Eddy AI vertrouwenspagina

Doel: Het beleid is gericht op het waarborgen van het juiste en effectieve gebruik van cryptografie om de vertrouwelijkheid, authenticiteit en integriteit van informatie te beschermen.

Toepassingsgebied: Het beleid is van toepassing op alle door Document360 ontwikkelde en/of gecontroleerde informatiesystemen die vertrouwelijke gegevens opslaan of verzenden.

Beleidseigenaar: De CEO is verantwoordelijk voor het beleid.

Ingangsdatum: Het beleid wordt van kracht op 1 maart 2024.

Risico-evaluatie: Document360 evalueert risico's en implementeert cryptografische controles om ze waar nodig te beperken.

Versleutelingsstandaarden: Sterke cryptografie met bijbehorende sleutelbeheerprocessen en -procedures moet worden geïmplementeerd en gedocumenteerd in overeenstemming met industriestandaarden, waaronder NIST SP 800-57. We hebben een gedeeltelijke implementatie van het NIST AI Risk Management Framework.

Sleutelbeheer: de toegang tot sleutels en geheimen wordt streng gecontroleerd en er zijn specifieke aanbevelingen voor het gebruik van cryptografische sleutels, waaronder sleuteltypen, algoritmen en sleutellengtes voor verschillende domeinen, zoals webcertificaten, webversleutelingen en eindpuntopslag.

Uitzonderingen: Verzoeken om uitzonderingen op het beleid moeten ter goedkeuring worden voorgelegd aan de CEO en moeten worden gedocumenteerd.

Overtredingen en handhaving: Bekende overtredingen moeten worden gemeld aan de CEO en kunnen leiden tot disciplinaire maatregelen, waaronder beëindiging van het dienstverband.

Gegevens in rust: Vertrouwelijke gegevens in rust moeten worden versleuteld met behulp van symmetrische versleuteling met AES-256 bit voor een periode van maximaal 1 jaar.

Wachtwoorden: Wachtwoorden moeten worden gehasht met behulp van eenrichtingshashfuncties zoals Bcrypt, PBKDF2, scrypt of Argon2, met een 256-bits sleutel en een 10K stretch, inclusief een uniek cryptografisch zout en peper.

Doel en reikwijdte: Het document is bedoeld om een plan te bieden voor het beheer van informatiebeveiligingsincidenten en -gebeurtenissen, dat al dergelijke voorvallen binnen het bedrijf omvat.

Definities: Het verduidelijkt het verschil tussen een beveiligingsgebeurtenis (een waarneembare gebeurtenis die relevant is voor gegevensbeveiliging) en een beveiligingsincident (een gebeurtenis die leidt tot verlies of schade aan de gegevensbeveiliging).

Rapportage en documentatie: Medewerkers krijgen de opdracht om vermoedelijke incidenten onmiddellijk te melden via specifieke communicatiekanalen, en alle incidenten moeten worden gedocumenteerd.

Ernstniveaus: Incidenten worden gecategoriseerd in S1 (Kritiek), S2 (Hoog) en S3/S4 (Gemiddeld/Laag) ernstniveaus, met duidelijke richtlijnen voor escalatie en reactie.

Incident Response Team: Ingenieursmanagers leiden de incidentrespons, met een aangewezen "War Room" voor gecentraliseerde respons. Er worden regelmatig vergaderingen gehouden om het incidentticket bij te werken, indicatoren van compromittering te documenteren en andere responsactiviteiten uit te voeren.

Analyse van de hoofdoorzaak: Voor kritieke incidenten wordt een analyse van de hoofdoorzaak uitgevoerd, gedocumenteerd en beoordeeld door de Director of Engineering, die beslist over de noodzaak van een post-mortem vergadering.

Responsproces: Het responsproces omvat triage, onderzoek, inperking, uitroeiing, herstel en verharding, met een focus op geleerde lessen en verbeteringen op de lange termijn.

Fysieke beveiliging: Het document gaat in op de fysieke beveiliging van getroffen systemen, inclusief isolatie- en back-upprocedures.

Bepaling en rapportage van inbreuken: Alleen de Product Owner kan bepalen of een incident een inbreuk vormt. Het bedrijf zal alle relevante partijen onmiddellijk op de hoogte stellen in overeenstemming met het beleid en de wettelijke vereisten.

Externe communicatie: Het bedrijf werkt waar nodig samen met klanten, gegevensbeheerders en autoriteiten, waarbij juridisch en uitvoerend personeel de aanpak bepaalt.

