachtwoordbeleid en multi-factor authenticatie. We controleren al onze interne toegangen regelmatig en voeren beoordelingen uit van alle machtigingen en rechten. We hebben een toegangscontrolebeleid gedefinieerd voor verschillende systemen, waaronder systemen die gegevens van kaarthouders controleren.

Onze VP van Information Security en Data Protection Officer (DPO).

Nee

Ja, wij hebben de volgende certificeringen op het gebied van informatiebeveiliging: SOC 2, PCI DSS, ISO 27001 en UK Cyber Essentials.

Ja

Ieder kwartaal doen wij een interne audit.

Ja, met de jaarlijkse PCI DSS audit.

Continue training en communicatie.

Ja, we maken gebruik van een opleidingsplatform voor regelmatige trainingen op het gebied van veiligheid.

Beveiligingsbeleid en -richtlijnen, online leerplatform, interne communicatie, bewustmakingscampagnes, kanalen voor het melden van incidenten, samenwerkings- en discussieplatforms.

RFID-kaarttoegang, cameratoezicht en vereisten voor toegangscontrolebeleid.

Al onze interne netwerkapparatuur staat in speciale serverruimtes die alleen toegankelijk zijn met een verhoogde toegang, we gebruiken een logsysteem voor alle toegang tot de serverruimte en we hebben zowel aan de binnen- als buitenkant van de serverruimte 24/7 camerabewaking.

We maken gebruik van tools voor netwerkbewaking om netwerkverkeer te analyseren, afwijkingen op te sporen en potentiële beveiligingsrisico's te identificeren. We gebruiken IDPS-oplossingen die ons netwerk actief controleren op tekenen van ongeautoriseerde toegang of kwaadaardige activiteiten. We voeren regelmatig kwetsbaarheidsaudits en penetratietests uit om zwakke plekken in onze netwerkinfrastructuur en -toepassingen op te sporen.

Alle gegevens van klanten en kaarthouders worden opgeslagen in de cloud en we zorgen ervoor dat de juiste versleutelingsmechanismen worden gebruikt om de gegevens zowel in rust als tijdens het versturen te beschermen. Daarnaast zijn robuuste toegangscontroles geïmplementeerd binnen de cloudomgeving, zodat alleen geautoriseerde personen of diensten toegang hebben tot de gevoelige gegevens. Intern gebruiken we VLANs om ons netwerk op te delen in verschillende segmenten. Ook gebruiken we specifieke firewallregels om toegang van onbevoegde endpoints te voorkomen.

Ja, inclusief de vereiste voor multi-factor authenticatie (MFA).

Payhawk gebruikt een officiële mobiele applicatie, waardoor er geen veiligheidsbedreigende programma's of plug-ins gebruikt worden.

Gegevens van onze Duitse klanten worden opgeslagen in Frankfurt, Duitsland. Van al onze andere klanten worden de gegevens opgeslagen in Brussel, België.

Nee

Ja, alle gevoelige gegevens worden onderweg en in rust versleuteld met AES 256-codering.

Ja. We hebben verschillende processen en beleidsregels om naleving van deze regels en vereisten te garanderen, onder andere:

• Privacybeleid en -communicatie
• Gegevensinventaris en -classificatie
• Beveiligings- en toegangscontroles
• Beheer van leveranciers
• Training en bewustwording van medewerkers
• Toezicht op naleving van de regels en audits

Ja, iedereen bij Payhawk is verplicht om te voldoen aan de EU-normen voor gegevensbescherming, afkomstig uit Verordening (EU) 2016/679, Richtlijn (EU) 2002/58, enz.

Ja

We maken gebruik van een opleidingsplatform met verschillende modules en examens op het gebied van gegevensbescherming en informatiebeveiliging. Het programma is verplicht om te halen voor elke medewerker tijdens de inwerkperiode bij Payhawk. Zodra de medewerker is ingewerkt, worden er periodiek, eens per 3 maanden, nieuwe modules om te volgen toegevoegd, afhankelijk van de functie van de medewerker (Sales, Compliance, Development, etc.).

Ja, elke nieuwe functionaliteit, service en verwerkingsactiviteit wordt eerst beoordeeld en besproken met onze DPO, om ervoor te zorgen dat privacy is gewaarborgd aan het begin van ieder project.

Wanneer we een proces hebben aangemerkt met een verhoogd risico voor de rechten en vrijheden van onze gebruikers, hebben we een DPIA uitgevoerd om de risico's van de verwerking te beoordelen en te beperken.

Ja, we hebben zowel een Incident Response Policy (voor niet-persoonlijke gegevens) als een Data Breach Policy (voor persoonlijke gegevens), die beide het proces van detectie, beheer en communicatie van beveiligingsinbreuken regelen.

Ja, dit proces valt onder onze Data Subjects Rights Procedure. Contactpersoon voor de uitvoering van deze rechten onder de GDPR is onze DPO op dpo@payhawk.com.

Ja, we hebben een registratie van verwerkingsactiviteiten (ROPA), zowel in onze hoedanigheid als verwerkingsverantwoordelijke (art. 30, lid 1) en als verwerker (art. 30, lid 2). Beide ROPA's worden minstens één keer per kwartaal gecontroleerd en bijgewerkt.

Ja, voor elke doorgifte van persoonsgegevens buiten de EER hebben we een toepasselijk doorgiftemechanisme geïdentificeerd (inclusief de nieuwe SCC's van de EU) en een overdrachtsimpactbeoordeling (transfer impact assessment - TIA) uitgevoerd, conform Aanbeveling 01/2020 van de EDPB over maatregelen ter aanvulling van doorgifte-instrumenten om naleving van het EU-beschermingsniveau van persoonsgegevens te waarborgen. Persoonsgegevens bij Payhawk worden verwerkt in de EER, het VK en de VS.

