Veiligheid heeft onze hoogste prioriteit

Webpower helpt klanten over de hele wereld. We houden ons dan ook dagelijks bezig met de bescherming, beveiliging en betrouwbaarheid van klantgegevens. We leven in een tijd waarin datalekken steeds vaker een bedreiging vormen. Daarom doen we alles wat nodig is om de gegevens van onze klanten optimaal te beschermen.

Op deze pagina lees je alles wat jij moet weten over onze ISO certificering, beschikbaarheid, productbeveiliging, infrastructuur en back-up- en herstelmogelijkheden. Ook lees je over ons OSI-model met 7 lagen. Kan je niet vinden wat je zoekt? Aarzel niet om contact met ons op te nemen!


Webpower is gecertificeerd volgens ISO 9001:2015 en ISO 27001:2013. Voor onze klanten betekent de ISO 27001 certificering dat we voldoen aan duidelijk gedefinieerde technische en op veiligheid gebaseerde normen als ook vastgelegde serviceniveau voor onze diensten. De basis voor de verdere ontwikkeling van onze interne ICT-beveiligingsnormen en de continue aanpassing aan veranderende kaders en taken, wordt gevormd door reguliere interne controle van de processen en bepalingen die in ISO 27001 zijn vastgelegd.

De informatie van onze klanten in Europa wordt in Nederland opgeslagen. De informatie van onze klanten in China slaan we op in China. Elk continent verdient zijn eigen veilige haven.

Webpower schakelt regelmatig externe partijen in om code- en beveiligingsaudits (zogenaamde ‘Pen Tests’) uit te voeren. Voorbeelden daarvan zijn black hat- en white hat-penetratietests. De externe partij zoekt naar kwetsbaarheden en probeert toegang te krijgen. De tests worden gebruikt om te controleren of onze oplossing zichzelf inderdaad weet te beschermen tegen de nieuwste technieken die door binnendringers worden gebruikt.

Altijd beschikbaar

  • Het Webpower platform is nagenoeg altijd beschikbaar en erg betrouwbaar: we bieden een gegarandeerde uptime van 99,7%.
  • We maken meerdere online back-ups van de gegevens van klanten, zodat we zeker weten dat we jouw gegevens nooit kwijtraken.
  • Ons operationele team houdt het gedrag van ons platform en van onze toepassing uur in, uur uit, jaar in, jaar uit in de gaten.
  • Je campagnes zijn voor ons net zo belangrijk als voor jou. Wanneer we gepland onderhoud uitvoeren of als er sprake is van prestatieverslechteringen of onderbrekingen in onze diensten, zullen we je daarover informeren via onze statuswebsite. We zorgen dat je continu op de hoogte blijft. Wanneer er sprake is van een probleem worden dit soort berichten automatisch op je aanmeldscherm weergegeven. Je kunt je ook abonneren op updates, zodat je deze automatisch in je inbox ontvangt.

Beveiliging van producten

  • Jouw sessies op ons platform worden altijd beschermd door krachtige versleutelingsalgoritmen (TLS 1.x). Daardoor zijn we er zeker van dat afluisteracties en man-in-the-middle-aanvallen niet mogelijk zijn.
  • Web Application Firewall-technologieën (WAF) detecteren en blokkeren aanvallen voordat ze de voordeur bereiken.
  • Onze externe Distributed Denial of Service-diensten (DDoS) beschermen je website en toegang tot je producten tegen aanvallen die bedoeld zijn om toegang te blokkeren.
  • Naast gewone gebruikers hebben bepaalde medewerkers van Webpower toegang tot abonnementen van klanten en tot andere centrale beheerfuncties die nodig zijn om onze klanten te kunnen helpen. De Software-as-a-Service-omgeving (SaaS) van het Webpower platform hanteert voor dit soort toegang een ander authenticatie- en autorisatieplan dan voor reguliere gebruikers.
  • Elke medewerker van Webpower die extra toegangsrechten krijgt, ontvangt een persoonlijk PKI-certificaat dat op zijn eigen computer moet worden geïnstalleerd. Elke keer wanneer de medewerker toegang tot het platform wilt, valideert het certificaat het verzoek om de authenticatie van de medewerker.
  • Wanneer geen certificaat wordt gedetecteerd, wordt een sms naar het geregistreerde mobiele telefoonnummer van deze medewerker verstuurd. Dat gebeurt bijvoorbeeld wanneer de medewerker het product op externe apparaten demonstreert. Het sms bericht bevat een eenmalige en tijdelijke toegangscode die voor het aanmelden kan worden gebruikt.
  • Informatie over de abonnementen, het toegangsniveau en de centrale beheerfuncties waar een medewerker van Webpower toegang toe heeft, worden centraal beheerd. Alleen operationele teams kunnen toegangsrechten verlenen of intrekken.

