Veelgestelde vragen over Zoho-beveiliging (FAQ)

  • Voldoet Zoho aan de normen voor informatiebeveiliging? 

    We hebben een Information Security Management System (ISMS) dat is afgeleid van de ISO-standaard, waarbij rekening wordt gehouden met onze beveiligingsdoelstellingen en de risico's en risicobeperkingen van alle betrokken partijen. We hebben ISO 27001-, ISO27017- en ISO27018-certificeringen behaald om te laten zien dat we aan de normen voldoen 

  • Waar worden mijn gegevens opgeslagen? Kan ik kiezen waar mijn account en gegevens zich bevinden?

    Het datacenter waarin uw gegevens worden opgeslagen, wordt automatisch geselecteerd op basis van het land dat u hebt gekozen tijdens het aanmelden voor Zoho-services.  De informatie over welk datacenter is geselecteerd, wordt direct onder de selectielijst voor landen weergegeven in het aanmeldingsformulier.

    U kunt op elk moment zien in welk datacenter uw gegevens zich bevinden door de URL in de browser te bekijken wanneer u bent aangemeld bij Zoho en onze apps gebruikt.

    • 1. Als de URL de notatie *.zoho.com heeft (waarbij [asterisk] de naam van een Zoho-app aangeeft, zoals crm, personen, één), worden uw gegevens opgeslagen in het DC in de VS (Verenigde Staten). 
    • 2. Als de URL de notatie *.zoho.eu heeft, worden uw gegevens opgeslagen in het DC in de EU (Europa).
    • 3. Als de URL de notatie *.zoho.in heeft, worden uw gegevens opgeslagen in het DC in IN (India).
    • 4. Als de URL de notatie *.zoho.com.au heeft, worden uw gegevens opgeslagen in het DC in AU (Australië)./li>
  • Hebben Zoho-medewerkers toegang tot onze gegevens en tot welke gegevens hebben ze toegang?

     Slechts een zeer beperkt aantal werknemers heeft toegang tot de servers om noodwerkzaamheden uit te voeren, zoals het oplossen van problemen. Daarnaast wordt dergelijke toegang strikt bewaakt, vastgelegd en gecontroleerd om het risico op blootstelling van gegevens te minimaliseren.

  • Worden gegevens op Zoho-cloudproducten versleuteld?

    We versleutelen klantgegevens zowel tijdens de overdracht als in rust. Gegevens in rust worden versleuteld met de industriestandaard AES-256. Alle klantgegevens worden tijdens de overdracht via openbare netwerken versleuteld met Transport Layer Security (TLS) 1.2/1.3 met Perfect Forward Secrecy (PFS) om te voorkomen dat de gegevens bekend worden gemaakt aan onbevoegden of worden gewijzigd. Klik hier voor meer informatie over versleuteling bij Zoho.

  • Hoe worden versleutelingssleutels beheerd en kunnen klanten hun eigen sleutels uploaden?

    Wij beheren en onderhouden de sleutels met onze interne Key Management Service (KMS). Momenteel is er geen voorziening voor klanten om hun eigen sleutels te uploaden.

  • Hoe worden wachtwoorden voor Zoho-cloudservices opgeslagen?

    De wachtwoorden die u gebruikt om toegang te krijgen tot Zoho-services, worden opgeslagen in een niet-omkeerbaar versleutelingsschema. We gebruiken het hash-algoritme bcrypt met per-user-salt, zodat zelfs wanneer onze aanmeldingsdatabase wordt gestolen, het erg duur zou zijn om reverse-engineering op de wachtwoorden toe te passen

  • Hoe wordt segmentatie van klantgegevens geïmplementeerd in cloudservices van Zoho?

    Ons framework distribueert en onderhoudt de cloudruimte voor onze klanten. Gegevens van meerdere klanten worden logisch gescheiden van elkaar en ons framework zorgt ervoor dat de servicegegevens van de klant niet toegankelijk zijn voor een andere klant.

  • Hoe beschermt Zoho tegen DDoS-aanvallen?

    We gebruiken technologieën van gevestigde en betrouwbare serviceproviders die verschillende mogelijkheden bieden om DDoS-aanvallen te bestrijden en zo onderbrekingen als gevolg van dergelijke aanvallen te voorkomen.

