Security bij Virta

De openbaar toegankelijke klantensystemen van Virta worden ontwikkeld volgens interne richtlijnen, inclusief beveiligingseisen. Voor applicatieontwikkeling wordt OWASP ASVS als referentie gebruikt en ontwikkelaars krijgen training in veilig ontwikkelen. Alle wijzigingen worden beoordeeld voordat ze worden geïmplementeerd en getest in een testomgeving voordat ze in productie worden genomen. Alle codewijzigingen zijn traceerbaar en er is een volledige audittrail van wijzigingen.

Virta voert regelmatig kwetsbaarheidsscans, beveiligingsbeoordelingen en penetratietests uit. Kwetsbaarheidsscans worden wekelijks automatisch uitgevoerd en grondige penetratietests worden regelmatig uitgevoerd door onafhankelijke cybersecuritybedrijven tegen openbare interfaces. Alle gevonden problemen worden geanalyseerd en passende oplossingen en maatregelen worden geïmplementeerd.

Openbare applicaties en interfaces worden gehost in Amazon AWS en de toegang tot deze systemen is strikt beperkt tot aangewezen en goedgekeurd personeel. AWS biedt hoge betrouwbaarheid en schaalbaarheid voor onze diensten. Alle geheimen (sleutels, servicewachtwoorden en vergelijkbare informatie) worden versleuteld opgeslagen. Alleen cryptografische oplossingen volgens industriestandaarden worden gebruikt.

De beveiliging van klantgegevens is onze hoogste prioriteit. We besteden hier veel aandacht aan tijdens de ontwikkelingsfase, maar soms kunnen bugs en kwetsbaarheden aan onze aandacht ontsnappen. Als je denkt dat je een kwetsbaarheid of beveiligingsfout in onze systemen hebt ontdekt, zouden we het zeer op prijs stellen als je ons zo snel mogelijk op de hoogte stelt. Dit helpt ons om het snel te verhelpen en de gegevens in ons systeem te beschermen.

Voor meer informatie of om een mogelijke beveiligingskwestie te melden, kun je contact opnemen met ons beveiligingsteam via e-mail: responsible-disclosure@virta.global.

Respecteer privacy. Doe je best om geen toegang te krijgen tot of gegevens van andere gebruikers te vernietigen bij het rapporteren of verifiëren van je bevinding. Exploiteer anderen nooit opzettelijk zonder hun toestemming.

Klant- en gebruikersgegevens worden opgeslagen in de EU. Online diensten en databases worden opgeslagen in de EU-regio's van de Amazon AWS-cloud. Toegang tot deze bronnen is strikt beperkt tot specifiek personeel dat een directe zakelijke noodzaak heeft voor toegang. Alle toegangsrechten worden alleen op basis van gevalideerde zakelijke behoeften aangevraagd en verleend, gedocumenteerd in een apart hulpmiddel, en toegangsrechten worden jaarlijks herzien.

Virta verzamelt alleen PII (Persoonlijk Identificeerbare Informatie) die nodig is om de diensten te leveren. Verzamelde gegevens worden opgeslagen zolang er een geldige behoefte is. Virta heeft richtlijnen voor gegevensbescherming opgesteld, inclusief interne training voor personeel dat toegang heeft tot klantgegevens, een intern gegevensbeschermingshandboek en meldingspraktijken.

Voor meer informatie over geregistreerde rechten en andere privacygegevens, zie Virta's Privacybeleid (Engels).

Alle Virta-diensten draaien op moderne, beschermde en schaalbare clouddiensten met verschillende certificeringen zoals ISO 27001:2013, SOC 2 en vergelijkbare (voor de volledige lijst, zie hier: https://aws.amazon.com/compliance/programs/). Systemen zijn niet afhankelijk van één datacenter. Onze geautomatiseerde implementatiepijplijn houdt de productieomgeving altijd draaiende met de nieuwste beveiligingspatches geïnstalleerd en eventuele afwijkingen worden gemonitord met behulp van continue kwetsbaarheidsscans.

Betalingskaartgegevens (creditcard/debitcard) worden verwerkt en opgeslagen door onze PCI-DSS-gecertificeerde partner Payment Highway.