Beveiliging van de infrastructuur en het datacentrum

  • De Europese gegevens van Webpower worden gehost door externe datacenters in Nederland. De toegang tot deze datacenters wordt strikt en dag en nacht bewaakt door medewerkers op locatie. Ook worden er biometrische scans en videobewaking ingezet. De datacentra zijn gecertificeerd volgens SSAE-16 SOC II en ISO 27001.
  • Een Intrusion Prevention Systems (IPS) beschermt tegen binnendringen, fungeert als ‘poortwachter’ en controleert iedereen die via een netwerk toegang tot het platform wil. Wanneer netwerkverkeer niet aan de vooraf vastgestelde regels voldoet, zal het IPS voorkomen dat dit verkeer verder komt. Webpower beschikt over een redundant IPS met meerlaagse toegangscontrole.
  • Responsief proces voor incidentbeheer. We beschikken over eigen systemen die dag en nacht afwijkingen doorgeven aan onze beveiligingsteams en operationele teams, zodat beveiligingsproblemen worden opgelost zodra ze zich voordoen.
  • De software-afdeling van Webpower is verantwoordelijk voor het bouwen en onderhouden van onze SaaS-oplossing en de bijbehorende infrastructuur. Andere afdelingen binnen Webpower kunnen alleen via de SaaS-toepassing bij informatie die in de SaaS-omgeving is opgeslagen.
  • Alleen de leden van het operationele team dat verantwoordelijk is voor de dagelijkse activiteiten met betrekking tot de SaaS-toepassing en de benodigde infrastructuur hebben directe toegang tot gegevens binnen het platform.
  • De ontwikkelingsteams, die verantwoordelijk zijn voor de core-ontwikkeling en voor klantspecifieke oplossingen, hebben geen toegang tot het productieplatform. Ze hebben beperkte toegang tot omgevingen voor (acceptatie)tests en tot speciale registratiesystemen voor de productieomgeving.

Back-up en herstel

  • Er is een speciaal back-up- en herstelbeleid ter bescherming van gegevens. Binnen Webpower wordt dagelijks, wekelijks en maandelijks een combinatie van volledige en incrementele back-ups gemaakt. Dit stelt ons in staat om gegevens tot zes maanden terug te herstellen. Desgewenst kunnen de gegevens voor onze afzonderlijke klanten worden hersteld.
  • De back-up wordt gekloond en om veiligheidsredenen op een andere fysieke locatie opgeslagen dan op de locatie van de originele back-up. Wanneer een calamiteit de fysieke locatie van de back-up treft, is de tweede back-up veilig op een andere locatie.
  • Op dit moment kan elke klant alle informatie voor onbeperkte tijd op het platform van Webpower opslaan. Alle gegevens worden bewaard en de integriteit wordt gehandhaafd.
  • Alle kritieke onderdelen van Webpower (databases, servers en back-enddiensten) zijn redundant beschikbaar en kennen meerdere fail-over versies om uitval door een enkele storing te voorkomen. Onze back-upconfiguratie garandeert dat onze klanten na een grootschalig incident snel bij hun informatie kunnen.
  • Vanwege de fail-over bestaan componenten uit minimaal twee delen. Wanneer het ene deel het laat afweten, hebben de resterende delen het vermogen om de werklast van het falende deel over te nemen.

Beveiliging van informatietechnologie

Onze SaaS maakt volledig gebruik van de integratiemogelijkheden in de cloud en werkt niet met hard- en software bij klanten. Daardoor is de dienst voor iedereen beschikbaar.