Ja, leveranciers die toegang hebben tot persoonlijke gegevens zijn onderworpen aan de juiste due diligence en de uitvoering van een DPA.

De toegang tot gevoelige gegevens wordt streng gecontroleerd en is beperkt tot werknemers met een duidelijke zakelijke reden. We hebben een gecentraliseerd distributiebeleid waarbij alleen bepaalde rollen binnen onze IT-afdeling toegangsrechten voor systemen en gevoelige gegevens kunnen verlenen of intrekken. Ons beleid bepaalt dat er elk kwartaal een toegangsbeoordeling wordt uitgevoerd in samenwerking met onze afdelingen Information Security en Compliance. Dit zorgt ervoor dat alleen de juiste personen toegang hebben volgens hun functieomschrijving en dat er geen sprake is van misbruik, gebruikersrechten-escalatie of abnormale toegang tot gevoelige gegevens.

Ja, we hebben een toegangscontrolebeleid en voeren toegangscontrole-audits uit om ervoor te zorgen dat de toegang goed wordt beheerd.

Toegang wordt verleend op een 'need-to-know' basis. Alle toegangen voor medewerkers wordt regelmatig gecontroleerd door het beveiligingsteam en geaudit. Toegang wordt alleen verleend nadat een ticket is aangemaakt en de manager van de specifieke afdeling toestemming heeft gegeven.

Payhawk heeft een toegewijd informatiebeveiligingsteam dat ons platform en de fysieke omgeving 24/7 bewaakt.

Ja, we maken gebruik van SIEM (Security Information and Event Management) om logs van meerdere systemen te analyseren op afwijkingen, mogelijke inbraken en andere beveiligingsgebeurtenissen.

We volgen het interne Incident Response Process (IRP) en gebruiken directe communicatiekanalen zowel intern als extern om een tijdige reactie te garanderen. Regelmatig voeren we interne veiligheidsoefeningen uit om de juistheid van ons proces te garanderen.

Ja, we hebben back-ups van alle kritieke systeemconfiguraties en gegevens.

Ja, we gebruiken de cloud’s capaciteit om een hoge beschikbaarheid te garanderen. Daarnaast maken we gebruik van uitgebreide monitoring en schaalbaarheid om aan de vraag te voldoen en beschikbaarheid te garanderen.

Omdat Payhawk clouddiensten gebruikt, wordt er regelmatig een back-up gemaakt met cloudgebaseerde database back-up diensten voor een snel herstel.

Ja, we hebben een uitgebreid beleid dat elk kwartaal wordt herzien door de Information Security Officer en onze Compliance afdeling.

Dit zal hoogstwaarschijnlijk in de laatste zes maanden uitgevoerd zijn. Neem contact met ons op voor meer informatie.

Dit is een gedeelde verantwoordelijkheid van de teams Compliance, Information Security en Legal.

Security Awareness Training als standaardonderdeel van hun onboarding, regelmatige (maandelijkse) security trainingen en driemaandelijkse Business Continuity Test, inclusief tabletop oefeningen en functionele tests op niet-productieomgevingen.

Ja, we hebben een beleid voor het reageren op incidenten gebaseerd op NIST 800-62, dat alle richtlijnen en bepalingen bevat voor het rapporteren van en reageren op incidenten.

Voor kleine beveiligingsincidenten kan een samenvattend rapport worden gestuurd naar alle leden van het Incident Response Team nadat het onderzoek en/of de beperking is voltooid.

Voor grote beveiligingsincidenten moeten alle leden van het Incident Response Team onmiddellijk op de hoogte worden gebracht. In het geval van een ernstig beveiligingsincident moet zo snel mogelijk een samenvattend rapport van het incident worden aangeboden aan het management.

Voorbeelden van kleine beveiligingsincidenten:

• Denial of Service-aanvallen die geen significante impact hebben op de prestaties van de kritieke systemen
• Pogingen tot inbraak zonder succes (poortscans, webcrawlers, pogingen tot CSS/XSS-exploitatie, enz.)
• Andere gemelde of ontdekte problemen die geen significante impact hebben op de infrastructuur of geen grote bedreiging vormen voor de veiligheid.

Voorbeelden van grote beveiligingsincidenten:

• Denial of Service-aanvallen die de prestaties van de infrastructuur aanzienlijk beïnvloeden
• Succesvolle ongeautoriseerde aanmeldingen
• Gerapporteerde en geverifieerde gegevensinbreuk
• Openbaarmaking van persoonlijke of vertrouwelijke informatie
• Bewijs van geknoei met gegevens of hardware
• Andere gemelde of ontdekte problemen die een aanzienlijke impact op de infrastructuur kunnen hebben of een grote bedreiging voor de veiligheid vormen

Extern gebruiken we status.payhawk.com en e-mailmeldingen, intern maken we gebruik van instant messaging en ticketing-systemen om de gebeurtenissen bij te houden.

Vanaf de publieke cloud middels Amazon Web Services (AWS) en Google Cloud Platform (GCP).

Frankfurt en Brussel. Alle gegevens van klanten uit de EU en de VS worden opgeslagen in Brussel. Voor alle Duitse klanten worden de gegevens opgeslagen in Frankfurt. De Payhawk-infrastructuur ondersteunt het veranderen van de regio voor gegevensopslag op verzoek.