ZIVVER werkt
aantoonbaar veilig

Op regelmatige basis testen onafhankelijke instanties ons uitvoerig. Daarmee beschermt ZIVVER de veiligheid van je gegevens.

Security
Image

Gegevens blijven binnen Europa

  • ZIVVER maakt voor de opslag van data gebruik van ISO27001 gecertificeerde datacentra
  • Deze datacentra staan fysiek in de EER (Europese Economische Ruimte)
  • Bescherming van de data is contractueel geregeld in Data Protection Agreements en Model Clauses
Image

Veilige verbinding tussen verzender, ZIVVER en ontvanger

  • ZIVVER communiceert met zowel zender als ontvanger via een SSL-verbinding.
  • Een SSL-verbinding is een gecodeerde verbinding tussen de server (ZIVVER) en bezoeker (verzender en ontvanger). Een SSL-verbinding kunt u eenvoudig herkennen aan de url (https://domein.com). Een goede browser geeft aan dat de lijn beveiligd is door middel van een klein slotje achter de URL of een groene balk.
  • SSL is min of meer verplicht gesteld in de Wet Bescherming Persoonsgegevens. Men moet immers de informatie via een beveiligde verbinding versturen en SSL is de enige die breed wordt gebruikt.
  • SSL-certificaten worden door verschillende bedrijven uitgegeven. ZIVVER heeft een certificaat van Comodo.
Image

Volledige versleuteling van opgeslagen data

  • Alle gegevens die je met ZIVVER verstuurt, slaan wij versleuteld op. We coderen gegevens met behulp van bewezen technologie. ZIVVER zorgt ervoor dat alleen de verzender en de ontvanger bij deze data kunnen komen.
  • Technische specificaties:
    ZIVVER slaat wachtwoorden nooit plain-tekst op en heeft geen toegang tot de decryptiesleutels van ‘data at rest’. Wachtwoorden worden gehashed met het Bcrypt algoritme voor controle bij inloggen.

    • Het wachtwoord van de gebruiker is de decryptiesleutel. De sleutel wordt van het wachtwoord afgeleid met PBKDF2 met HMAC-SHA256. Bestanden worden versleuteld met het AES 128-GCM algoritme. Dit algoritme bewaakt naast de vertrouwelijkheid ook de integriteit van het bestand.
    • Elk bestand krijgt een unieke encryptiesleutel en een unieke initialisatievector. De sleutels van de bestanden worden op hun beurt versleuteld met het RSA2048 algoritme. De cryptografisch veilige bron van random data voor het maken van de encryptiesleutels is CSPRNG.
Image

Tweede factor authenticatie via SMS of authenticator app

  • Two factor authenticatie (TFA) is een extra stap tijdens het inlogproces. Door het gebruik van TFA is de communicatie beter beveiligd tegen kwaadwillenden, zoals hackers. Als TFA is ingeschakeld dan heeft de hacker ook iets anders nodig, zoals een mobiele telefoon, token of een vingerafdruk en dat is vanaf zijn bureaustoel wat lastiger te verkrijgen. Bij versturen van persoonsgegevens is gebruik van TFA bijzonder aanbevolen.
  • ZIVVER gebruikt TFA zowel voor het beveiligen van accounts van gebruikers als voor het beveiligen van berichten. Door een uniek protocol hoeft een ingelogde ZIVVER gebruiker niet ook nog eens per bericht een tweede factor in te voeren. Bovendien kunnen gebruikers van ZIVVER hun eigen computer, telefoon of tablet steeds 30 dagen vertrouwen. Tijdens die periode is het op die apparaten niet nodig om opnieuw codes in te voeren. Veilig en toch makkelijk!
  • ZIVVER biedt twee mogelijkheden voor TFA via mobiele telefoon: een tijdsgebaseerd token via een authenticator app of een SMS-code. Alleen de smartphone die aan een gebuikersaccount gekoppeld is, kan de juiste code geven om toegang te krijgen. Bij een SMS-code stuurt ZIVVER een korte toegangscode naar het vooraf opgegeven 06-nummer.
  • Als TFA via een mobiele telefoon niet mogelijk of niet wenselijk is, biedt ZIVVER TFA door middel van een extra wachtwoord. Dit wachtwoord biedt alleen extra veiligheid als verzender en ontvanger dit wachtwoord met elkaar delen via een ander kanaal dan het e-mailadres van de ontvanger, bijvoorbeeld door een code op papier mee te geven of telefonisch door te geven.
Image

Backup codes tegen dataverlies bij vergeten wachtwoorden

  • Bescherming van communicatie moet niet leiden tot verlies van gegevens. Toch betekent verlies van het wachtwoord dat een ZIVVER account echt niet meer toegankelijk is. Ook ZIVVER kan informatie immers niet ontsleutelen zonder het wachtwoord.
  • Beheerders hebben de mogelijkheid om een account te herstellen na wachtwoordverlies.
  • Gebruikers kunnen backup codes downloaden voor het geval ze geen toegang hebben tot hun 2e factor. Bijvoorbeeld als je mobiel nog thuis ligt. Beheerders kunnen ook toegang geven tot deze backup codes.
  • Veilige opslag van de backup codes is essentieel om veiligheid te verzekeren. Binnen organisaties is voor het gebruik van backup codes  toestemming / medewerking nodig van de security officer.
Image

Veiligheid voor alles

  • Privacy verified: ZIVVER is getoetst op het naleven van de best practices op het gebied van privacy wet- en regelgeving en heeft hiervoor het certificaat Privacy Verified ontvangen. We voldoen aan de strengste internationale privacyregels!
  • ZIVVER heeft een ISO27001:2013 en NEN7510:2011 gecertificeerd Information Security Management System (ISMS)
  • Madison Gurkha heeft de broncode van ZIVVER getoetst en veilig bevonden. Dit rapport is op verzoek in te zien.
  • Deloitte test periodiek de veiligheid van de ZIVVER applicaties met haar dienst “ Hacking as a Service – niveau Goud”. Hiermee toont ZIVVER aan dat security een continu proces is en laat zich hierdoor periodiek bijstaan om de veiligheid continu te blijven verbeteren.
  • ZIVVER zal ‘friendly hackers’ aanmoedigen om eventuele kwetsbaarheden in haar producten en diensten te melden.
  • Belangrijke elementen van onze werkwijze die uw veiligheid garanderen:
    • Interne privacy & security officer
    • Externe auditors
    • Two-factor authentication voor gevoelige onderdelen
    • Medewerkerstoegang tot data op basis van need-to-know-principe
    • 4-ogen principe voor kritische bedrijfsonderdelen
    • Gedetailleerde logging & monitoring (intern en extern)
    • Outsourcingbeleid met geheimhoudingsverklaring en een bewerkersovereenkomst
    • Medewerkers beschikken over een verklaring omtrent het gedrag (VOG)
    • Geheimhoudingsplicht voor alle medewerkers vastgelegd in arbeidsovereenkomst

ZIVVER werkt aantoonbaar veilig