Dankzij de juiste procedures en de garantie dat de toegang tot het Webpower platform door geautoriseerde gebruikers goed wordt geconfigureerd en gecontroleerd, wordt het risico op misbruik door bevoegde gebruikers tot een minimum beperkt. Mogelijk misbruik van het Webpower platform door onbevoegde gebruikers, met name wanneer ze afkomstig zijn van onbekende bronnen, moet worden voorkomen. Daarvoor zijn echter verschillende maatregelen nodig. Om het risico dat een deel van onze oplossing door onbevoegde personen, systemen of binnendringers wordt gebruikt te minimaliseren, zijn verschillende maatregelen getroffen om de beveiliging op alle niveaus te versterken.

OSI-model: 7 lagen

Op basis van het ‘OSI’-model met 7 lagen zijn verschillende voorzorgsmaatregelen getroffen op elk niveau. Mogelijke binnendringers zijn zich bewust van dit model en vallen een toepassing aan om te zien of er openingen op een van de niveaus aanwezig zijn.

Wanneer de binnendringer toegang tot een bepaald niveau heeft gekregen, wordt deze opening vaak uitgebuit om toegang tot andere niveaus te krijgen, zodat op alle niveaus toegang en controle wordt verkregen.

Elke aanval begint met het verzamelen van informatie. Het is de bedoeling om informatie te vinden die iets vertelt over de technologie die op elk niveau wordt gebruikt, zodat een aanvalsstrategie kan worden gemaakt. Het is dan ook zaak om zo weinig mogelijk informatie te onthullen.

OSI 7 layer modelNetwerk (laag 1,2 en 3)

Door de cloudmogelijkheden van vandaag de dag is alles verbonden via internet. Het netwerk vervoert verzoeken en antwoorden waar dan ook. Bovendien is het het basale toegangspunt voor onze SaaS-oplossing en de eerste beveiliging op dit niveau.

Een Intrusion Prevention Systems (IPS) fungeert als ‘poortwachter’ en controleert iedereen die toegang tot het Webpower platform wil. Wanneer netwerkverkeer niet aan de vooraf vastgestelde regels voldoet, zal het IPS voorkomen dat dit verkeer verder komt. Webpower heeft verschillende IPS’en geïmplementeerd vanwege fail-over/redundantie en meerlaagse toegangscontrole.

Hardware en besturingssysteem (laag 4 en 5)

Onze cloudarchitectuur bestaat uit een groot aantal fysieke apparaten en bijbehorende besturingssystemen (laag 4 en 5). De beveiliging van deze niveaus wordt beheerd door ze te standaardiseren middels samenwerking met bewezen leveranciers van hardware en besturingssystemen. De goedgekeurde leveranciers voeren regelmatige patches en updates voor hun systemen uit om up-to-date te blijven. SysOps volgen de beveiligingsadviezen van leveranciers op de voet en passen deze aanbevelingen zo nodig toe.

Standaardsoftware en -hulpmiddelen (laag 5,6 en 7)

Moderne software, zoals de SaaS van Webpower, gebruiken niet alleen maatwerktools, maar ook algemeen beschikbare componenten (standaardsoftware en -hulpmiddelen; laag 5,6 en 7). Hoewel deze componenten breed worden ingezet, kunnen ze wel risico’s met zich meebrengen. Wanneer leveranciers/ontwikkelaars hun componenten bijwerken, zullen de SysOps deze updates een voor een analyseren, waarna ze de kwetsbare component zo nodig vervangen.

Er vindt veel interne en externe communicatie plaats tussen de verschillende componenten binnen deze OSI-lagen. De communicatie maakt zo nodig gebruik van krachtige versleutelingsalgoritmen (TLS 1.x) om te zorgen dat afluisteracties en man-in-the-middle-aanvallen niet mogelijk zijn.

De eigen software van Webpower (laag 6 en 7)

Het SaaS-aanbod van Webpower (laag 6 en 7) wordt volledig intern ontwikkeld. Tijdens het ontwikkelingsproces wordt de software herhaaldelijk getest met behulp van verschillende testtechnieken. Onze ontwikkelingsmethode, die is gebaseerd op het testproces, garandeert dat de software naar behoren blijft werken – ook als er wijzigingen worden doorgevoerd. We gebruiken de OWASP-testrichtlijn als basis voor het definiëren van beveiligingstests.
tests.



Heb je nog vragen over onze veiligheidsmaatregelen?

Twijfel niet om contact met ons op te nemen, we horen graag van je!