Over ons
Merlin helpt haar klanten met praktische softwaretools voor het voorbereiden op, ondersteunen tijdens en verbeteren van het crisismanagement.
Om dit te kunnen doen, moeten we ervoor zorgen dat uw data veilig is. Het beveiligen van uw data is een van onze hoogste prioriteiten. We willen u graag helpen om onze aanpak te begrijpen.
Onze beveiliging is afgestemd op de ISO 27001 norm en wordt regelmatig gecontroleerd en beoordeeld door derde partijen.
Maatregelen zijn van toepassing op alle tijdelijke en vaste, interne en externe medewerkers en leveranciers die toegang hebben tot onze softwaretools, onze interne informatiesystemen en/of fysieke locaties.
Alvorens toegang wordt afgegeven voor systemen moeten medewerkers akkoord gaan met de geheimhoudingsverklaring, een achtergrondscreening doorstaan en een securitytraining bijwonen. Deze training omvat privacy en security onderwerpen, inclusief device security (BYOD), acceptabel gebruik, voorkomen van malware, fysieke beveiliging, dataprivacy, toegangsbeheer, wachtwoordbeheer en incidentrapportage.
Bij beëindiging van de werkzaamheden wordt alle toegang tot systemen onmiddellijk uitgeschakeld.
Tijdens het dienstverband moeten alle medewerkers minstens eenmaal per jaar hun kennis van privacy en security opfrissen. De medewerkers ondertekenen dat zij de informatiebeveiligingsbeleidsstukken hebben gelezen en zich daaraan zullen houden. Sommige medewerkers die extra toegang tot systemen of gegevens hebben, zoals beheerders en ondersteunend personeel, krijgen aanvullende, specifieke training over privacy en beveiliging.
Medewerkers zijn verplicht om veiligheids- en privacy problemen te melden. Medewerkers zijn geïnformeerd dat niet-naleving van beleid in het uiterste geval kan leiden tot beëindiging van het dienstverband.
Merlin heeft rollen en verantwoordelijkheden gedefinieerd om te bepalen welke rollen in de organisatie verantwoordelijk zijn voor de werking van de verschillende aspecten van ons Managementsysteem voor Informatiebeveiliging (ISMS). De verantwoordelijkheden van elke rol zijn gedetailleerd beschreven in onze beveiligingsdocumenten.
Merlin heeft een Directeur Beveiliging aangesteld die algemeen verantwoordelijk is voor de implementatie en het beheer van ons ISMS.
Merlin onderhoudt diverse beleidsdocumenten, normen, procedures en richtlijnen die medewerkers de weg wijzen in het gebruik van ons ISMS. Onze beveiligingsdocumenten zorgen ervoor dat onze klanten erop kunnen vertrouwen dat onze medewerkers zich veilig en ethisch gedragen.
Beveiligingsdocumenten omvatten, maar zijn niet beperkt tot, beleid voor:
De beleidsdocumenten zijn levende documenten en worden regelmatig beoordeeld en/of bijgewerkt. Vanzelfsprekend worden de documenten ook beschikbaar gesteld aan alle medewerkers op wie zij van toepassing zijn.
Merlin evalueert het ontwerp en de werking van haar ISMS op de naleving van interne en externe normen. Merlin laat zich periodiek beoordelen door externe auditors. Auditresultaten worden gedeeld met de directie en alle bevindingen worden opgevolgd.
Merlin laat onafhankelijke instanties periodiek penetratietesten uitvoeren. Resultaten van deze testen worden gedeeld met de directie. De gerapporteerde bevindingen worden geprioriteerd en opgevolgd.
Beveiliging is geïntegreerd in het software ontwikkelproces middels diverse beleidsstukken en procedures.
Alle code wordt opgeslagen in een versiebeheeromgeving. Codewijzigingen zijn onderworpen aan peer reviews en continue integratietesten.
Bij invoering van nieuwe verwerkingen van persoonsgegevens of bij wijzigingen worden vanaf het begin ontwerpcriteria gehanteerd waarmee invulling wordt gegeven aan het principe van “privacy by design”.
Bij de implementatie van beveiligingsmaatregelen en Privacy by Design is er speciale aandacht voor persoonsgegevens. Meer informatie over privacy vindt u in onze Privacyverklaring.
De gegevens tussen Merlin-klanten en de Merlin-dienst worden over openbare netwerken verzonden met behulp van sterke encryptie. De verbinding tussen de cliënt (uw laptop, PC, tablet of smartphone) en de CrisisSuite server is uitsluitend mogelijk op basis van SSL/TLS beveiligde protocollen (https, wss, ssh), waardoor de communicatie tussen cliënt en server afgeschermd blijft.
