Beleid inzake informatiebeveiliging van Portima

Versie 2.7

 

Historiek

Versie Datum Auteur Beschrijving
1.0 27-08-2015 COMDIR 1ste officiële versie
2.0 24-05-2016 Steering PortiSign Wijzigingen ter naleving van de EU General Data Protection Regulation (GDPR) (Algemene Verordening Gegevensbescherming, AVG)
2.1 13-06-2016 Steering PortiSign Kleine formuleringswijzigingen in hoofdstuk 16
2.2 13/04/2017 COMDIR

Toevoeging: CP/CPS/PDS voor gekwalificeerde certificaten in de lijst met referentiedocumenten als bijlage

Toevoeging: Bewegingsdetectoren en camera-opnamesystemen… in 11.1 Beveiligde zones

2.3 20/06/2017 Steering PortiSign Toevoeging: “PKI Operations ADS Policy” en “IT Operation Controls” in de lijst met referentiedocumenten als bijlage
2.4 24/08/2017 COMDIR Jaarlijkse herziening + opstelling NL en FR versie
  20/02/2018 COMDIR Vertaalcorrectie – 7. Human Resources beveiliging Om te valideren tijdens een volgende beoordeling
2.5 22/08/2018 Steering PortiSign Herziening ingevolge de inwerkingtreding van de GDPR
2.6 20/05/2020 COMDIR Herziening van punt 12.2 ‘Bescherming van malware’ – toevoegen Security Ambassador – Aanpassing ISO 22301 Release – Wijziging ADS Policy Internal Tools – Supporting Apps  – Toevoegen van een uittreksel uit het strafregister 
2.7 17/06/2021 COMDIR Term ‘goede huisvader’ vervangen door ‘zorgzaam en redelijk persoon’
Toegevoegd: lijst met adressen Toegewezen Portima Onderaannemers
Veranderd: AS/WEB -> Portima Connect
Veranderd: Systeem manager verantwoordelijk voor Installatie -> Platform Team
Veranderd: BRIO4YOU -> Brio
Veranderd: « 10 » engagementen -> 7 engagementen

 

Inhoudstafel

  1. Inleiding
  2. Definities
  3. Acroniemen
  4. Structuur
  5. Beleid inzake informatiebeveiliging
    1. Strategie inzake informatiebeveiliging
  6. Organisatie van de informatiebeveiliging
    1. Interne Organisatie
    2. Mobiele toestellen en telewerk
  7. Human Resources beveiliging
  8. Activabeheer
    1. Verantwoordelijkheid inzake activa
    2. Informatieclassificatie
  9. Toegangscontrole
  10. Cryptografische controles
  11. Fysieke veiligheid en omgevingsveiligheid
    1. Beveiligde zones
    2. Uitrustingsbeveiliging
  12. Operationele beveiliging
    1. Operationele procedures en verantwoordelijkheden
    2. Bescherming tegen kwaadaardige codes
    3. Backup
    4. Logging en monitoring
    5. Beveiliging van systeembestanden
    6. Beheer inzake technische kwestbaarheid
    7. Audit
  13. Communicatiebeveiliging
    1. Beheer inzake netwerkbeveiliging
    2. Informatie-overdracht
  14. Ontwikkeling en aanschaf van informatiesystemen
    1. Beveiligingsvereisten voor informatiesystemen
    2. Beveliging inzake ontwikkelings- en ondersteuningsprocessen
    3. Testgegevens
  15. Relatie met leveranciers
    1. Beveiliging in het kader van de relatie met leveranciers
    2. Beheer van de dienstverlening
  16. Beheer van incidenten inzake informatiebeveiliging
  17. Informatiebeveiliging in het kader van bedrijfscontinuïteitsbeheer
  18. Conformiteit

Bijlage A: Lijst van gerelateerde Portima-documenten 13

 

 

1. Inleiding

Dit document geeft de algemene doelstellingen weer die Portima wil bereiken inzake informatiebeveiliging. Dit overkoepelende beleid geldt als leidraad voor alle andere documenten inzake informatiebeveiliging (zie lijst in bijlage A).

