Evidos is marktleider in het leveren van oplossingen voor digitaal ondertekenen en digitale identiteit. Ondertekenen.nl en Signhost.com zijn oplossingen die door Evidos geleverd worden. De beveiliging van informatie is voor Evidos belangrijk. We moeten er niet aan denken dat vertrouwelijke informatie van onze klanten in handen valt van onbevoegden, de informatie niet klopt of niet beschikbaar is op de momenten dat het nodig is. Evidos voert daarom een actief securitybeleid om hun klanten van goede veiligheid te kunnen voorzien.
Het plaatsen van een digitale handtekening moet op een betrouwbare en veilige manier plaatsvinden. Continu zijn wij bezig om de kwaliteit en betrouwbaarheid van onze dienst te bewaken. Wij voldoen aan de hoogste industriële normen voor de beveiliging op elk niveau. Wij zijn uw vertrouwde partner voor het digitaal ondertekenen van documenten zoals pdf’s. Verder zorgt Evidos ervoor dat procedures en processen opgesteld en ingericht worden volgens algemeen geaccepteerde standaarden (good practices). Voorbeelden van dergelijke standaarden zijn ISO27001 en COBIT.
Certificeringen en verklaringen Evidos
Evidos beschikt over de volgende certificeringen en verklaringen, te weten:
Evidos wil aan klanten kunnen aantonen dat zij informatiebeveiliging op orde heeft.
Daarom voldoen wij sinds maart 2017 aan de voorwaarden van ISO/IEC 27001: de ‘de facto’ standaard voor informatiebeveiliging.
Dit geldt voor het toepassingsgebied:” Het vermarkten, ontwikkelen, beheren en ondersteunen van een cloud onderteken- en authenticatiedienst.
Jaarlijks wordt door DEKRA Certification gecontroleerd of wij nog aan de criteria hiervoor voldoen, en eenmaal in de drie jaar vindt een complete ISO-audit plaats.
Bekijk hier het certificaat.
Evidos voldoet aan de eisen die worden gesteld aan de SOC 2 Type 2. Deze verklaring biedt klanten de garantie dat de dienst Ondertekenen.nl en de productontwikkeling aan de hoogste eisen voldoen. De SOC 2 Type 2 – verklaring heeft betrekking op de infrastructuur, software, procedures, mensen en data die nodig zijn voor het leveren van een onlinedienst. Door deze certificering weten klanten waar zij aan toe zijn en is voor zowel binnenlandse- als buitenlandse partijen direct duidelijk dat de dienstverlening van Evidos voldoet aan de hoogste internationale standaard.
Logius eist jaarlijks, een rapportage van het ICT-beveiligingsassessment DigiD. Deze audit wordt uitgevoerd door een RE auditor van een onafhankelijke gecertificeerde partij. Deze partij stelt naar aanleiding van de audit een Third Party Mededeling (TPM) op.
Evidos verstrekt jaarlijks deze TPM aan haar klanten die gebruik maken van DigiD.
Evidos is Digital Identity Service Provider (DISP) voor iDIN. De Betaalvereniging Nederland heeft Evidos officieel gecertificeerd om bedrijven te helpen iDIN in te zetten op hun eigen website. Als DISP mag Evidos zonder tussenkomst van een bank rechtstreeks iDIN-diensten leveren aan ‘acceptanten’. Dit kunnen webwinkels of overheidsdiensten zijn die iDIN inzetten voor het identificeren van een gebruiker of om een klant in te laten loggen.
Signhost draait in een beveiligd datacenter in Nederland. Dit datacenter voldoet tevens aan de eisen van ISO/IEC 27001:2013 en NEN7510:2011.
Onze hosting provider geeft jaarlijks een ISAE3402 type II verklaring af welke een beeld geeft over de betrouwbaarheid van haar dienstverlening.
Wij hebben een ‘leidraad voor het melden van kwetsbaarheden’-richtlijn. Deze helpt ons bij het beschermen van onze systemen en klanten. Mocht u specifieke beveiligingsissues ontdekken dan horen wij dit graag zo snel mogelijk zodat wij hier direct actie op kunnen ondernemen.
Alle verbindingen naar de Signhost webapplicatie of middels een API-koppeling gaan via een beveiligde SSL-verbinding. Deze SSL-verbinding zorgt voor de versleuteling van gegevens, een techniek die ook voor internetbankieren wordt gebruikt.
Signhost draait in een beveiligd datacenter in Nederland. Onze secure-hosting partner voldoet aan de ISO 27001 informatiebeveiligingsnorm. Daarnaast beschikt onze hosting partij over een ISAE3402 type II Assurance verklaring.
Signhost voldoet aan de vereisten voor de geavanceerde elektronische handtekening, conform artikel 3:15a BW en de eIDAS verordening. Zie onze uitleg over rechtsgeldigheid.
De Signhost-dienst wordt met behulp van interne en externe hulpmiddelen continu beschermd tegen kwetsbaarheden. Wij hanteren de OWASP-richtlijn voor het toetsen op beveiligingsissues.
Minimaal jaarlijks zal er in kader van de ICT-beveiligingsassessment DigiD conform de NOREA “Handreiking DigiD-assessments V2.0”, penetratietesten op de web omgevingen van Signhost uitgevoerd worden. Deze penetratietesten worden door wisselende externe partijen uitgevoerd.
In onze privacy- en cookieverklaring leggen wij onder andere uit welke persoonsgegevens wij van u verzamelen en voor welke doeleinden dit gebeurt. Daarnaast geven wij middels deze verklaring informatie over de cookies die worden geplaatst. Wij vinden het belangrijk dat u op een duidelijke en transparante wijze wordt geïnformeerd over deze onderwerpen. Heeft u toch nog vragen over de verwerking van uw persoonsgegevens of over deze verklaring, neem dan gerust contact met ons op.
Om conform de huidige en toekomstige privacywetgeving te handelen, is het van belang dat de afspraken omtrent het verwerken van persoonsgegevens contractueel worden vastgelegd. Als extra service biedt Evidos aan al haar klanten een standaard verwerkersovereenkomst aan, zodat beide partijen conform de privacywetgeving handelen. Deze verwerkersovereenkomst houdt rekening met de eisen die voortvloeien uit de Algemene Verordening Gegevensbescherming.
Naast de (contractuele) afspraken die worden gemaakt tussen u en Evidos over het melden van datalekken, acht Evidos het van belang dat zij deze afspraken kan nakomen. Evidos heeft daarom interne processen ontwikkeld om datalekken tijdig te herkennen en op te volgen. Evidos hanteert een calamiteitenplan datalekken, waarin is omschreven hoe Evidos omgaat met eventuele datalekken. Dit calamiteitenplan kan op verzoek door u worden ingezien.
Evidos treft conform artikel 32 uit de Algemene Verordening Gegevensbescherming passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies en onrechtmatige verwerking. Evidos houdt hierbij rekening met de beleidsregels van de Autoriteit Persoonsgegevens, zoals de ‘Beleidsregels beveiliging van persoonsgegevens (2013)’.
Sinds 25 mei 2018 is de AVG in werking getreden. De AVG brengt extra verplichtingen voor organisaties met zich mee, zoals het bijhouden van een verwerkingsregister, een uitbreiding van de rechten van betrokkenen en het in bepaalde gevallen verplicht uitvoeren van data protection impact assessments. Evidos is op de hoogte van deze extra verplichtingen en draagt er zorg voor dat zij conform de AVG handelt.
Meer weten?
Neem dan contact met ons op, wij vertellen u graag meer.