Introductie
Organizeo's doel is om marketingprofessionals en bureaus te helpen hun succesnormen te bereiken en te overtreffen. Wij geloven in het verbeteren van automatisering, het versterken van communicatie en het verhogen van schaalbaarheid op een consumentvriendelijke manier, en wij bieden consequent toekomstgerichte updates die deze prioriteiten weerspiegelen. Sinds de oprichting in 2022, is Organizeo continu exponentieel gegroeid, waardoor de impact op de techgemeenschap is toegenomen. Bij Organizeo meten we ons succes aan het succes van onze klanten en daarom geven we prioriteit aan het optimaliseren van onze aanbiedingen om aan hun behoeften te voldoen. Ons door AI aangedreven alles-in-één verkoop-, marketing- en klantrelatiebeheer (CRM) platform biedt talrijke functies die essentieel zijn voor bureaus en marketeers. Deze uitgebreide softwareoplossing biedt onze klanten onbeperkte mogelijkheden om ambitieuze verkoopdoelen te stellen en daadwerkelijk te bereiken, ondersteund door ons team van experts. We moedigen onze klanten ook aan om ons platform als hun eigen merk te herpositioneren, waarbij we bureaus en marketeers alles bieden wat ze nodig hebben om verder te groeien dan ze ooit voor mogelijk hielden voor zichzelf, hun bedrijven en hun klanten.
Organizeo's primaire beveiligingsfocus is het beschermen van de gegevens van onze klanten. Organizeo heeft geïnvesteerd in de juiste controles om onze klanten te beschermen en te dienen. Deze investering omvat het implementeren van specifieke bedrijfs-, product- en infrastructuurbeveiligingsprogramma's. Ons juridisch team, in samenwerking met andere afdelingen, houdt toezicht op de implementatie van deze programma's.
Onze Beveiligings- en Compliance Doelstellingen
We hebben ons beveiligingskader ontwikkeld met behulp van best practices voor de Software-industrie. Onze belangrijkste doelstellingen zijn: Klantvertrouwen en -bescherming: superieure producten en diensten leveren terwijl de privacy en vertrouwelijkheid van gegevens worden beschermd Beschikbaarheid en Continuïteit van Dienstverlening: de beschikbaarheid van de dienst garanderen en risico's voor de continuïteit van de dienstverlening minimaliseren Informatie- en Dienstintegriteit: ervoor zorgen dat klantinformatie nooit onjuist wordt gewijzigd of gecorrumpeerd.
Organizeo Beveiligingscontroles
Om de aan ons toevertrouwde data te beschermen, gebruikt Organizeo lagen van administratieve, technische en fysieke beveiligingscontroles door onze hele organisatie. De volgende secties beschrijven een deel van onze meest gestelde vragen over beveiligingscontrole.
Infrastructuurbeveiliging
Organizeo host geen product systemen of data binnen fysieke kantoren. Organizeo besteedt de hosting van haar productinfrastructuur uit aan toonaangevende cloudinfrastructuurproviders zoals Google Cloud Platform Services en Amazon Web Services. We vertrouwen op de gecontroleerde beveiligings- en nalevingsprogramma's van Google en AWS voor de effectiviteit van hun fysieke, omgevings- en infrastructuurbeveiligingscontroles. Google biedt klanten een maandelijkse uptime percentage van minimaal 99,5%. Meer informatie over de controles, processen en nalevingsmaatregelen die door Google zijn geïmplementeerd, vindt u in hun openbaar beschikbare Compliance Resource Center. AWS garandeert tussen 99,95% en 100% servicebetrouwbaarheid, en zorgt voor redundantie voor alle stroom-, netwerk- en HVAC-diensten. De bedrijfscontinuïteits- en rampenherstelplannen voor de AWS-diensten zijn onafhankelijk gevalideerd als onderdeel van hun SOC 2 Type 2-rapport en ISO 27001-certificering. AWS's compliance documentatie en auditrapporten zijn openbaar beschikbaar op de AWS Cloud Compliance-pagina en het AWS Artifacts Portal. Netwerk en Perimeter
De productinfrastructuur van Organizeo handhaaft meerdere lagen van filtering en inspectie op alle verbindingen via onze webapplicatie, logische firewalls en beveiligingsgroepen. Netwerktoegangsbeheerlijsten worden geïmplementeerd om ongeautoriseerde toegang tot onze interne productinfrastructuur en bronnen te voorkomen. Standaard zijn firewalls geconfigureerd om netwerkverbindingen die niet expliciet zijn toegestaan te weigeren. Wijzigingen in onze netwerk- en perimetersystemen worden beheerst door standaard wijzigingsbeheerprocessen. Firewallregelsets worden periodiek beoordeeld om te helpen garanderen dat alleen noodzakelijke verbindingen zijn geconfigureerd. Configuratiebeheer