 

 

2.  Definities

Authenticatie: verschaffen van zekerheid dat een bepaalde eigenschap van een gebruiker correct is

Bedrijfscontinuïteit: proces en/of procedures om ononderbroken businesstransacties te garanderen

Bedrijfscontinuïteitsplan (BCP): een gedocumenteerd en getest plan om te beantwoorden aan een hoogdringendheid die de businesstransacties verstoort

Beschikbaarheid: het feit van toegankelijk te zijn of gebruikt te kunnen worden op verzoek van gemachtigde gebruikers

Betrokkene: “een geïdentificeerde natuurlijke persoon of natuurlijke persoon die kan worden geïdentificeerd, rechtstreeks of onrechtstreeks, door middelen die waarschijnlijk zullen worden gebruikt door de controleur of iedere andere natuurlijke of rechtspersoon, in het bijzonder aan de hand van een identificatienummer, locatiegegevens, een online identificator of van één of meerdere elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die persoon” (zoals gedefinieerd in de EU GDPR).

Certificate Policy (CP): specifieke regels die de toepasbaarheid van een certificaat aangeven voor een bepaalde gemeenschap en/of de klasse van toepassing met gemeenschappelijke beveiligingsvereisten.

Certification Practice Statement (CPS): een verklaring van de praktijken die een Certificeringsautoriteit toepast bij de uitgifte van certificaten.

COMDIR: Portima COMDIR is het Directiecomité van Portima

Confidentialiteit: eigenschap volgens dewelke informatie niet beschikbaar of bekend gemaakt wordt voor niet-gemachtigde personen, entiteiten of processen.

Functiescheiding: scheiding van rollen teneinde fraude of complot te vermijden.

Geanonimiseerde gegevens: gegevens zonder identificatie-informatie

Gevoelige informaticauitrusting: servers en informaticauitrusting (zoals routers, switches of firewalls) die zijn gehost in Portima’s datacenter (of in het datacenter van een door Portima aangestelde onderaannemer).

Inbreuk in verband met persoonsgegevens: “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens” (zoals gedefinieerd in de EU GDPR).

Informatiebeveiliging: behoud van confidentialiteit, integriteit, beschikbaarheid en niet- weerlegbaarheid van informatie

Integriteit: eigenschap waarbij de accuraatheid en volledigheid van gegevens wordt beschermd

Machtiging: het toekennen van een toegangsrecht aan een gebruiker, programma of proces.

Penetratietest: test waarbij de beoordelers de veiligheidsmaatregelen die van kracht zijn trachten te omzeilen

Persoonsgegevens: alle informatie over een Betrokkene (zoals gedefinieerd in de EU GDPR).

Public Key Infrastructure (PKI): de hardware, de software, de mensen, het beleid en de procedures die nodig zijn om certificaten aan te maken, te beheren, te verspreiden en in te trekken. Een PKI is gebaseerd op cryptografie met een openbare sleutel.

Risicobeoordeling: proces gebruikt ter identificatie en beoordeling van risico’s en hun mogelijke impact.

Toegangscontrole: heeft tot doel te verzekeren dat de toegang tot de activa toegelaten en beperkt is op basis van business- en veiligheidsvereisten.

Toestemming: “de instemming van de betrokkene” betekent elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene, door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt (zoals gedefinieerd in de EU GDPR).

Zakenpartner: Maatschappij, Makelaar of Consument die een contractuele overeenkomst met Portima is aangegaan met als doel gegevens te consulteren, te versturen, te ontvangen of te bewaren via Portima’s infrastructuur.

 

 

3.  Acroniemen

ADS

Access and Data Security

BCC

Brokers Contact Center

BCMS

Business Continuity Management System

BCP

Business Continuity Plan (Bedrijfscontinuïteitsplan)

CBFA

Commissie voor het Bank-, Financie- en Assurantiewezen, vervangen door de FSMA op 1/4/2011

COMDIR

Directiecomité

CP

Certificate Policy

CPS

Certification Practice Statement

DPO

Data Protection Officer (Verantwoordelijke Gegevensbescherming)

FSMA

Financial Services and Markets Authority

GDPR

General Data Protection Regulation (Algemene Verordering Gegevensbescherming

of AVG)

IT

Information Technology

KPI

Key Performance Indicators

NDA

Non Disclosure Agreement (Geheimhoudingsovereenkomst)

PKI

Public Key Infrastructure

SLA

Service Level Agreement (Overeenkomst inzake het niveau van dienstverlening)

SO

Security Officer

 

 

4.  Structuur

Dit document is gestructureerd overeenkomstig de ISO/IEC 27002:2013 standaard.