  • Voert Zoho penetratietests en codescans uit?

    Ja, we voeren regelmatig geautomatiseerde en handmatige penetratietests uit. We gebruiken een combinatie van gecertificeerde scantools van derden en interne tools voor het scannen van codes.

  • Ik heb een beveiligingsrisico gevonden in een van uw producten. Hoe kan ik dit melden?

    Als u een beveiligingsrisico in een van onze producten ontdekt, stellen wij het op prijs als u ons dit laat weten zodat we het zo snel mogelijk kunnen oplossen. We hebben een verantwoordelijk openbaarmakingsbeleid en een programma voor het melden van bugs. Meer informatie vindt u op https://bugboty.zoho.com/

  • Heeft Zoho een reactieplan voor incidenten?

    We hebben een speciaal reactieteam voor incidenten dat verantwoordelijk is voor het detecteren, beoordelen, forensisch onderzoeken, inperken en herstellen van incidenten. In gevallen waarin we gegevenscontrollers zijn en een incident tot gegevensinbreuk leidt, worden de betrokken klanten binnen 72 uur op de hoogte gebracht nadat we dit hebben ontdekt. In gevallen waarin wij gegevensverwerkers zijn en een incident tot gegevensinbreuk leidt, worden de betreffende controllers zonder enige vertraging op de hoogte gebracht. 

    Voor algemene incidenten zullen wij gebruikers informeren via onze blogs, forums en sociale media. Voor incidenten die specifiek van toepassing zijn op een individuele gebruiker of een organisatie, zullen wij de betrokken partij per e-mail informeren (op hun primaire e-mailadres). Het volledige rapport wordt op verzoek binnen 5 tot 7 werkdagen aan klanten verstrekt.

  • Welke verantwoordelijkheden heeft Zoho bij een beveiligingsincident?

    Wij informeren u over de incidenten die u aangaan, samen met de passende maatregelen die u mogelijk moet nemen. We traceren de incidenten en lossen ze met de juiste corrigerende maatregelen op. Indien van toepassing geven wij u de nodige bewijsstukken met betrekking tot incidenten die op u van toepassing zijn. Op verzoek wordt een analyse van de fundamentele oorzaken voorzien.

  • Voldoet Zoho aan de PCI DSS? 

    De volgende services voldoen aan de PCI DSS: alle producten van Zoho Finance Plus (d.w.z. Zoho Books, Zoho Invoice, Zoho Inventory, Zoho Subscription, Zoho Expense, Zoho Checkout en Zoho Commerce. Ook de betalingsservice die klanten gebruiken om abonnementen van Zoho aan te schaffen, voldoet aan de PCI.

    Andere Zoho-services verzenden nooit uw creditcardgegevens en slaan deze ook nooit op.

  • Wat zijn voor mij als Zoho-klant de extra beveiligingsopties die ik nodig heb om mijn gegevens te beschermen?

    Extra beveiligingsfuncties die beschikbaar zijn voor klanten:

    • Verificatie met meerdere factoren
    • Configureerbaar wachtwoordbeleid
    • IP-beperkingen
    • Toegangscontrole op basis van rollen
    • Versleuteling voor aangepaste velden
    • Audit van accountactiviteiten
  • Hoelang worden gegevens bewaard als een klant de Zoho-service stopt?

    Wij bewaren de gegevens in uw account zolang u ervoor kiest om gebruik te maken van Zoho-services. Zodra u uw Zoho-gebruikersaccount hebt beëindigd, worden uw gegevens uit de actieve database verwijderd en tijdens de volgende opschoning gewist. Deze opschoningen vinden eens in de 6 maanden plaats. De gegevens uit de actieve database worden na 3 maanden uit de back-ups verwijderd.

  • Wat is het bedrijfscontinuïteitsplan en het plan voor noodherstel van Zoho?

    We hebben een bedrijfscontinuïteitsplan voor onze belangrijkste activiteiten, zoals ondersteuning en infrastructuurbeheer. Voor redundantie worden gegevens in het primaire datacenter (DC) gerepliceerd in het secundaire datacenter. In geval van een storing van het primaire DC neemt het secundaire DC het over en worden de werkzaamheden soepel en met minimaal of geen tijdverlies uitgevoerd.