Rollen en verantwoordelijkheden: Het document schetst de specifieke verantwoordelijkheden van de rollen van incidentresponders.

Speciale overwegingen: Het omvat het afhandelen van interne problemen, gecompromitteerde communicatie en compromissen met root-accounts.

Incidentstatus en samenvatting: Er wordt een gedetailleerd sjabloon verstrekt voor het documenteren van incidentdetails, waaronder datum, tijd, locatie, betrokken personeel, type betrokken informatie, indicatoren van compromittering, hoofdoorzaak en ondernomen acties.

Polisheigenaar en ingangsdatum: De producteigenaar is de polishouder en het plan wordt van kracht op 1 maart 2024.

Doelstelling: Duidelijke taken en verantwoordelijkheden vaststellen voor de bescherming van elektronische informatiesystemen en aanverwante apparatuur.

Beleidseigenaar en ingangsdatum: De CEO is de eigenaar van de polis en het plan wordt van kracht op 1 maart 2024.

Toepasselijkheid

• Is van toepassing op alle Document360-infrastructuur, netwerksegmenten, systemen, werknemers en contractanten die betrokken zijn bij beveiligings- en IT-functies.

Audiëntie

• Alle medewerkers en contractanten die betrokken zijn bij het Informatiebeveiligingsprogramma.

• Omvat partners, gelieerde ondernemingen, tijdelijke werknemers, stagiairs, gasten en vrijwilligers.

Rollen en verantwoordelijkheden

1. Uitvoerend leiderschap:

• Keurt kapitaaluitgaven voor beveiligingsprogramma's goed.

• Houdt toezicht op de uitvoering en communicatie van informatiebeveiliging en privacyrisicobeheer.

• Zorgt voor naleving van wetten en normen (bijv. GDPR, CCPA, SOC 2, ISO 27001).

• Beoordeelt servicecontracten van leveranciers en houdt toezicht op het risicobeheer van derden.

2. Directeur Engineering:

• Houdt toezicht op informatiebeveiliging bij softwareontwikkeling.

• Implementeert en bewaakt beveiligingscontroles voor ontwikkelings- en IT-processen.

• Voert IT-risicobeoordelingen uit en communiceert risico's naar het leiderschap.

3. VP van klantenondersteuning:

• Beheert informatiebeveiligingstools en -processen in klantomgevingen.

• Zorgt voor naleving van het beleid voor het bewaren en verwijderen van gegevens.

4. Systeemeigenaren:

• Behoud de vertrouwelijkheid, integriteit en beschikbaarheid van informatiesystemen.

• Goedkeuren van toegangs- en wijzigingsverzoeken voor hun systemen.

5. Werknemers, opdrachtnemers, uitzendkrachten:

• Handel verantwoordelijk om gezondheid, veiligheid en informatiebronnen te beschermen.

• Identificeer gebieden voor verbeterde risicobeheerpraktijken.

• Meld incidenten en houd u aan het bedrijfsbeleid.

6. Hoofd People Officer

• Zorgt ervoor dat werknemers en aannemers gekwalificeerd en bekwaam zijn.

• Houdt toezicht op antecedentenonderzoeken, beleidspresentatie en naleving van de gedragscode.

• Evalueert de prestaties van werknemers en biedt beveiligingstraining.

Naleving van het beleid

• Naleving gemeten door middel van rapporten, audits en feedback.

• Uitzonderingen moeten vooraf worden goedgekeurd door de CEO.

• Niet-naleving kan leiden tot disciplinaire maatregelen, waaronder ontslag.

Controle van documenten

• Versie: 1.0

• Datum: 3 februari 2024

Beleidseigenaar en ingangsdatum: De CEO is de eigenaar van de polis en het plan wordt van kracht op 1 maart 2024.

Doel: Ervoor zorgen dat informatiebeveiliging wordt ontworpen en geïmplementeerd binnen de ontwikkelingslevenscyclus van applicaties en informatiesystemen.

Draagwijdte: Is van toepassing op alle Document360-applicaties en informatiesystemen die bedrijfskritisch zijn en/of vertrouwelijke gegevens verwerken, opslaan of verzenden.

Secure-by-design-principes:

• Minimaliseer het aanvalsoppervlak.

• Stel veilige standaardinstellingen in.

• Pas het beginsel van de minste bevoegdheden toe.

• Implementeer verdediging in de diepte.

• Veilig falen.

• Vermijd veiligheid door onduidelijkheid.

• Houd de beveiliging eenvoudig.

Privacy-by-design-principes:

• Proactieve, preventieve aanpak.