 

 

5.  Beleid inzake informatiebeveiliging

 

5.1.  Strategie inzake informatiebeveiliging

Het COMDIR van Portima wil garanderen dat zijn informatiebeveiliging voldoet aan de wettelijke vereisten en aan de verwachtingen van zijn zakenpartners.

Portima’s informatiebeveiliging is pragmatisch en gericht op reële en concrete behoeften gebaseerd op risicobeoordelingen met inbegrip van een impactbeoordeling van de gegevensbescherming.

Het onderhavige beleid inzake informatiebeveiliging wordt aangevuld met een lijst van documenten, beschikbaar in bijlage A.

Het COMDIR van Portima herziet het beleid inzake informatiebeveiliging éénmaal per jaar, of vroeger indien er significante wijzigingen zijn, om de relevantie, adequaatheid en doeltreffendheid ervan blijvend te garanderen.

 

 

6.  Organisatie van de informatiebeveiliging

 

6.1.  Interne Organisatie

Portima stelt algemene taken en verantwoordelijkheden inzake informatiebeveiliging op en wijst deze toe, maar ook specifiek voor alle diensten die bijzondere beveiligingstaken en – verantwoordelijkheden vereisen door de aanstelling van Security Officers (SO) en van een Data Protection Officer (DPO).

De beschrijving van de taken en verantwoordelijkheden inzake informatiebeveiliging voorziet in de vereiste functiescheiding tussen de verschillende taken teneinde belangenconflicten of beveiligingstekortkomingen te vermijden.

Portima onderhoudt passende contacten met de autoriteiten inzake informatiebeveiliging en met speciale beveiligingsgroepen of andere professionele verenigingen waarvan de initiatieven inzake informatiebeveiliging een impact op Portima’s business kunnen hebben.

Van bij de start van elk project houdt Portima rekening met de informatiebeveiliging en ieder project stemt overeen met de Access and Data Security (ADS) Policy die verband houdt met het domein waartoe het project behoort.

 

6.2.  Mobiele toestellen en telewerk

Voor Portima-werknemers zijn de regels inzake telewerk gedocumenteerd in de “Collectieve arbeidsovereenkomst betreffende het telewerk”.

Het gebruik van mobiele toestellen is beschreven in de ADS Policy van elk domein, in geval er enige specificiteit is.

 

 

7.  Human Resources beveiliging

Iedere werknemer van Portima, iedere dienstverlener van Portima begrijpt het belang van de informatiebeveiliging en van de veiligheidsregels, krijgt de opleiding terzake en kan worden onderworpen aan administratieve sancties en strafrechtelijke vervolging wanneer hij/zij een veiligheidsbeleid of -procedure schendt, ongeacht of dit door onachtzaamheid of met kwade bedoelingen gebeurt. Iedere werknemer of (van) iedere aangestelde dienstverlener verbindt er zich formeel toe de beveiligingsregels van Portima na te leven.

 

 

8.  Activabeheer

 

8.1.  Verantwoordelijkheid inzake activa

De belangrijkste hardware en software van Portima is opgelijst in een Portima-inventaris.

De IT-infrastructuur, met inbegrip van bestanden en databases, bevindt zich in de beveiligde productie-omgeving in de gebouwen van Portima (of in die van de door Portima aangestelde onderaannemers).

Iedere werknemer is verantwoordelijk voor zijn/haar fysieke toestellen (pc, smartphone, enz.) en voor de naleving van de gepaste confidentialiteit van de informatie die op deze toestellen lokaal opgeslagen is.

Alle informatie die belangrijk is voor Portima dient te worden gekopieerd op interne servers teneinde de constante beschikbaarheid ervan te garanderen.

 

8.2.  Informatieclassificatie

Elk document wordt geclassificeerd als openbaar, intern of confidentieel op basis van de aard van de informatie die het document bevat.

