XSbyte levert ICT-diensten aan het MKB. Vertrouwelijkheid, integriteit en beschikbaarheid van informatie zijn daarbij essentieel. Dit beleid beschrijft hoe we informatiebeveiliging borgen.
ISO 27001
We zijn bezig met de implementatie van ISO 27001 en verwachten het certificaat medio Q3 2026 te behalen. We werken al grotendeels volgens deze norm: beleid, processen en technische maatregelen zijn gedocumenteerd en de organisatie is ingericht om de laatste stappen richting certificering af te ronden.
Uitgangspunten
- Beveiliging is een gedeelde verantwoordelijkheid van alle medewerkers.
- We werken volgens het principe least privilege: toegang alleen waar nodig.
- We documenteren processen en auditen ze periodiek.
- We reageren proactief op kwetsbaarheden en incidenten.
Organisatie
- De directie is eindverantwoordelijk voor informatiebeveiliging.
- Incidenten worden geregistreerd en geëvalueerd.
- Medewerkers ontvangen bij indiensttreding en jaarlijks instructie rond security-awareness.
Technische maatregelen
- Multi-factor authenticatie op alle beheersystemen.
- Harde scheiding tussen klantomgevingen.
- Netwerksegmentatie en firewall-regels op basis van need-to-access.
- Endpoint-beveiliging (antivirus, EDR) op alle werkplekken.
- Versleutelde opslag en transport (TLS, volledige schijfversleuteling).
- Patchbeheer: security-updates worden zo snel mogelijk uitgerold.
- Backups worden periodiek getest op herstelbaarheid.
Leveranciers en onderaannemers
Met leveranciers die persoonsgegevens verwerken sluiten we verwerkersovereenkomsten. We selecteren op basis van aantoonbare beveiligingsmaatregelen (bijv. ISO 27001, SOC 2).
Incidenten en datalekken
Datalekken worden binnen 72 uur gemeld aan de Autoriteit Persoonsgegevens en, waar van toepassing, aan de betrokkenen. Meldingen van verdachte activiteiten of kwetsbaarheden kunnen worden gedaan via security@xsbyte.com, zie ook onze Disclosure-pagina.
Evaluatie
Dit beleid wordt jaarlijks geëvalueerd en bij relevante ontwikkelingen tussentijds bijgewerkt.