• Privacy als standaardinstelling.

• Privacy ingebed in het ontwerp.

• Volledige functionaliteit zonder afbreuk te doen aan de privacy.

• End-to-end beveiliging.

• Bescherming gedurende de volledige levenscyclus.

Ontwikkelomgeving: Logische of fysieke scheiding van omgevingen: Productie, Test/Staging, Ontwikkeling.

Systeem acceptatie testen: Stel acceptatietestprogramma's en -criteria op voor nieuwe informatiesystemen, upgrades en nieuwe versies. Voltooi een releasechecklist voordat u code implementeert.

Bescherming van testgegevens: Testgegevens moeten zorgvuldig worden geselecteerd, beschermd en gecontroleerd. Vertrouwelijke klantgegevens moeten worden beschermd en mogen niet worden gebruikt voor testen zonder expliciete toestemming.

Procedures voor wijzigingsbeheer: Zorg ervoor dat de ontwikkeling, het testen en de implementatie van wijzigingen niet door één persoon worden uitgevoerd zonder goedkeuring en toezicht.

Versiebeheer van software: Alle software wordt beheerd door de versie, waarbij de toegang beperkt is op basis van de rol.

Naleving van het beleid: Gemeten door middel van rapporten, audits en feedback. Niet-naleving kan leiden tot disciplinaire maatregelen, tot en met beëindiging.

Beleidseigenaar: De CEO is verantwoordelijk voor het beleid.

Ingangsdatum: Het beleid wordt van kracht op 1 maart 2024.

Doel: Het beleid is gericht op het creëren en behouden van een veilige en inclusieve omgeving voor alle medewerkers.

Reikwijdte: Dit beleid is van toepassing op alle medewerkers in alle professionele omgevingen binnen de organisatie.

Cultuur: De organisatiecultuur die door dit beleid wordt gepromoot, legt de nadruk op respect, samenwerking en aandacht onder alle werknemers.

Verwacht gedrag: Van medewerkers wordt verwacht dat ze actief deelnemen aan het creëren van een respectvolle en collaboratieve werkomgeving.

Onaanvaardbaar gedrag: Elke vorm van intimidatie, geweld, discriminatie of ongepast gedrag is ten strengste verboden.

Wapenbeleid: Het beleid verbiedt het bezit van wapens op het terrein van het bedrijf, met strikte gevolgen voor overtredingen.

Gevolgen: Niet-naleving van dit beleid leidt tot onmiddellijke corrigerende maatregelen, waaronder disciplinaire maatregelen en de verplichting om overtredingen te melden.

Verantwoordelijkheid: De CEO heeft de verantwoordelijkheid om ervoor te zorgen dat alle medewerkers zich houden aan de principes die in dit beleid worden uiteengezet.

Beleidseigenaar: De CEO is verantwoordelijk voor het beleid.

Ingangsdatum: Het beleid wordt van kracht op 1 maart 2024.

Doel: Het doel van dit beleid is om de toegang tot informatie en systemen te beperken tot geautoriseerde personen in overeenstemming met de bedrijfsdoelstellingen.

Draagwijdte: Dit beleid is van toepassing op alle systemen die door Document360 worden beheerd en die omgaan met vertrouwelijke gegevens van medewerkers en externe partijen met netwerktoegang.

Samenvatting van toegangscontrole en gebruikersbeheer:

Gebruikers identificeren: Toegangsrechten worden toegewezen op basis van specifieke functies en competenties die nodig zijn om taken uit te voeren.

Autorisatie behouden: Alle toewijzingen van geprivilegieerde toegang worden gedocumenteerd en bijgehouden om verantwoording af te leggen.

Veiligheidsmaatregelen afdwingen: Multi-factor authenticatie (MFA) is verplicht voor geprivilegieerde toegang om de beveiliging te verbeteren. Algemene beheerders-ID's zijn verboden om ongeoorloofd gebruik te voorkomen.

Protocollen aannemen: Tijdgebonden toegangsrechten worden verleend om blootstelling te beperken en beveiligingsrisico's te verminderen.

Logboekregistratie en controle: Alle bevoegde logins en activiteiten worden geregistreerd en gecontroleerd om te controleren op ongeoorloofde toegang of misbruik.

Beoordelingen van gebruikerstoegang: Regelmatige beoordelingen zorgen ervoor dat duidelijke en geschikte identiteiten worden gehandhaafd voor degenen met bevoorrechte toegang.

Beleid voor toegangscontrole: De toegang is beperkt tot alleen geautoriseerde partijen, zodat de informatie beschermd blijft.