De vertrouwelijke documenten omvatten:

  • De informatie die voor Portima strategisch is.
  • De informatie die verband houdt met de door Portima beheerde verzekeringsgegevens.
  • De informatie die Persoonsgegevens bevat zoals gedefinieerd in de GDPR. Deze gegevens betreffen de intern verzamelde gegevens (zij betreffen met name de werknemers van Portima, de kandidaten, de dienstverleners), de gegevens van de klanten van de makelaars en de gegevens die voortkomen uit de door Portima beheerde verzekeringsdocumenten.

Voor de verwerkingen van de Persoonsgegevens waarvoor Portima verantwoordelijk is, verstrekt Portima op duidelijke wijze de volgende informatie:

  • De identiteit en de contactgegevens van de verwerkingsverantwoordelijke.
  • De contactgegevens van de Data Protection Officer.
  • De verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking
  • De ontvangers of categorieën van ontvangers van de persoonsgegevens.
  • De bewaringstermijn van de Persoonsgegevens of, indien dit niet mogelijk is, de criteria die worden gebruikt om deze termijn te bepalen.
  • Alle rechten van de betrokken personen die samenhangen met de verwerking van hun Persoonsgegevens (bevestiging van de verwerking van de Persoonsgegevens, toegang tot deze gegevens, de rectificatie, de wissing, de beperking van de verwerking en de overdraagbaarheid van deze gegevens).

Standaard worden alle documenten die aan Portima toebehoren beschouwd als “voor intern gebruik”, behalve wanneer zij geclassificeerd zijn als “openbaar” en gepubliceerd kunnen worden, of als “confidentieel” en dus het label “confidentieel” meekrijgen en enkel voor gemachtigde gebruikers beschikbaar zijn.

De informatiebescherming en de integriteit ervan worden behandeld in de ADS Policy van elk domein.

De beschikbaarheid van de informatie wordt behandeld in de BCMS Policy.

 

 

9.  Toegangscontrole

Als algemene regel geldt dat Portima’s lokalen en informatie enkel toegankelijk zijn voor gemachtigde personen.

Enkel gemachtigde gebruikers hebben toegang tot alle informatie en gegevens die toebehoren aan makelaars en verzekeringsmaatschappijen – zie ADS Policy van elk domein.

Portima is niet alleen verantwoordelijk voor de toegangscontrole voor haar werknemers (zie Internal Tools ADS Policy), maar ook – wat belangrijker is – voor de toegangscontrole voor haar klanten voor wie Portima gedurende meer dan een decennium opmerkelijke vaardigheden heeft ontwikkeld inzake de uitgifte en het beheer van elektronische certificaten en toegangscontrole.

 

 

10.  Cryptografische controles

Portima exploiteert een Public Key Infrastructure (PKI) voor de aanmaak van certificaten voor elektronische transacties via de Portima-netwerkinfrastructuur teneinde beveiligings- en vertrouwensdiensten aan te bieden ter ondersteuning van Portima’s zakenpartners. Voor meer bijzonderheden omtrent deze PKI, zie de Portima Certificate Policy (CP’s OID 1.3.6.1.4.1.10438.1.1.1).

Portima geeft ook PKI-certificaten uit aan klanten voor een sterke authenticatie tot de Portima-toepassingen (zoals MyBroker) en voor de elektronische ondertekening van documenten in deze toepassingen. Voor meer bijzonderheden omtrent deze PKI, zie PortiSign Certificate Policies (CP’s OID 1.3.6.1.4.1.10438.3.2.1 en 1.3.6.1.4.1.10438.3.2.4.10.1).

 

 

11.  Fysieke veiligheid en omgevingsveiligheid

De Portima-lokalen zijn enkel toegankelijk voor gemachtigde werknemers die gebruik maken van de ter beschikking gestelde toegangsbadges of voor begeleide bezoekers.

Alle toegangen door middel van de toegangsbadges worden geregistreerd.

Alle lokalen zijn beveiligd met een alarm van 21u tot 6u30 op maandag tot vrijdag en heel het weekend tot 6u30 maandagochtend. Enkel gemachtigd personeel heeft in deze tijdsperiodes toegang, na de dienst voor alarmbewaking te hebben verwittigd.

