Security by design

Bij de ontwikkeling van FullyInControl heeft de veiligheid van je informatie vooropgestaan. FullyInControl is een modern cloud platform gebouwd op Amazon Web Services in een fail save en schaalbare omgeving. De infrastructuur is volledig schaalbaar en past zich aan op basis van de belasting en het aantal gebruikers (elastic cloud). Hierdoor kunnen we een optimale beschikbaarheid en performance realiseren.

De FullyInControl database is gebouwd in een gedistribueerde fout tolerante omgeving met geautomatiseerd gegevens-herstel. Naast meerdere snapshots en back-ups per dag worden de gegevens in FullyInControl in 3 clusters op drie aparte locaties gerepliceerd. Dit houdt in dat de data 3 keer opgeslagen wordt. Gebeurt er iets met het primaire cluster, dan neemt een van de andere clusters de gegevensverwerking in een aantal seconden over en wordt er direct een nieuw cluster opgebouwd.

Onze datacenters bevinden zich binnen de Europese Economische Ruimte (EER) (Specifiek Amazon Regio EU-West-1 (Ierland)), waarbij de European Union Data Protection Authorities de dataprocessing overeenkomst van onze datacenters heeft goedgekeurd.

FullyInControl

Een aantal maatregelen

Authenticatie

Multi Factor Authentication (MFA) zorgt ervoor dat je een token nodig hebt om in te loggen. Ook heeft FullyInControl een uitgebreide integratie met Microsoft Entra ID voor Single Sign On (SSO) en Identity Management. Zo profiteer je van alle Microsoft Entra ID Identity Management beveiligingsmogelijkheden.

Monitoring

Onze omgevingen worden 24/7 gemonitord op basis van Amazon GuardDuty. GuardDuty breng bedreigingen snel aan het licht met behulp van uitgebreide detectie algoritmes en machine learning (ML), gedragsmodellering.

Rechtensysteem

FullyInControl heeft een zeer uitgebreid rechten systeem. Hiermee wordt op basis van een (zelf gedefinieerde) gebruikersrollen bepaald welke modules, functies binnen module, gegevens in een module en de items in een module voor een gebruiker beschikbaar zijn. Een gebruiker kan meerdere rollen hebben.

Virtual Private Cloud (VPC)

Alle onderdelen van de FullyInControl systemen draaien binnen een Virtual Private Cloud. Dat betekent dat de communicatie tussen de subsystemen niet over het internet gaat. Dit beperkt risico's enorm. Enkel de communicatie tussen de browser van de gebruiker en de applicatie server gaat over een encrypte verbinding over het internet.

Encryptie

Mocht de data die over het internet wordt verstuurd worden afgevangen, dan is deze via sterke TLS SSL encryptie (enkel TLS 1.2 en hoger) versleuteld (Encryption in transit). Ook de data at rest is versleuteld met een 256 bits sterke encryptie.

Penetratie testen

FullyInControl laat regelmatig Penetratie testen uitvoeren op onze software en infrastructuur.

Certificeringen

Verder hebben onze infrastructuur providers o.a. de volgende certificeringen:

  • ISO 27001 en ISO 27017 (specifiek voor cloud services)
  • SOC 1 en SOC 2/SSAE 16/ISAE 3402 (Voorheen SAS 70 Type II)
    PCI Level 1
  • Sarbanes-Oxley (SOX)

Om een onafhankelijk beeld te krijgen over onze activiteiten die we ondernemen om onze Informatiebeveiliging op orde te houden is Fully In Control ISO27001 gecertificeerd door Brand Compliance. De scope van de certificering is: Informatiebeveiliging gerelateerd aan het ontwerpen, ontwikkelen, beheren en exploiteren van het (IMS) platform FullyInControl.
Dit alles natuurlijk gemanaged met ons eigen platform >