Trust Center
NIS2
Xelion en de Cyberbeveiligingswet (Cbw)
Xelion valt onder de categorie ‘belangrijke’ entiteiten. Dit betekent dat de Cyberbeveiligingswet van toepassing is op het product en de dienstverlening van Xelion. Al in 2021 zijn wij gestart met het nemen van maatregelen tegen informatiebeveiligingsrisico's door een ISO 27001-gecertificeerd Information Security Management System (ISMS) te hanteren.
Belangrijke onderdelen van het ISMS zijn het uitvoeren van risicoanalyses, leveranciersbeoordelingen, continue awareness-trainingen, PEN-testing, vulnerability management en het hebben van een volwassen incidentregistratie- en responsproces.
Deze onderdelen vormen ook een groot deel van de fundering van de Cyberbeveiligingswet, waar Xelion al grotendeels aan voldoet. Desalniettemin werken wij er hard aan om ruim voordat de richtlijn wordt omgezet naar wetgeving volledig te voldoen aan de Cyberbeveiligingswet. Heb je als klant, partner of leverancier vragen of opmerkingen? Laat het ons weten zodat we je kunnen helpen of voorzien van meer informatie.
Business Continuity
Voorbereid zijn op alle denkbare risico’s
De continuïteit van onze dienstverlening is van cruciaal belang. Als een klant niet kan bellen of gebeld kan worden door een technisch probleem, heeft dat grote gevolgen. Naast technische risico’s zijn er ook organisatorische risico’s. Of het nu gaat om techniek of strategie, wij hebben de risico’s geïnventariseerd en draaiboeken klaarliggen voor wanneer een van deze risico’s werkelijkheid wordt.
Deze risico’s zijn niet alleen op papier vastgelegd, maar er worden ook simulaties uitgevoerd van denkbare en ondenkbare scenario’s om te bevestigen dat de continuïteit gewaarborgd blijft.
Awareness
Geen veiligheid zonder bewustzijn
Onze awareness-trainingen gaan veel verder dan het simpelweg vergrendelen van je pc, het vermijden van USB-sticks en het gebruik van sterke wachtwoorden mét MFA. Wij ‘hacken’ onszelf regelmatig om aan te tonen welke risico’s er kunnen zijn binnen onze organisatie en producten. Naast voorlichting over mogelijke risico’s maken we gebruik van een e-learningprogramma. Op basis van een gap-analyse weten we precies waar onze kennis voldoende is en waar extra aandacht nodig is.
Dit e-learningprogramma bevat modules die voor elke afdeling interessant zijn. Denk bijvoorbeeld aan het detecteren van vishing en deepfakes voor onze supportafdelingen.
Privacy Statement
Doe wat je zegt, en zeg wat je doet
Xelion verwerkt veel gegevens via verschillende media, zoals onze website, mobiele apps en desktop-apps. In onze privacyverklaring leggen we transparant uit welke gegevens we verwerken en wat het doel van deze verwerking is.
Als er nieuwe functies aan onze producten worden toegevoegd, passen we onze privacyverklaring hierop aan zodat je precies weet welke privacygevoelige gegevens wij verwerken.
Authenticatie
Wij beschermen je kostbare communicatiegegevens
Xelion gebruikt een managementtool waarmee meerdere servers en tenants beheerd kunnen worden. Deze tool biedt toegang tot de omgeving van jouw klant of jouw eigen omgeving. Naast een sterk wachtwoord is tweefactorauthenticatie (2FA) verplicht om in te kunnen loggen op de managementtool. We loggen precies wie, waar en wanneer heeft ingelogd. Voor onze mobiele apps is ook een tweede factor vereist om veilig in te loggen. Daarnaast bieden wij een OpenID-koppeling voor Microsoft Entra ID aan wanneer je 2FA via Microsoft 365 wilt instellen.
Wachtwoordbeleid
Beleid is mooi, maar maatregelen beter
Binnen Xelion geldt een streng wachtwoordbeleid. Alle medewerkers en systemen moeten aan dit beleid voldoen. Ook van onze leveranciers verwachten wij dat zij zich aan ons beleid houden. Een beleid alleen biedt echter geen garanties. Daarom nemen wij technologische maatregelen om te voorkomen dat onveilige wachtwoorden gebruikt kunnen worden.
Bug Bounty Programma
Waardering voor gevonden kwetsbaarheden
Op basis van Responsible Disclosure hebben wij een kleinschalig Bug Bounty-programma. Ethische hackers kunnen kwetsbaarheden bij ons melden. Op basis van kans en impact wordt een passende beloning toegekend.
Certificeringen
NEN-EN-ISO/IEC 27001:2023 nl
Xelion heeft een NEN- en ISO 27001-gecertificeerd Information Security Management System (ISMS). In onze Verklaring van Toepasselijkheid geven we aan welke risico’s we mitigeren en met welke maatregelen.
Belangrijke ISMS-processen zijn onder andere:
- Incidentmanagement
- Risicomanagement
- Interne audits
- Assetmanagement
Vulnerability Management
Dagelijkse vulnerability scanning
Wij scannen dagelijks onze belangrijkste assets op vulnerabilities. Zodra kwetsbaarheden worden gevonden, worden wij onmiddellijk geïnformeerd en nemen wij de benodigde maatregelen om risico’s te beperken.
Phishing Simulaties
Herkennen van nep e-mails
Phishing blijft een belangrijke oorzaak van datalekken. Ondanks maatregelen zoals detectie en signalering blijft phishing een uitdaging voor elke organisatie. Daarom voeren wij regelmatig phishing-simulaties uit om medewerkers bewust te maken van de gevaren.
Secret Share
Versleutelde informatieoverdracht
Het verzenden van gevoelige informatie, zoals toegangsgegevens, mag nooit onversleuteld gebeuren. Voor dergelijke gegevens gebruiken wij onze Secret Share-tool, waarbij gegevens een houdbaarheid hebben tussen 5 minuten en 1 week. Na eenmalig lezen kunnen de gegevens vernietigd worden en zijn ze met een extra wachtwoord te beveiligen. Onze Secret Share-tool is ook beschikbaar voor externe gebruikers via secretshare.xelion.com.
PEN Testing
Digitaal inbreken voor gevorderden
Regelmatig voeren wij PEN-tests uit om kwetsbaarheden in producten of diensten te identificeren. Deze testen bevestigen onze security-by-default en privacy-by-default methodiek. We moedigen klanten en partners aan om zelf ook PEN-tests uit te voeren. Dit moet echter in overleg gebeuren zodat wij kunnen faciliteren waar nodig.
AVG / GDPR
General Data Protection Regulation
Xelion houdt zich strikt aan de AVG. Wij bieden transparante informatie over gegevensverwerking, de grondslag daarvoor en voldoen aan de rechten van betrokkenen. Wij nemen technische en organisatorische maatregelen om risico’s te beperken, zoals risicoanalyses en privacytrainingen voor onze medewerkers.
Security Officer
Heb je vragen of opmerkingen over onze technologische maatregelen, privacy of andere security-gerelateerde onderwerpen? Neem gerust contact met ons op!
E-mail: securityofficer@xelion.com
Telefoon / WhatsApp: +31 152 511 411