 

11.1.  Beveiligde zones

De lokalen waarin de verwerkingsmiddelen en de databanken voor intern en confidentieel gebruik zijn gegroepeerd, zijn als volgt aangeduid en beveiligd:

  • Enkel gemachtigd personeel heeft een toegangssleutel tot deze lokalen.

  • In deze zones is het alarm steeds geactiveerd wanneer er niemand aanwezig is. Het alarm dient te worden uitgeschakeld alvorens binnen te gaan.

  • In de beveiligde productieomgeving in de Portima-lokalen zijn bewegingsdetectoren en camera-opnamesystemen geïnstalleerd.

 

11.2.  Uitrustingsbeveiliging

Gevoelige informatica-apparatuur wordt geïnstalleerd overeenkomstig state-of-the-art regels om onderbrekingen te voorkomen ten gevolge van problemen met de elektriciteitsvoorziening of fysieke dreigingen, zoals een waterlek, oververhitting of brand.

Gevoelige informatica-apparatuur wordt ontdubbeld in externe locaties met een beveiliging die gelijk is aan of groter dan die van de primaire locatie.

 

 

12.  Operationele beveiliging

De IT-transacties zijn dusdanig georganiseerd en gedocumenteerd om de verwachte performantie voor elk domein te verwezenlijken.

Eén van de hoofddoelstellingen is de bedrijfscontinuïteit en er werd een gedetailleerd bedrijfscontinuïteitsbeleid uitgewerkt (zie bijvoegsel A).

Dit bedrijfscontinuïteitsbeleid heeft niet alleen tot doel potentiële dreigingen voor Portima en de mogelijke impact op zijn commerciële transacties te identificeren, maar ook om organisatorische weerbaarheid te voorzien met het oog op een doeltreffende respons.

 

12.1.  Operationele procedures en verantwoordelijkheden

Het beheer van incidenten en verzoeken is gebaseerd op best practices. Enerzijds kunnen de makelaars het Brokers Contact Center (BCC) opbellen waar elk ticket geregistreerd en opgevolgd wordt tot het afgesloten wordt. Anderzijds is er een systeemmonitoring en incidenten leiden automatisch tot een alarm met indien nodig een reactie en een escalatie.

Het proces inzake Problem Management (probleembeheer) is gericht op de onderliggende oorzaak van (recurrente) incidenten met het oog op een kwaliteitsverbetering van de dienst.

Het proces inzake Change Management (beheer van veranderingen) maakt veranderingen aan de verschillende omgevingen mogelijk. De bedoeling bestaat erin wijzigingen toe te laten, te controleren en te auditeren en ze zodanig te implementeren dat de eraan gerelateerde risico’s beperkt zijn.

Wijzigingen inzake informatiebeveiligingsregels vereisen een specifieke aandacht. Ze moeten worden voorgesteld door Portima’s Security Officers en goedgekeurd door Portima’s COMDIR.

Capacity Management (capaciteitsbeheer) is gebaseerd op de monitoring van het systeemgebruik en de systeemcapaciteit. Het houdt rekening met zowel korte- als langetermijnvoorspellingen en verzekert dat de huidige en toekomstige capaciteits- en performantieaspecten van de businessvereisten op een kostenefficiënte manier voorzien zijn.

Portima heeft naar zijn klanten toe 7 engagementen gepubliceerd en de gerelateerde Key Performance Indicators (KPI’s) worden maandelijks gemeten.

 

12.2.  Bescherming tegen kwaadaardige codes

De informatieverwerking en bestanden zijn beschermd tegen virussen en kwaadaardige codes. Voor de geïmplementeerde antivirusoplossing zijn er automatische updates overeenkomstig de aanbevelingen van de leverancier en ze worden opnieuw beoordeeld ingeval van een infectie of dreiging.

Iedereen dient op de hoogte te zijn van de veiligheidsmaatregelen tegen computervirussen. Het is strikt verboden het antivirusprogramma te desactiveren. Elk probleem dient onmiddellijk gemeld te worden aan het Platform Team.