Automatisering drijft Organizeo's vermogen om op te schalen met de behoeften van onze klanten en configuratiebeheer is ingeschakelt in onze dagelijkse infrastructuurverwerking. De productinfrastructuur is een sterk geautomatiseerde omgeving die capaciteit uitbreidt indien nodig. Alle serverconfiguraties zijn ingebed in afbeeldingen en configuratiebestanden, die worden gebruikt wanneer nieuwe containers worden ingericht. Elke container bevat zijn eigen geharde configuratie en wijzigingen aan de configuratie en standaardafbeeldingen worden beheerd via een gecontroleerde veranderingspijplijn. Serverinstanties worden strak gecontroleerd van inrichting tot deprovisioning, waarbij ervoor wordt gezorgd dat afwijkingen van configuratiebaselines worden gedetecteerd en teruggedraaid op een vooraf gedefinieerd ritme. In het geval dat een productieserver afwijkt van de basisconfiguratie, wordt deze binnen 30 minuten overschreven met de basislijn. Patchbeheer wordt afgehandeld met behulp van geautomatiseerde configuratiebeheertools of door het verwijderen van serverinstanties die niet langer voldoen aan de verwachte basislijn. Logging
Acties en gebeurtenissen die plaatsvinden binnen de Organizeo-applicatie worden consistent en uitgebreid gelogd. Deze logs worden geïndexeerd en opgeslagen in een centrale logoplossing die wordt gehost in de cloudomgeving van Organizeo. Beveiligingsrelevante logs worden ook bewaard, geïndexeerd en opgeslagen om onderzoek en reactieactiviteiten te vergemakkelijken. De bewaarperiode van logs hangt af van de aard van de gelogde gegevens. Schrijftoegang tot de opslagservice waarin logs zijn opgeslagen, wordt strikt beheerst en beperkt tot een kleine subset van ingenieurs die toegang nodig hebben.
Organizeo investeert in geautomatiseerde monitoring, waarschuwingen en reactiemogelijkheden om continu potentiële problemen aan te pakken. De productinfrastructuur van Organizeo is geïnstrumenteerd om ingenieurs en beheerders te waarschuwen wanneer er afwijkingen optreden. In het bijzonder triggeren foutpercentages, misbruikscenario's, applicatie-aanvallen en andere afwijkingen automatische reacties of waarschuwingen aan de juiste teams voor reactie, onderzoek en correctie. Veel geautomatiseerde triggers zijn ook ontworpen om onmiddellijk te reageren op afwijkende situaties. Zo worden verkeersafzwakking, procesbeëindiging en soortgelijke functies geactiveerd bij vooraf gedefinieerde drempels. Applicatiebeveiliging Webapplicatie Verdediging Alle klantcontent gehost op het platform wordt beschermd door firewall en applicatiebeveiliging. De monitoringshulpmiddelen bewaken actief de applicatielaag en kunnen waarschuwen voor kwaadaardig gedrag op basis van gedragstype en sessiesnelheid. De regels die worden gebruikt om kwaadaardig verkeer te detecteren en te blokkeren, zijn afgestemd op de beste praktijkrichtlijnen van het Open Web Application Security Project (OWASP), met name de OWASP Top 10 en soortgelijke aanbevelingen. Bescherming tegen Distributed Denial of Service (DDoS)-aanvallen is ook opgenomen, om te helpen verzekeren dat klantenwebsites en andere delen van de Organizeo-producten continu beschikbaar zijn.
Ontwikkeling en Releasebeheer
Organizeo optimaliseert onze producten via een moderne continue leveringsbenadering van softwareontwikkeling. Nieuwe code wordt regelmatig ingezet. Codebeoordelingen, tests en samenvoegingsgoedkeuring worden uitgevoerd vóór de implementatie. Statische codeanalyse wordt regelmatig uitgevoerd tegen coderepositories en blokkeert bekende misconfiguraties van het invoeren van de codebasis. Goedkeuring wordt gecontroleerd door aangewezen repository-eigenaren en eenmaal goedgekeurd, wordt code automatisch ingediend bij Organizeo's continue integratieomgeving waar compilatie, verpakking en unit testing plaatsvinden. Dynamische tests voor beveiligingskwetsbaarheden worden periodiek uitgevoerd tegen onze applicaties. Nieuw ontwikkelde code wordt eerst ingezet in een speciale en aparte QA-omgeving voor de laatste testfase voordat het naar productie wordt gepromoveerd. Netwerk- en projectniveau segmentatie voorkomt ongeautoriseerde toegang tussen QA- en productieomgevingen. Alle code-implementaties zijn geautomatiseerd en in geval van storingen kunnen de wijzigingen worden teruggedraaid. Het implementatieteam beheert meldingen over de gezondheid van hun applicaties en als er een storing optreedt, worden rollback-processen onmiddellijk ingezet. We gebruiken uitgebreide softwarepoorten en verkeersbeheer om functies te beheersen op basis van klantvoorkeuren (private bèta, publieke bèta, volledige lancering). Organizeo biedt naadloze updates en als een SaaS-applicatie is er geen downtime geassocieerd met releases. Grote wijzigingen in functies worden gecommuniceerd via in-app berichten en/of productupdateberichten.
