Veiligheid heeft onze hoogste prioriteit

Tripolis helpt klanten over de hele wereld. We houden ons dan ook dagelijks bezig met de bescherming, beveiliging en betrouwbaarheid van klantgegevens. We leven in een tijd waarin datalekken steeds vaker een bedreiging vormen. Daarom doen we alles wat nodig is om de gegevens van onze klanten optimaal te beschermen.

Op deze pagina lees je alles wat jij moet weten over onze ISO certificering, beschikbaarheid, productbeveiliging, infrastructuur en back-up- en herstelmogelijkheden. Ook lees je over ons OSI-model met 7 lagen. Kan je niet vinden wat je zoekt? Aarzel niet om contact met ons op te nemen!

Tripolis is gecertificeerd volgens ISO 9001:2015 en ISO 27001:2013. Voor onze klanten betekent de ISO 27001 certificering dat we voldoen aan duidelijk gedefinieerde technische en op veiligheid gebaseerde normen als ook vastgelegde serviceniveau voor onze diensten. De basis voor de verdere ontwikkeling van onze interne ICT-beveiligingsnormen en de continue aanpassing aan veranderende kaders en taken, wordt gevormd door reguliere interne controle van de processen en bepalingen die in ISO 27001 zijn vastgelegd.

Tripolis schakelt regelmatig externe partijen in om code- en beveiligingsaudits (zogenaamde ‘Pen Tests’) uit te voeren. Voorbeelden daarvan zijn black hat- en white hat-penetratietests. De externe partij zoekt naar kwetsbaarheden en probeert toegang te krijgen. De tests worden gebruikt om te controleren of onze oplossing zichzelf inderdaad weet te beschermen tegen de nieuwste technieken die door binnendringers worden gebruikt.

• Het Tripolis platform is nagenoeg altijd beschikbaar en erg betrouwbaar: we bieden een gegarandeerde uptime van 99,7%.
• We maken meerdere online back-ups van de gegevens van klanten, zodat we zeker weten dat we jouw gegevens nooit kwijtraken.
• Ons operationele team houdt het gedrag van ons platform en van onze toepassing uur in, uur uit, jaar in, jaar uit in de gaten.
• Je campagnes zijn voor ons net zo belangrijk als voor jou. Wanneer we gepland onderhoud uitvoeren of als er sprake is van prestatieverslechteringen of onderbrekingen in onze diensten, zullen we je daarover informeren via onze statuswebsite. We zorgen dat je continu op de hoogte blijft. Wanneer er sprake is van een probleem worden dit soort berichten automatisch op je aanmeldscherm weergegeven. Je kunt je ook abonneren op updates, zodat je deze automatisch in je inbox ontvangt.

• Jouw sessies op ons platform worden altijd beschermd door krachtige versleutelingsalgoritmen (TLS 1.2). Daardoor zijn we er zeker van dat afluisteracties en man-in-the-middle-aanvallen niet mogelijk zijn.
• Web Application Firewall-technologieën (WAF) detecteren en blokkeren aanvallen voordat ze de voordeur bereiken.
• Onze externe Distributed Denial of Service-diensten (DDoS) beschermen je website en toegang tot je producten tegen aanvallen die bedoeld zijn om toegang te blokkeren.
• Naast gewone gebruikers hebben bepaalde medewerkers van Tripolis toegang tot abonnementen van klanten en tot andere centrale beheerfuncties die nodig zijn om onze klanten te kunnen helpen. De Software-as-a-Service-omgeving (SaaS) van het Tripolis platform hanteert voor dit soort toegang een ander authenticatie- en autorisatieplan dan voor reguliere gebruikers.
• Elke medewerker van Tripolis die extra toegangsrechten krijgt, ontvangt een persoonlijk PKI-certificaat dat op zijn eigen computer moet worden geïnstalleerd. Elke keer wanneer de medewerker toegang tot het platform wilt, valideert het certificaat het verzoek om de authenticatie van de medewerker.
• Wanneer geen certificaat wordt gedetecteerd, wordt een sms naar het geregistreerde mobiele telefoonnummer van deze medewerker verstuurd. Dat gebeurt bijvoorbeeld wanneer de medewerker het product op externe apparaten demonstreert. Het sms bericht bevat een eenmalige en tijdelijke toegangscode die voor het aanmelden kan worden gebruikt.
• Informatie over de abonnementen, het toegangsniveau en de centrale beheerfuncties waar een medewerker van Tripolis toegang toe heeft, worden centraal beheerd. Alleen operationele teams kunnen toegangsrechten verlenen of intrekken.