Wachtwoordbeheer: Veilige aanmeldingsprocedures en wachtwoordbeleid zijn geïmplementeerd om te beschermen tegen ongeoorloofde toegang.

Provisioning van gebruikerstoegang: Toegangsrechten worden verleend op basis van gedocumenteerde zakelijke vereisten en gevalideerde behoeften.

Overtredingen en handhaving: Schendingen van dit beleid worden gemeld en zijn onderworpen aan handhavingsmaatregelen om naleving en beveiliging te handhaven.

Beleidseigenaar: De CEO is verantwoordelijk voor het beleid.

Ingangsdatum: Het beleid wordt van kracht op 1 maart 2024.

Doel: Om ervoor te zorgen dat informatie wordt geclassificeerd, beschermd, bewaard en veilig wordt verwijderd op basis van het belang ervan voor de organisatie.

Draagwijdte: Van toepassing op alle gegevens-, informatie- en informatiesystemen van Document360.

Classificatie van gegevens: Vertrouwelijk: zeer gevoelige gegevens waarvoor de hoogste beschermingsniveaus nodig zijn. Voorbeelden zijn klantgegevens, PII, financiële gegevens van het bedrijf, strategische plannen en technische rapporten.

Beperkt: Bedrijfseigen informatie die grondige bescherming vereist. Standaardclassificatie voor alle bedrijfsinformatie, tenzij anders vermeld. Voorbeelden zijn intern beleid, juridische documenten, contracten en e-mails.

Publiek: Informatie die bedoeld is voor openbare consumptie en vrij kan worden verspreid. Denk hierbij aan marketingmateriaal en productbeschrijvingen.

Gegevensverwerking:

Vertrouwelijke gegevens:

• Beperkte toegang tot specifieke medewerkers of afdelingen.

• Moet in rust en tijdens het transport worden versleuteld.

• Mag niet worden opgeslagen op persoonlijke apparaten of verwijderbare media.

• Vereist veilige opslag en verwijdering.

Beperkte gegevens:

• Toegang beperkt tot gebruikers met een need-to-know-basis.

• Vereist goedkeuring van het management voor externe overdracht.

• Veilige opslag en afvoer zijn verplicht.

Openbare gegevens: Er zijn geen speciale beschermings- of hanteringscontroles vereist.

Bewaring en verwijdering van gegevens:

• Gegevens worden bewaard zolang als nodig is voor zakelijke, regelgevende of contractuele vereisten.

• Vertrouwelijke en beperkte gegevens worden veilig verwijderd wanneer ze niet langer nodig zijn.

• PII verwijderd of geanonimiseerd wanneer deze niet langer nodig is voor zakelijke doeleinden.

Jaarlijkse gegevensbeoordeling: Het management evalueert jaarlijks de vereisten voor het bewaren van gegevens om ervoor te zorgen dat het beleid wordt nageleefd.

Wettelijke vereisten: Gegevens in verband met juridische bewaarplichten of rechtszaken zijn vrijgesteld van de standaardbeleidsvereisten en worden bewaard volgens de bepalingen van de juridisch adviseur.

Naleving van het beleid: Compliance gemeten door middel van rapporten en audits van bedrijfstools.

Uitzonderingen: Voor eventuele uitzonderingen op het beleid is goedkeuring van de CEO vereist.

Overtredingen en handhaving: Bekende beleidsovertredingen moeten worden gemeld aan de CEO en kunnen leiden tot disciplinaire maatregelen, waaronder beëindiging van het dienstverband.

Beleidseigenaar: De CEO is verantwoordelijk voor het beleid.

Ingangsdatum: Het beleid wordt van kracht op 1 maart 2024.

Doel en reikwijdte:

• Zorgen voor de veilige werking van informatieverwerkingssystemen en -faciliteiten.

• Is van toepassing op alle kritieke Document360-informatiesystemen en entiteiten van derden met netwerktoegang.

Gedocumenteerde operationele procedures:

Technische en administratieve procedures moeten worden gedocumenteerd en toegankelijk zijn voor de relevante gebruikers.

Verandermanagement:

• Belangrijke wijzigingen moeten worden gedocumenteerd, getest, beoordeeld en goedgekeurd voordat ze worden geïmplementeerd.

• Noodwijzigingen vereisen beoordeling en autorisatie met terugwerkende kracht.

Capaciteitsbeheer:

• Bewaak en pas verwerkingsbronnen en systeemopslag aan om te voldoen aan prestatie-eisen.

