×

Security Statement

Voorwoord

De bedrijfsactiviteiten van Quintessence Consulting nv houden het gebruik in van zowel sensitieve bedrijfsgegevens als persoonsgegevens van haar klanten en partners. Deze gegevens moeten beveiligd zijn tegen diverse dreigingen en in overeenstemming met internationaal aanvaarde standaarden.

Naast een goede technische beveiliging verwachten klanten en partners dat wij hun data met zorg behandelen. Quintessence Consulting nv bevestigt dat zij in haar bedrijfsactiviteiten op een verantwoorde manier met gegevens omgaat.

Bij Quintessence Consulting nv beschouwen wij de continuïteit van onze dienstverlening als een topprioriteit. Dit weerspiegelt zich in een volledig uitgebouwd beheersproces voor bedrijfscontinuïteit.

Contact

Vragen over dit statement kunt u steeds richten aan de Data Protection Officer van Quintessence Consulting nv (ict.security@quintessence.be)

Gegevensbeveiliging

Privacy wetgeving

Bij Quintessence Consulting nv garanderen wij een adequaat niveau van gegevensbeveiliging, in overeenstemming met de EU Data Protection Directive 95/46/EC en met de Belgische wetgeving (*). Quintessence Consulting nv bereidt zich voor op de bepalingen van de nieuwe Europese General Data Protection Regulation (GDPR), de opvolger van de EU Data Protection Directive, die weldra van kracht zal worden. (*) Twee belangrijke Belgische wetten die hier gelden, zijn:

  1. “Wet houdende oprichting en organisatie van de Kruispuntbank van de Sociale zekerheid” (Wet van 15-01-1990)
  2. “Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens” (Wet van 8-12-1992)

Informatiebescherming

In de diverse bedrijfsprocessen worden persoonsgegevens en vertrouwelijke bedrijfsgegevens verwerkt. Wij garanderen ten allen tijde de vertrouwelijkheid, de integriteit en de beschikbaarheid van die informatie.

Quintessence Consulting nv houdt een hoog beveiligingsniveau aan voor de verwerking en voor de data die behandeld of opgeslagen worden. Onze beveiliging is gebaseerd op internationaal aanvaarde standaarden zoals ISO/IEC 27001.

Voornaamste principes die Quintessence Consulting nv toepast:

  1. Rollen en verantwoordelijkheden zijn gedefinieerd om te bekomen dat alle beveiligingsactiviteiten adequaat worden uitgevoerd.
  2. Een geheel van beleidslijnen, normen, procedures en richtlijnen is voorzien om de veiligheid te organiseren. Deze documenten worden regelmatig gereviseerd.
  3. Quintessence Consulting nv volgt een risico-gebaseerde aanpak om de vereiste technische en niet-technische beveiligingsmaatregelen te bepalen. Dit zorgt ervoor dat de juiste prioriteiten worden gesteld en dat enkel efficiënte en effectieve beveiligingsmaatregelen geselecteerd en geïnstalleerd worden.
  4. Een dataclassificatie-systematiek is ingesteld om diverse gradaties van sensitieve data te onderscheiden en deze naargelang te beveiligen. Bijkomend is een data life cycle beheer operationeel voor de creatie, het gebruik, de opslag en het verwijderen van gegevens.
  5. Quintessence Consulting nv verbindt zich ertoe om door middel van regelmatige opleiding en oefening de ganse organisatie te sensibiliseren over informatieveiligheid en gegevensbescherming.
  6. Technieken voor identiteitsbeheer en toegangscontrole zijn geïnstalleerd zodanig dat informatie beveiligd is tegen ongeoorloofde toegang, wijziging of vernietiging, zowel intentioneel als accidenteel.
  7. Fysieke veiligheidsmaatregelen beschermen de gegevens en systemen tegen brand en diefstal en garanderen de toegangscontrole tot de gebouwen.
  8. Cyberbeveiligingsmaatregelen zijn operationeel. Onze toepassingen zowel als de technologieplatformen zijn ontworpen, geconfigureerd, onderhouden en geëvalueerd op basis van erkende beveiligingscriteria, zoals OWASP, NIST SP 800 en de CIS Benchmark suite. Kwetsbaarheden en dreigingen worden op een continue wijze opgevolgd.
  9. Een programma voor bedrijfscontinuïteit laat toe om de bedrijfswerking en de dienstverlening te herstellen na een uitval of calamiteit. De normen voor informatiebeveiliging blijven gehandhaafd gedurende de activatie van dit programma.
  10. Het beleid voor informatieveiligheid en de implementatie ervan worden regelmatig geëvalueerd (o.a. in ISAE3402 type II audits). 

Bedrijfscontinuïteit

Continuity Philosophy

Business Continuity Management (BCM) is bij Quintessence Consulting nv bedrijfswijd als deel van “corporate governance” doorgevoerd. BCM zorgt voor de correcte implementatie van de regulering en van de standaarden en goede praktijken voor bedrijfscontinuïteit, gepubliceerd door nationale en internationale organisaties zoals BSI en ISO. Het Quintessence systeem voor business continuity management zorgt voor de continuïteit van onze dienstverlening wanneer een storing zou voorkomen ten gevolge van een ernstig incident of een calamiteit, zoals o.a. stroomuitval, brand, ontoegankelijkheid van de gebouwen en incidenten met de ICT infrastructuur. Alle cruciale activiteiten in de organisatie zijn gedocumenteerd en ze worden regelmatig getest en geoptimaliseerd overeenkomstig de continuïteitsstrategie.

BCM Implementatie

Ons BCM proces is gebaseerd op de British Standard 25999 for business continuity management en de ISO 22301 for Societal Security. Onze bedrijfscontinuïteitsstrategie behandelt de onbeschikbaarheid van gebouwen, ICT en personeel, door middel van actieplannen en de installatie van noodvoorzieningen. Zo zijn er onder meer:

  1. De voorziening van uitwijklocaties en infrastructuur om onze medewerkers te huisvesten wanneer een gebouw onbruikbaar is. Daarbij blijft ook de confidentialiteit van onze klant bewaard;
  2. Het doordacht ontwerp van onze informatie- en technologiesystemen zodat wij onze cruciale diensten kunnen heropstarten door middel van een ICT Disaster Recovery Plan (ICT DRP);
  3. De aanstelling van titularissen en vervangers voor alle cruciale functies in de resilience organisatie.

Veerkracht Organisatie

Quintessence Consulting nv heeft een veerkrachtige organisatiestructuur opgezet om gepast te reageren op elk type incident dat de continuïteit van de organisatie kan bedreigen. De veerkracht van de organisatie steunt op de werking van verschillende specifieke teams om de continuïteit te waarborgen: Incident, Crisis, Facility en IT DRP teams. Voor elk van deze teams zijn er up-to-date plannen die incident evaluatieprocedures omvatten, richtlijnen voor escalatie, call trees en andere business recovery vereisten. Ook zijn er instructies voor crisismanagement en crisiscommunicatie zodanig dat bij een ernstig incident of een calamiteit op de gepaste wijze gecoördineerd en gecommuniceerd wordt met alle stakeholders.

Onderhoud en testen

Naast een jaarlijkse revisie van de plannen, als onderdeel van het onderhoudsproces, wordt er actie gemaakt van een continue sensibilisering doorheen de ganse organisatie en van de inbedding van een continuïteitscultuur door middel van regelmatige opleiding en oefening. Het oefenen van de continuïteitsprocedures beschouwen wij als een vitaal element van ons BCM proces en als een gelegenheid om verbeteringspunten te ontdekken.