De toegang tot internet dient gebruikt te worden als ‘een zorgzaam en redelijk persoon’ en valt onder de verantwoordelijkheid van de werknemer of de leverancier van de dienst. We vragen met aandrang geen niet-professionele applicaties, die operationele problemen in onze systemen alsook tot verlies van performantie kunnen leiden, te installeren.

Sensibiliseringsacties (bijv. online) worden regelmatig georganiseerd. Iedereen is verplicht deze te volgen.
 

12.3.  Backup

Van alle gegevens zijn er backups, overeenkomstig de ADS Policy van het domein in kwestie. Alle documenten worden digitaal bewaard.

Enkel speciale documenten die juridisch belangrijk zijn (bv. manuele handtekening) worden als hardcopy in een safe bewaard.

 

12.4.  Logging en monitoring

De logging en monitoring worden beschreven in de ADS policy van elk domein.

 

12.5.  Beveiliging van systeembestanden

Portima’s System Engineers hebben een grondige kennis van de Operating Systems en de software die ze gebruiken. Bovendien blijven zij op de hoogte van nieuwe versies, technologische evoluties en patches.

 

12.6.  Beheer inzake technische kwestbaarheid

Wat software betreft volgen Portima’s System Engineers de door de leveranciers aanbevolen patches op en installeren ze deze indien nodig op een regelmatige basis. Bovendien wordt er eenmaal per jaar een penetratietest uitgevoerd door een externe specialist.

 

12.7.  Audit

Portima voert jaarlijks een risico-analyse uit. Verdere impactbeoordelingen of audits over databeveiliging kunnen worden uitgevoerd wanneer het COMDIR dit nodig acht op basis van de resultaten van de risico-analyse.

 

 

13.  Communicatiebeveiliging

Confidentiële informatie van Portima of informatie voor intern gebruik van Portima wordt enkel uitgewisseld tussen personen en systemen die positief geïdentificeerd en geauthenticeerd zijn. Iedere bij de communicatie betrokken partij verbindt zich ertoe de vereisten inzake de beveiliging van de uitgewisselde informatie na te leven.

 

13.1.  Beheer inzake netwerkbeveiliging

IT-netwerken bevinden zich geïsoleerd in gecontroleerde zones. De informatie-uitwisseling tussen deze zones gebeurt via beveiligde kanalen.

 

13.2.  Informatie-overdracht

De beveiliging van de informatie-overdracht die nodig is voor de werking van Portima’s diensten is beschreven in de ADS Policy van elk domein.

 

 

14.  Ontwikkeling en aanschaf van informatiesystemen

De systeemontwikkeling en –aanschaf zijn gebaseerd op best practices inzake IT-beheer.

 

14.1.  Beveiligingsvereisten voor informatiesystemen

Van meet af aan wordt rekening gehouden met de beveiligingsvereisten, gebaseerd op de risico’s, voor informatiesystemen.

 

14.2.  Beveliging inzake ontwikkelings- en ondersteuningsprocessen

Ontwikkelingen worden getest en defecten worden opgevolgd tot ze zijn gecorrigeerd.

Het proces inzake versiebeheer is strikt en elke versie of patch gaat van de ontwikkelingsomgeving naar de testomgeving en de acceptatieomgeving alvorens te worden aanbevolen voor inproductiestelling.

Alle bronnen worden bewaard in een centraal opslagsysteem en wijzigingen worden getraceerd.

 

14.3.  Testgegevens

In de loop van de tijd zijn er een specifiek aantal geanonimiseerde testscenario’s verzameld die worden gebruikt voor systematische testen. Nieuwe geanonimiseerde scenario’s kunnen hieraan toegevoegd worden.

 

 

15.  Relatie met leveranciers

Portima werkt enkel samen met bedrijven die een goede reputatie genieten.

 

15.1.  Beveiliging in het kader van de relatie met leveranciers

Portima’s dienstverleners verbinden er zich formeel toe om Portima’s Information Security Policy en alle aspecten van de ADS Policy van het domein in kwestie te respecteren. Dit is opgenomen in alle contracten. In precontractuele besprekingen die confidentiële informatie omvatten, wordt een geheimhoudingsovereenkomst (NDA) ondertekend.