Kwetsbaarheidsbeheer
Het Organizeo-team beheert een gelaagde aanpak voor kwetsbaarheidsbeheer, waarbij verschillende industrie-erkende hulpmiddelen en dreigingsfeeds worden gebruikt om een uitgebreide dekking van onze technologiestack te garanderen. Kwetsbaarheidsscans zijn geconfigureerd om regelmatig te scannen op kwetsbaarheden, met behulp van adaptieve scanningsinclusielijsten voor asset discovery en de nieuwste kwetsbaarheidsdetectiesignaturen. We voeren jaarlijkse penetratietests uit tegen onze applicaties en infrastructuren om kwetsbaarheden te identificeren die beveiligingsgerelateerde risico's kunnen opleveren. Relevante bevindingen worden beoordeeld en mitigerende maatregelen worden dienovereenkomstig geprioriteerd.
Gegevensclassificatie Volgens de Servicevoorwaarden van Organizeo zijn onze klanten verantwoordelijk voor het waarborgen dat zij alleen passende informatie vastleggen ter ondersteuning van hun marketing-, verkoop-, diensten-, contentbeheer- en operationele processen. De Organizeo-producten mogen niet worden gebruikt voor het verzamelen of opslaan van gevoelige informatie, zoals creditcard- of betaalkaartnummers, financiële rekeninginformatie, burgerservicenummers, paspoortnummers, financiële of gezondheidsinformatie, behalve zoals anderszins toegestaan. Huurderscheiding
Organizeo biedt een multi-tenant SaaS-oplossing waarbij klantgegevens logisch worden gescheiden met behulp van unieke ID's om gegevens en objecten aan specifieke klanten te koppelen. Autorisatieregels zijn opgenomen in de ontwerparchitectuur en worden continu gevalideerd. Daarnaast worden applicatie-authenticatie en bijbehorende wijzigingen, applicatiebeschikbaarheid en gebruikerstoegang en -wijzigingen gelogd. Encryptie
Alle gegevens worden versleuteld tijdens de overdracht met TLS-versie 1.2 of 1.3 en 2.048-bitsleutels of beter. Transportlaagbeveiliging (TLS) is ook standaard voor klanten die hun websites hosten op het Organizeo-platform. Organizeo maakt gebruik van verschillende technologieën om te zorgen dat opgeslagen gegevens versleuteld zijn in rust. Platformgegevens worden opgeslagen met behulp van AES-256-encryptie. Gebruikerswachtwoorden worden gehasht volgens de beste praktijken in de branche en zijn versleuteld in rust. Sleutelbeheer
Encryptiesleutels voor zowel in transit als in rust encryptie worden veilig beheerd door het Organizeo-platform. TLS privésleutels voor in transit encryptie worden beheerd via onze content delivery-partner. Volume- en veldniveau-encryptiesleutels voor in rust encryptie worden opgeslagen in een gehard Key Management System (KMS). Sleutels worden geroteerd met verschillende frequenties, afhankelijk van de gevoeligheid van de gegevens die ze beheren. Over het algemeen worden TLS-certificaten jaarlijks vernieuwd. Organizeo is momenteel niet in staat om door de klant geleverde encryptiesleutels te gebruiken.