• Neem de capaciteit van het personeelsbestand op in de planning en jaarlijkse risicobeoordelingen.

Preventie van gegevenslekken:

• Identificeer en classificeer informatie volgens het gegevensbeheerbeleid.

• Train gebruikers in het correct omgaan met gevoelige informatie.

• Gebruik Data Loss Prevention (DLP)-tools op basis van risicobeoordeling.

Web filteren:

• Implementeer DNS- en IP-blokkering om de toegang tot risicovolle websites te beperken.

• Blokkeer websites met schadelijke inhoud of command and control-servers, tenzij dit nodig is voor bedrijven.

Scheiding van omgevingen:

• Onderscheid ontwikkelings-, staging- en productieomgevingen strikt.

• Gebruik geen vertrouwelijke productieklantgegevens in ontwikkel- of testomgevingen zonder toestemming.

Systemen en netwerkconfiguratie:

• Volg configuratie- en verhardingsstandaarden om de systeem- en netwerkbeveiliging te behouden.

• Controleer de configuratieregels voor toegang tot het productienetwerk jaarlijks.

Bescherming tegen malware:

• Implementeer detectie-, preventie- en herstelcontroles voor malware.

• Gebruik anti-malware en software voor het detecteren van bedreigingen op alle eindpunten en e-mails van het bedrijf.

Back-up van informatie: Ontwerp en implementeer back-upprocessen voor systemen en gegevens, zodat klantgegevens kunnen worden hersteld volgens SLA's.

Logboekregistratie en monitoring: Implementeer logging en monitoring om beveiligingsincidenten te detecteren en erop te reageren.

Controle van operationele software: Beheer de installatie en het gebruik van operationele software volgens vastgestelde regels.

Informatie over bedreigingen: Verzamel en analyseer bedreigingen voor informatiebeveiliging om bruikbare informatie te produceren.

Technisch beheer van kwetsbaarheden: Identificeer, beoordeel en verhelp technische kwetsbaarheden tijdig.

Beperkingen op software-installatie: Stel regels op voor software-installatie om beveiliging en naleving te garanderen.

Overwegingen bij het auditen van informatiesystemen: Plan en spreek auditvereisten af om verstoringen van bedrijfsprocessen tot een minimum te beperken.

Beoordeling en vereisten van systeembeveiliging: Neem beveiligingsvereisten op bij de aanschaf of belangrijke wijzigingen in systemen.

Maskeren van gegevens: Implementeer technieken voor gegevensmaskering om PII en gevoelige gegevens te beschermen op basis van risicobeoordeling.

Beleidseigenaar: De CEO is verantwoordelijk voor het beleid inzake gegevensbewaring.

Ingangsdatum: Het beleid wordt van kracht op 1 maart 2024.

Doel: Dit beleid beschrijft hoe gegevens worden opgeslagen, geanalyseerd en verwijderd binnen Document360, waardoor transparantie en gebruikerscontrole over de bewaarde informatie worden gegarandeerd.

Reikwijdte: Dit beleid is van toepassing op alle klanten die Document360 gebruiken, inclusief zowel publieke als private kennisbankprojecten.

Gegevensverzameling:

• Voor openbare sites: er worden geen gegevens op gebruikersniveau verzameld.

• Voor privéprojecten: We verzamelen gegevens op gebruikersniveau, waaronder de identiteit van de gebruiker die een prompt indient, tijdstempels en andere gebruikersinformatie die beschikbaar is binnen Document360.

Gegevensgebruik: Document360 slaat alle prompts/vragen op die in de Eddy AI-chatbot zijn ingevoerd om de volgende analyses uit te voeren:

• Topische analyse: Clustering van vragen/prompts met behulp van interne algoritmen en OpenAI-API's.

• Citatieanalyse: het identificeren van de meest geciteerde artikelen.

• Statistieken: het weergeven van dieptestatistieken en het bijhouden van beantwoorde versus onbeantwoorde vragen.

Maatwerk: Dit beleid kan niet worden aangepast door de klant, maar klanten hebben het recht om op elk moment tijdens de contractperiode te verzoeken om verwijdering van hun gegevens.

Bewaring en verwijdering van gegevens:

• Alle verzamelde gegevens worden bewaard binnen uw Document360-project.

• Gegevens worden permanent verwijderd wanneer het kennisbankproject wordt verwijderd.

• U kunt op elk moment tijdens uw contract met Document360 verzoeken om verwijdering van deze gegevens.

Verantwoordelijkheid: De CEO is verantwoordelijk voor de implementatie en naleving van dit beleid in alle klantaccounts en projecten.