Bij Payt is het elke maand Cyber Security Maand

Share this article

Ad
Geschreven door Ad van 't Hoenderdal
Ad van ’t Hoenderdal is Security Manager & Intern Auditor bij Payt. Hij draagt zorg dat de systemen en informatie van Payt beveiligd zijn en de juiste certificeringen geïmplementeerd worden. Daarnaast doet hij de audits voor Payt.

Deze oktober organiseert de Europese Unie voor de tiende keer de Cyber Security Maand. In het kader daarvan vinden allerlei activiteiten en campagnes plaats, maar het is ook een ideale gelegenheid om aandacht te geven aan de maatregelen die Payt neemt om uw data te beschermen. Payt werkt voortdurend met privacygevoelige informatie. Om het debiteurenproces goed te kunnen doorlopen, hebben we namelijk (persoonlijke) gegevens van zowel de debiteur als de crediteur nodig. Bovendien zorgen we er middels een iDEAL koppeling voor dat betalingen eenvoudig kunnen worden uitgevoerd, wat betekent dat we digitale toegang hebben tot de bankgegevens van klanten en gebruikers. Als je werkt met dergelijke privacygevoelige informatie binnen een online platform, dan wil je er zeker van zijn dat de beveiliging van je platform goed op orde is. We laten een aantal invalshoeken de revue passeren.

Veilige software

Als je wilt blijven voldoen aan de behoefte in de markt zul je de software voortdurend moeten aanpassen. Nieuwe functionaliteit nemen we pas in gebruik als er minstens twee collega’s hun goedkeuring aan hebben gegeven en er een aantal geautomatiseerde testen zijn doorlopen. In elke stap speelt security een rol. Maar ook de klantorganisatie heeft invloed op de beveiliging. Payt biedt de optie – en adviseert - om twee factor authenticatie (2FA) verplicht te stellen, zodat naast gebruikersnaam en wachtwoord nog een extra code of kenmerk nodig is om toegang te krijgen tot de gegevens.

Beveiligde Infrastructuur

De Payt applicatie wordt aangeboden vanaf servers in een datacenter van AWS, een van de grootste aanbieders op dit gebied. Vanzelfsprekend staan alle data in Europa. Op het dataverkeer vindt versleuteling (encryptie) plaats. Er is bescherming tegen malware, zoals virussen en ransomware, en de gegevens worden geback-upt. En allerlei componenten zijn dubbel uitgevoerd zodat de beschikbaarheid optimaal - en volgens afspraak - is. Allemaal maatregelen zoals u die zou mogen verwachten in deze branche. Om toch niets aan het toeval over te laten vragen we elk jaar aan een gespecialiseerd bedrijf om de Payt-applicatie en infrastructuur te onderwerpen aan een zogenaamde penetratietest. Zij gaan op zoek naar kwetsbare punten en proberen die te misbruiken. Payt staat verder positief tegenover het concept van ethical hacking en waardeert het als - op een verantwoorde manier - melding wordt gemaakt van kwetsbaarheden in onze software. Als iemand een zwakke plek in één van onze systemen vindt, horen wij dit graag. Dit stelt ons in staat om zo snel mogelijk maatregelen te treffen. Als het een terechte melding blijkt te zijn, dan staat daar een beloning (bug bounty) tegenover. Deze samenwerking draagt eraan bij om onze klanten en onze systemen nog beter te beschermen.

Extern toezicht

Maar ook al vinden wij zelf dat we het goed voor elkaar hebben, het is ook belangrijk om dat objectief te laten beoordelen. Daarom laat Payt bovengenoemde maatregelen, en het managementsysteem dat ervoor zorgt dat de maatregelen effectief en passend blijven, elk jaar auditen door een certificerende instelling die dat doet onder toezicht van de Raad voor Accreditatie. Dan worden onze prestaties afgemeten tegen twee erkende normen, te weten ISO27001 (de wereldwijde norm voor informatiebeveiliging), en NEN7510 (voor informatiebeveiliging in de zorg in Nederland). Payt bezit dergelijke certificaten sinds 2016.

Continu verbeteren

In de security wereld ben je nooit klaar. Wat vandaag veilig is, hoeft het morgen immers niet meer te zijn. Daarom zijn we intern bij Payt altijd gespitst op verbeteringen en analyseren daarom de binnenkomende signalen van partners, leveranciers en vakgenoten, maar ook resultaten van risicobeoordelingen, audits en controles. Dit kan dan leiden tot aanpassingen in het beleid, of andere technische maatregelen, of hernieuwde aandacht voor bijvoorbeeld phishing mails.

En zo is het bij Payt elke maand Cyber Security Maand.

Gerelateerde artikelen

Illustratie van een man die een certificaat omhoog houdt
Payt is, naast ISO 27001, ook NEN 7510 gecertificeerd
Als ontwikkelaar van debiteurenbeheer software werken wij voortdurend met privacygevoelige informatie van onze klanten en haar debiteuren. En als je werkt met dergelijke privacygevoelige informatie binnen een online platform, dan wil je er zeker van zijn dat de beveiliging van je platform op alle gebieden goed op orde is. Payt is ISO/IEC 27001:2013 én NEN 7510 gecertificeerd. Lees in dit blog wat dat inhoudt.
Foto van twee mannen die op een bank zitten en elkaar de hand schudden
Trots: Payt krijgt certificering voor ISO 27001!
Payt werkt continu aan de verbetering van de privacy van haar dienstverlening. Dit is bekroond met het ISO 27001 certificaat. Lees hier meer.
Bedrijfscultuur: Werkplezier
In deze serie blogs wil ik u een inkijkje geven in dag bij Payt. Hoe pakken wij dingen aan en hoe lossen wij problemen op? Dit is onderdeel van de bedrijfscultuur. In dit blog ga ik in op wat echt bepalend is voor werkplezier. Ben je benieuwd? Lees het in dit blog.