GereLateerd

titelimage
29 november 2023
Achter de schermen bij de premie-aanpassing van zorgverzekeraars
12 september 2023
E-mail Effectiviteit Ontcijferd
18 juli 2023
Hoe personaliseer je klantcommunicatie?

CCM in the Cloud: een aantoonbaar veilig communicatieplatform

Het communicatieplatform van Harmony, CCM in the Cloud, draait al jaren naar volle tevredenheid bij diverse klanten. De focus van CCM in the Cloud ligt niet alleen op de geboden functionaliteit; informatieveiligheid is een minstens zo belangrijke factor. Wij leggen uit hoe we ervoor zorgen dat de veiligheid van ons CCM in the Cloud platform gegarandeerd blijft.

Penetratietestrapportage

Penetration test

De architectuur van CCM in the Cloud is zo ontworpen dat de functionaliteit gedekt is én tegelijkertijd voldaan wordt aan noodzakelijke beveiligingsprincipes. Een derde partij toetst deze beveiliging door middel van een penetratietest. Deze penetratietest bestaat uit verschillende fases:

  • De ‘blackbox’-test: de pentest partij heeft geen enkele toegang tot het CCM-platform en probeert binnen te dringen door gebruik te maken van mogelijke kwetsbaarheden.
  • De ‘whitebox’-test: de pentest partij toetst of ze met verkregen autorisaties (vergelijkbaar met autorisaties die afnemers of ondersteunende partijen krijgen) toegang kunnen krijgen tot onderdelen van het platform waar geen autorisaties voor gegeven zijn.
  • Deze intensieve testen worden jaarlijks herhaald en eventuele aanbevelingen of bevindingen worden door Harmony opgepakt of verholpen. Als afnemer van CCM in the Cloud kun je hier jaarlijks de management samenvatting van krijgen.
ISO27001 certificering

Harmony heeft een managementsysteem voor informatiebeveiliging (ISMS). Niet alleen voor CCM in the Cloud, maar voor alle beheerdienstverleningen. Met behulp van dit ISMS houdt de directie toezicht en controle op de juiste werking hiervan. Dit houdt in dat:

  • Beleid en procedures aangaande informatiebeveiliging conform de ISO27001 zijn gedefinieerd.
  • Deze operationeel belegd zijn bij de juiste verantwoordelijken.
  • Per kwartaal een beoordeling door de directie plaatsvindt waarin vastgesteld wordt of de doelen van informatiebeveiliging gehaald zijn.
  • Er jaarlijks een interne audit plaatsvindt. Hiermee doorloopt Harmony op frequente basis de Plan-Do-Check-Act cyclus en borgt continue verbetering op het gebied van informatiebeveiliging.

Vanaf 2019 is het ISMS van Harmony ISO27001 gecertificeerd. Een onafhankelijke externe auditor beoordeelt jaarlijks of het ISMS van Harmony voldoet aan alle eisen. Het ISMS en ook de 114 maatregelen van de bijlage van de ISO27001 (de Annex A) worden dan getoetst. De ISO27001 auditor doet met het certificeren een uitspraak dat het ISMS voldoet aan de vereisten. Als afnemer van CCM in the Cloud kun je altijd het actuele certificaat en verklaring van toepasselijkheid opvragen.

In 2022 is de nieuwe ISO27001:2022 uitgekomen. Harmony zal zich tijdig conformeren aan deze nieuwe versie en heeft al een impact analyse hierop gedaan.

ISAE3000 Assurance verklaring CCM

Een ISO27001 certificering geeft veel inzicht in een werkend informatiebeveiliging managementsysteem, maar geeft voor afnemers soms nog onvoldoende zekerheid over de uitgevoerde maatregelen. Een Assuranceverklaring (ISAE3000) geeft daar wel een aantoonbaar bewijs voor.

Harmony heeft een ISAE3000 verklaring gebaseerd op de 50 belangrijkste maatregelen van de bijlage (Annex A) van de ISO27001. Harmony wordt jaarlijks aan een controle onderworpen door een accountant die opzet, bestaan en werking toetst van de maatregelen specifiek voor CCM. Bij een ISAE3000 audit wordt teruggekeken over een periode (kalenderjaar) of CCM zich heeft gehouden aan de 50 geselecteerde ISO2700 Annex A maatregelen. Dit gebeurt met een intensieve deelwaarneming die een reële afspiegeling geeft van hetgeen heeft plaatsgevonden. Hiermee kan Harmony haar afnemers de zekerheid (‘Assurance’) geven dat de verwerkingen door CCM op een veilige manier verlopen. De ISO27001 certificering die Harmony al jaren heeft gaat over alle Annex A maatregelen. Als afnemer van CCM in the Cloud kun je jaarlijks de ISAE3000-verklaring verkrijgen.

 

Heb je naar aanleiding van dit artikel vragen voor ons wat betreft informatiebeveiliging of ben je geïnteresseerd in onze oplossing en dienstverlening? Neem dan vrijblijvend contact met ons op en wij kijken graag met jou naar de mogelijkheden