 

15.2.  Beheer van de dienstverlening

Contracten inzake dienstverlening omvatten een Service Level Agreement (SLA) clausule. Voor contracten waarbij tijd en materiaal een rol spelen, is er een kwaliteitsmonitoring.

 

 

16.  Beheer van incidenten inzake informatiebeveiliging

Veiligheidsincidenten worden getraceerd en Portima’s Security Officers analyseren ze teneinde te beslissen over de aangewezen escalatie of reactie, met inbegrip van een kennisgeving aan de bevoegde autoriteiten of geïmpacteerde personen, indien dit relevant is.

De nadien opgestelde incidentverslagen worden geanalyseerd om een actieplan te bepalen teneinde de waarschijnlijkheid dat een dergelijk incident zich opnieuw voordoet of toekomstige gevolgen van een dergelijk incident te beperken.

 

 

17.  Informatiebeveiliging in het kader van bedrijfscontinuïteitsbeheer

De ADS Policy van het domein blijft van kracht tijdens crisisperiodes en volgt de procedures inzake herstel van de bedrijfscontinuïteit (cfr. Business Continuity Policy voor meer details over bedrijfscontinuïteitsbeheer).

 

 

18.  Conformiteit

Het beleid inzake informatiebeveiliging van Portima voldoet aan de volgende vereisten:

  • Juridische circulaire van de FSMA (CBFA-2009-17 van 7 maart 2009)
  • Bijlage bij de juridische circulaire van de FSMA (CBFA-2009-17-1 van 7 maart 2009)
  • EU General Data Protection Regulation (GDPR) en is gebaseerd op de volgende standaarden:
  • ISO/IEC 22301:2019
  • ISO/IEC 27001:2013
  • ISO/IEC 27002:2013

Portima’s Compliance Officer (conformiteitsverantwoordelijke) dient na te gaan of de policies:

  • regelmatig worden bijgewerkt en/of herzien
  • gecommuniceerd worden naar de betrokken werknemers / betrokken derden
  • overeenstemmen met de doelstellingen inzake informatiesystemen, bepaald door het COMDIR

en rapporteert aan het COMDIR iedere afwijking of niet-conformiteit met betrekking tot dit beleid teneinde een permanente verbetering na te streven.

Portima kijkt regelmatig de wetten en regelgevingen na teneinde te identificeren welke van toepassing zijn op zijn business en te verzekeren dat deze nageleefd worden.

 

 

Beleid inzake informatiebeveiliging van Portima

 

Bijlage A: Lijst van gerelateerde Portima-documenten

 

Bestaande documenten:

 

  • Brio Access & Data Security (ADS) Policy
  • MyBroker ADS Policy
  • Portima Connect ADS Policy
  • Supporting Apps ADS Policy
  • PKI Operations ADS Policy
  • Archiving Policy BRIO4YOU PortiSign
  • Business Continuity Strategy
  • Portima Organisation of Security
  • IT Operation Controls
  • Convention collective de travail concernant le télétravail
  • Collectieve arbeidsovereenkomst betreffende het telewerk
  • Portima Certificate Policy (CP)
  • Portima Certification Practice Statement (CPS)
  • PortiSign CP for Advanced certificates
  • PortiSign CPS for Advanced certificates
  • PortiSign Policies and Statements - Users CA 10 and Users CA 11 - Qualified Certificates - Certificate Policy
  • PortiSign Policies and Statements - Users CA 10 and Users CA 11 - Qualified Certificates - Certificate Practice Statement
  • PortiSign Policies and Statements - Users CA 10 and Users CA 11 - Qualified Certificates - PKI Disclosure Statement
  • Contracts with hosting partnersModaliteiten voor de hosting van gegevens
  • Portima Beleid voor de bescherming van persoonsgegevens van kandidaten
  • Portima Beleid voor de bescherming van persoonsgegevens van werknemers
  • Portima Beleid voor de bescherming van persoonsgegevens van dienstverleners
  • Portima Procedures voor de naleving van de GDPR-verplichtingen tegenover kandidaten, werknemers en dienstverleners
  • Portima Procedures voor de naleving van de GDPR-verplichtingen tegenover makelaars, hun werknemers en hun klanten
  • Localisatie van de door Portima gekozen toeleveranciers