Systeembetrouwbaarheid en Herstel Organizeo zet zich in om systeemuitvaltijd te minimaliseren. Alle Organizeo-productdiensten zijn gebouwd met redundantie. Serverinfrastructuur is strategisch verdeeld over meerdere afzonderlijke beschikbaarheidszones en virtuele privé-cloudnetwerken binnen onze infrastructuurproviders, en alle web-, applicatie- en databasecomponenten worden ingezet met een point-in-time herstel. Backupstrategie Systeemback-ups Systemen worden regelmatig geback-upt met vastgestelde schema's en frequenties. Zeven dagen aan back-ups worden voor elke database bewaard op een manier die gemakkelijke restauratie garandeert. Back-ups worden gemonitord op succesvolle uitvoering, en er worden waarschuwingen gegenereerd in het geval van uitzonderingen. Storingswaarschuwingen worden geëscaleerd, onderzocht en opgelost. Gegevens worden dagelijks geback-upt naar de lokale regio. Monitoring en waarschuwingen zijn ingesteld voor replicatiefouten en worden dienovereenkomstig afgehandeld. Fysieke Backupopslag
Omdat we openbare cloudservices gebruiken voor hosting, backup en herstel, implementeert Organizeo geen fysieke infrastructuur of fysieke opslagmedia binnen haar producten. Organizeo produceert of gebruikt over het algemeen geen andere soorten hardcopy media (zoals papier, tape, enz.) als onderdeel van het beschikbaar maken van onze producten voor onze klanten. Backupbeschermingen
Standaard zijn alle back-ups beschermd door toegangsbeheerbeperkingen en write once read many (WORM) beschermingen op Organizeo-productinfrastructuurnetwerken, en toegangscontrolelijsten op de bestandssystemen die de back-upbestanden opslaan. Klantgegevens Backup Herstel
Organizeo-klanten hebben geen toegang tot de productinfrastructuur op een manier die een door de klant gestuurde failover-gebeurtenis zou toestaan. Rampenherstel- en veerkrachtoperaties worden beheerd door Organizeo-productengineeringteams. In sommige gevallen kunnen klanten de prullenbak gebruiken om direct contacten, kansen, aangepaste velden, aangepaste waarden, tags, notities en taken tot 30 dagen nadat ze zijn verwijderd te herstellen. Wijzigingen in webpagina's, blogposts of e-mails kunnen worden hersteld naar eerdere versies van content met behulp van versiegeschiedenis. Voor klanten die hun gegevens daarnaast willen back-uppen, biedt het Organizeo-platform veel manieren om ervoor te zorgen dat u hebt wat u nodig hebt. Veel van de functies binnen uw Organizeo-portal bevatten exportopties, en de Organizeo-bibliotheek met openbare API's kan worden gebruikt om uw gegevens met andere systemen te synchroniseren.
De Organizeo-Tools staan gebruikers toe om in te loggen op hun Organizeo-accounts met de native Organizeo-login. De native login dwingt een uniform wachtwoordbeleid af dat een minimum van 8 tekens vereist en een combinatie van hoofd- en kleine letters, speciale tekens en cijfers. Mensen die de native Organizeo-login gebruiken, kunnen het standaard wachtwoordbeleid niet wijzigen. Klanten die Organizeo's ingebouwde login gebruiken, worden beschermd door tweefactorauthenticatie voor hun Organizeo-accounts. Portaalbeheerders kunnen vereisen dat alle gebruikers tweefactorauthenticatie ingeschakeld hebben. Toegang van Organizeo-medewerkers tot Klantgegevens Toegang tot Productie-infrastructuur Gebruikerstoegang tot interne gegevensopslag en productie-infrastructuur wordt strikt gecontroleerd. Organizeo-medewerkers krijgen toegang met behulp van een op rollen gebaseerd toegangsbeheer (RBAC) model. Dagelijkse toegang wordt geminimaliseerd tot leden van het engineeringteam en persistente administratieve toegang is beperkt. Daarnaast is directe netwerkverbinding met productinfrastructuurapparaten via SSH of soortgelijke protocollen verboden, en ingenieurs zijn verplicht om eerst te authenticeren via een bastionhost of "jump box" of een toegewezen IAM-rol te hebben voor de bron voordat ze toegang krijgen tot serveromgevingen. Toegang tot Klantportalen Standaard kunnen klantenondersteunings-, servicemedewerkers en andere medewerkers die klanten betrekken beperkte toegang krijgen tot delen van uw Organizeo-account om u te helpen Organizeo te gebruiken. De Organizeo-applicatie gebruikt ook een JITA-model om medewerkers toegang te verlenen tot een klantenportaal voor een beperkte duur (Portal JITA). Elke Portal JITA-aanvraag wordt gelogd. Toegang is gekoppeld aan een specifiek klantenportaal voor een maximale periode van 24 uur. Organizeo maakt ook gebruik van risicogebaseerde monitoring om ongebruikelijke Portal JITA-activiteit te detecteren. Bij het openen van een portaal met Portal JITA kunnen Organizeo-medewerkers geen acties met een hoog risico uitvoeren, zoals: Domein- of SSO-instellingen wijzigen Gebruikers/contacten exporteren Privé-appsleutels bekijken/maken/verwijderen/roteren Gegevens importeren naar de CRM Contacten, bedrijven, deals en tickets verwijderen Gebruikerslogins, toegang van Organizeo-medewerkers, beveiligingsactiviteiten en inhoudsactiviteiten worden gelogd. Bedrijfsauthenticatie en -autorisatie