• De Europese gegevens van Tripolis worden gehost door externe datacenters in Nederland. De toegang tot deze datacenters wordt strikt en dag en nacht bewaakt door medewerkers op locatie. Ook worden er biometrische scans en videobewaking ingezet. De datacentra zijn gecertificeerd volgens SSAE-16 SOC II en ISO 27001.
• Een Intrusion Prevention Systems (IPS) beschermt tegen binnendringen, fungeert als ‘poortwachter’ en controleert iedereen die via een netwerk toegang tot het platform wil. Wanneer netwerkverkeer niet aan de vooraf vastgestelde regels voldoet, zal het IPS voorkomen dat dit verkeer verder komt. Tripolis beschikt over een redundant IPS met meerlaagse toegangscontrole.
• Responsief proces voor incidentbeheer. We beschikken over eigen systemen die dag en nacht afwijkingen doorgeven aan onze beveiligingsteams en operationele teams, zodat beveiligingsproblemen worden opgelost zodra ze zich voordoen.
• De software-afdeling van Tripolis is verantwoordelijk voor het bouwen en onderhouden van onze SaaS-oplossing en de bijbehorende infrastructuur. Andere afdelingen binnen Tripolis kunnen alleen via de SaaS-toepassing bij informatie die in de SaaS-omgeving is opgeslagen.
• Alleen de leden van het operationele team dat verantwoordelijk is voor de dagelijkse activiteiten met betrekking tot de SaaS-toepassing en de benodigde infrastructuur hebben directe toegang tot gegevens binnen het platform.
• De ontwikkelingsteams, die verantwoordelijk zijn voor de core-ontwikkeling en voor klantspecifieke oplossingen, hebben geen toegang tot het productieplatform. Ze hebben beperkte toegang tot omgevingen voor (acceptatie)tests en tot speciale registratiesystemen voor de productieomgeving.

• Er is een speciaal back-up- en herstelbeleid ter bescherming van gegevens. Binnen Tripolis wordt dagelijks, wekelijks en maandelijks een combinatie van volledige en incrementele back-ups gemaakt. Dit stelt ons in staat om gegevens tot 90 dagen terug te herstellen. Desgewenst kunnen de gegevens voor onze afzonderlijke klanten worden hersteld.
• De back-up wordt gekloond en om veiligheidsredenen op een andere fysieke locatie opgeslagen dan op de locatie van de originele back-up. Wanneer een calamiteit de fysieke locatie van de back-up treft, is de tweede back-up veilig op een andere locatie.
• Op dit moment kan elke klant alle informatie voor onbeperkte tijd op het platform van Tripolis opslaan. Alle gegevens worden bewaard en de integriteit wordt gehandhaafd.
• Alle kritieke onderdelen van Tripolis (databases, servers en back-enddiensten) zijn redundant beschikbaar en kennen meerdere fail-over versies om uitval door een enkele storing te voorkomen. Onze back-upconfiguratie garandeert dat onze klanten na een grootschalig incident snel bij hun informatie kunnen.
• Vanwege de fail-over bestaan componenten uit minimaal twee delen. Wanneer het ene deel het laat afweten, hebben de resterende delen het vermogen om de werklast van het falende deel over te nemen.

Onze SaaS maakt volledig gebruik van de integratiemogelijkheden in de cloud en werkt niet met hard- en software bij klanten. Daardoor is de dienst voor iedereen beschikbaar.

Dankzij de juiste procedures en de garantie dat de toegang tot het Tripolis platform door geautoriseerde gebruikers goed wordt geconfigureerd en gecontroleerd, wordt het risico op misbruik door bevoegde gebruikers tot een minimum beperkt. Mogelijk misbruik van het Tripolis platform door onbevoegde gebruikers, met name wanneer ze afkomstig zijn van onbekende bronnen, moet worden voorkomen. Daarvoor zijn echter verschillende maatregelen nodig. Om het risico dat een deel van onze oplossing door onbevoegde personen, systemen of binnendringers wordt gebruikt te minimaliseren, zijn verschillende maatregelen getroffen om de beveiliging op alle niveaus te versterken.

Op basis van het ‘OSI’-model met 7 lagen zijn verschillende voorzorgsmaatregelen getroffen op elk niveau. Mogelijke binnendringers zijn zich bewust van dit model en vallen een toepassing aan om te zien of er openingen op een van de niveaus aanwezig zijn.

Wanneer de binnendringer toegang tot een bepaald niveau heeft gekregen, wordt deze opening vaak uitgebuit om toegang tot andere niveaus te krijgen, zodat op alle niveaus toegang en controle wordt verkregen.

Elke aanval begint met het verzamelen van informatie. Het is de bedoeling om informatie te vinden die iets vertelt over de technologie die op elk niveau wordt gebruikt, zodat een aanvalsstrategie kan worden gemaakt. Het is dan ook zaak om zo weinig mogelijk informatie te onthullen.