Bovendien geldt dat zowel de productieservers als de back-ups versleuteld opgeslagen zijn.
Binnen Merlin zijn regels opgesteld voor het versturen van informatie over publieke netwerken. De methode en het niveau van beveiliging wordt bepaald aan de hand van de toegewezen classificatie aan informatie.
Binnen Merlin wordt informatie geclassificeerd aan de hand van de volgende criteria:
Er wordt onderscheid gemaakt tussen classificatieniveaus waarbij elk classificatieniveau is gekoppeld aan een set beveiligingsmaatregelen.
Om de risico's van gegevensblootstelling te minimaliseren, volgt Merlin het principe van need to know. Medewerkers hebben alleen toegang tot gegevens die ze redelijkerwijs nodig hebben om hun huidige taken te vervullen. Om dit te handhaven gebruikt Merlin de volgende maatregelen:
Binnen Merlin zijn rollen en verantwoordelijkheden vastgesteld voor zowel het controleren van de logs van automatisch gerapporteerde fouten, als ook voor het registreren van fouten gerapporteerd door gebruikers. Hierdoor kan geanalyseerd worden waarom fouten optreden en kunnen geschikte corrigerende acties ondernomen worden.
Merlin ondersteunt het gebruik van BYOD voor zakelijk gebruik. Er wordt een lijst bijgehouden van de functienamen en/of welke medewerkers die BYOD mogen gebruiken, tezamen met de applicaties en databases waartoe zij toegang mogen hebben met hun eigen apparaten.
Daarnaast stelt Merlin diverse regels aan het gebruik van BYOD en is er een minimumconfiguratie vereist voor elk type device.
Elke medewerker, leverancier of een andere derde partij die in contact komt met informatie en/of systemen van Merlin dient elke bedreiging, elk incident of elke gebeurtenis aan een systeem die zou kunnen leiden tot een mogelijk incident aan de Directeur Beveiliging te melden. Er zijn diverse procedures ontwikkeld om snel en adequaat te reageren op incidenten.
Alle incidenten worden regelmatig beoordeeld en geëvalueerd om ervan te leren.
Binnen Merlin worden regels gehanteerd over het verwijderen en/of vernietigen van apparatuur en media voordat het wordt weggegooid, verkocht, gedoneerd, verzonden, gerepareerd, hergebruikt of aan een andere gebruiker wordt gegeven.
Binnen Merlin wordt er gewerkt conform het clear desk en clear screen beleid. Indien de geautoriseerde persoon niet op zijn/haar werkplek zit, dient hij/zij de informatie, papieren, opslagmedia, van het bureau of andere plaatsen, zoals printers, kopieerapparaten etc. te verwijderen om ongeautoriseerde toegang te voorkomen.
Op dezelfde wijze geldt dat alle gevoelige informatie van het beeldscherm verwijderd dient te worden en dat schermvergrendeling wordt toegepast wanneer de geautoriseerde persoon zijn/haar werkplek verlaat.
Om de business efficiënt te runnen vertrouwt Merlin op dienstverlenende organisaties. Waar de dienstverlenende organisaties de secundaire productie van Merlin kunnen beïnvloeden, neemt Merlin maatregelen om ervoor te zorgen dat het beveiligingsniveau wordt gewaarborgd. Merlin legt afspraken vast die vereisen dat dienstverleners zich houden aan de verplichtingen die Merlin aan hen heeft gesteld. Merlin controleert ten minste een keer per jaar de effectieve werking van de beveiligingsmaatregelen van de organisatie.
Merlin maakt gebruik van een hostingprovider. De servers zijn redundant uitgevoerd en worden 24/7 gemonitord. De serverruimtes worden 24/7 bewaakt. Systeemruimtes zijn voorzien van een redundant uitgevoerde stroomvoorziening met een back-up van dieselgeneratoren. De datacenters voldoen aan de strengste normen op het gebied van branddetectie, luchtkoeling en toegangsbeheer. Het door CrisisSuite gebruikte netwerk garandeert een uptime van 99,99%.
De datacenters zijn volgens ISO9001, ISO27001, ISO14001 en NEN7510 kwaliteitsnormen gecertificeerd en staan fysiek in Nederland.
Bij Merlin nemen we beveiliging serieus, omdat iedereen die onze dienst gebruikt, verwacht dat deze gegevens veilig zijn en vertrouwelijk blijven. Beveiliging van deze gegevens is een kritische verantwoordelijkheid tegenover onze klanten. We werken er hard aan om dat vertrouwen te behouden.
Versie: 28-5-2024