Toegang tot het Organizeo-bedrijfsnetwerk vereist MFA. Wachtwoordbeleid volgt de beste praktijken in de branche voor vereiste lengte, complexiteit en rotatiefrequentie. Wachtwoordkluizen zijn aanwezig voor het beheer van bepaalde administratieve accountwachtwoorden, en de toegang tot de kluis wordt beheerd door Role Based Access Control of via het JITA-proces. We hebben een uitgebreid ondersteuningssysteem gebouwd om onze beveiligingsbeheer- en complianceactiviteiten te stroomlijnen en automatiseren. Naast vele andere functies zorgen we ervoor dat toestemmingsverleningen passend zijn, medewerkersgebeurtenissen worden beheerd, intrekkingen van toegang tijdig zijn, wijzigingslogboeken effectief worden verzameld en compliancebewijs wordt bewaard. Medewerkerstoegang en -machtigingen tot belangrijke interne systemen worden handmatig elk halfjaar beoordeeld om te helpen verzekeren dat verleende toegang noodzakelijk is voor hun functie. Organisatorische en Bedrijfsbeveiliging Beleidsbeheer
Om al onze medewerkers op één lijn te houden met betrekking tot het beschermen van gegevens, documenteert en onderhoudt Organizeo schriftelijke beleidslijnen en procedures. Specifiek onderhoudt Organizeo een kern Geschreven Informatiebeveiligingsbeleid, dat een verscheidenheid aan onderwerpen dekt, zoals gegevensbehandelingsvereisten, privacyoverwegingen en disciplinaire acties voor beleidsovertredingen. Beleidslijnen worden ten minste jaarlijks beoordeeld en goedgekeurd. Leveranciersbeheer
Organizeo kan gebruikmaken van externe dienstverleners om de ontwikkeling van ons product en interne operaties te ondersteunen. We zorgen ervoor dat onze leveranciers passende beveiligings- en privacycontroles hebben als onderdeel van onze contractuele relatie met hen. We onderhouden ook een lijst van onze subverwerkers (die van tijd tot tijd kunnen veranderen) binnen onze Gegevensverwerkingsovereenkomst. Eindpuntbeveiliging
Door het bedrijf uitgegeven laptops worden centraal beheerd en zijn geconfigureerd om volledige schijfversleuteling te handhaven. We implementeren een oplossing voor Mobiel Apparaatbeheer die een gecentraliseerd platform biedt voor IT-beheerders om mobiele apparaten in een organisatie te beheren en te monitoren. Dit omvat het configureren van apparaatinstellingen, het afdwingen van beveiligingsbeleid, het implementeren van apps en het waarborgen van naleving van bedrijfsbeleid.
Zoals beschreven in ons Privacybeleid, verkopen we uw persoonlijke gegevens niet aan derden. De beschermingen die in dit document en andere door ons geïmplementeerde beschermingen worden beschreven, zijn ontworpen om ervoor te zorgen dat uw gegevens privé en ongewijzigd blijven. Gegevensbehoud en Gegevensverwijdering
Klantgegevens worden bewaard zolang u een actieve klant blijft. Huidige en voormalige klanten kunnen schriftelijke verzoeken indienen om bepaalde gegevens te laten verwijderen, en Organizeo zal aan die verzoeken voldoen zoals vereist door privacyregels en -voorschriften. Organizeo bewaart bepaalde gegevens zoals logs en gerelateerde metadata om te voldoen aan beveiligings-, nalevings- of wettelijke behoeften. Organizeo biedt klanten momenteel niet de mogelijkheid om aangepaste gegevensbewaringsbeleid te definiëren. Privacyprogrammabeheer
Het juridische team werkt samen met onze engineering- en productontwikkelingsteams om een effectief privacyprogramma te implementeren. Informatie over onze inzet voor de privacy van uw gegevens wordt gedetailleerder beschreven in ons Privacybeleid en onze Gegevensverwerkingsovereenkomst. Reactie op Inbreuken Organizeo zal klanten op de hoogte stellen zoals wettelijk vereist als we op de hoogte worden gesteld van een gegevensinbreuk die uw persoonlijke gegevens beïnvloedt.