  • Wat is uw beleid voor back-ups van gegevens?

    We maken eenmaal per week volledige back-ups en elke dag incrementele back-ups. Back-upgegevens in een DC worden opgeslagen op dezelfde locatie en in rust versleuteld als de oorspronkelijke gegevens. Daarnaast herstellen en valideren we elke week back-ups. Alle back-upgegevens worden voor een periode van 3 maanden bewaard. Op verzoek van een specifieke klant herstellen we hun gegevens uit de back-up en stellen we die gegevens beschikbaar.

  • Welke controles hebt u bij het openen van klantgegevens?

    We gebruiken technische toegangscontroles en intern beleid om te voorkomen dat medewerkers op een willekeurige manier toegang hebben tot gebruikersgegevens. We houden ons aan de principes van rechten met minimale bevoegdheden en rolgebaseerde machtigingen om het risico op blootstelling van gegevens te minimaliseren.  Toegang tot productieomgevingen wordt mogelijk gemaakt via een afzonderlijk netwerk met strengere regels en beveiligde apparaten. Toegangscontrole wordt onderhouden door een centrale directory en geverifieerd met een combinatie van sterke wachtwoorden, tweestapsverificatie en SSH-sleutels die met een wachtwoordzin zijn beveiligd

  • Wat is uw beschikbaarheid voor SLA's?

    Voor onze SLA's zijn we per maand 99,9% uptime beschikbaar. Om dit te bereiken hebben we redundanties geïmplementeerd op verschillende niveaus, van de infrastructuur tot de ISP. Gegevens uit het primaire datacenter worden gerepliceerd in het secundaire datacenter en een alleen-lezen versie van Zoho-apps wordt altijd bediend vanuit het secundaire datacenter.

  • Wat is uw risicobeoordelingsproces? Hoe vaak wordt een risicobeoordeling uitgevoerd?

    We hebben een beleid en procedure voor risicobeoordeling om risico's te identificeren, te analyseren en te beperken door de juiste controles te implementeren. We voeren een risicobeoordeling uit voor elke belangrijke verandering die in onze omgeving plaatsvindt. De algemene risico's worden eenmaal per jaar beoordeeld en bijgewerkt. 

  • Wat is het beleid voor de achtergrondcontrole van uw werknemers?

    Elke werknemer ondergaat een procedure voor achtergrondverificatie. Wij nemen erkende externe bureaus in dienst om deze controle namens ons uit te voeren. We doen dit om hun strafregister, eventuele eerdere arbeidsgegevens en opleidingsachtergrond na te gaan. Totdat deze controle is uitgevoerd, krijgt de werknemer geen taken toegewezen die een risico zouden kunnen vormen voor gebruikers.

  • Welke certificeringen heeft Zoho om te laten zien dat er aan de normen is voldaan?

    Wij zijn gecertificeerd volgens ISO 27001, ISO 27017 en ISO 27018.  En Zoho is ook conform SOC 2 Type Il op het gebied van beveiliging, vertrouwelijkheid, verwerkingsintegriteit, beschikbaarheid en privacy. Deze ISO- en SOC-audits worden jaarlijks uitgevoerd en omvatten alle belangrijke en essentiële controles. Zoho Corporation neemt deel aan en is gecertificeerd conform de eisen van het Privacy Shield-programma van de EU en de VS.

    Klik hier voor meer informatie.

  • Gaat u mijn gegevens delen voor de wetshandhaving?

    Wij hechten altijd het grootste belang aan de privacy van de klant. Wanneer we verzoeken van wetshandhavingsautoriteiten ontvangen, bekijken we dergelijke verzoeken eerst om te zien of het toepasselijke juridische proces wordt gevolgd om een geldig en bindend bevel te krijgen. We maken bezwaar tegen overdreven eisen of anderszins ongepaste verzoeken. Indien wettelijk is toegestaan, stellen we klanten op de hoogte voordat we klantgegevens openbaar maken, zodat klanten zich kunnen proberen te beschermen tegen openbaarmaking.