Inleiding

Zoho levert SaaS-producten (Software as a Service) aan miljoenen gebruikers wereldwijd om hun zakelijke problemen op te lossen. Beveiliging is een belangrijk onderdeel van ons aanbod en dat weerspiegelt zich in onze mensen, processen en producten. Deze pagina bevat onderwerpen, zoals gegevensbeveiliging, operationele beveiliging en fysieke beveiliging, om uit te leggen hoe we onze klanten beveiliging bieden.

Bijgewerkt op 29 oktober 2019

Overzicht

Onze beveiligingsstrategie bestaat uit de volgende onderdelen

  •   Bedrijfsbeveiliging
  •   Fysieke beveiliging
  •   Infrastructuurbeveiliging
  •   Gegevensbescherming
  •   Identiteits- en toegangscontrole
  •   Operationele beveiliging
  •   Incidentbeheer
  •   Verantwoordelijke informatieverschaffing
  •   Leveranciersbeheer
  •   Beveiliging door de klant

Bedrijfsbeveiliging

We hebben een Information Security Management System (ISMS) dat rekening houdt met onze beveiligingsdoelstellingen en de risico's en beperkingen van alle betrokken partijen. We hanteren strikte beleidsregels en procedures voor beveiliging, beschikbaarheid, verwerking, integriteit en vertrouwelijkheid van klantgegevens.

Achtergrondcontroles van werknemers

Elke werknemer ondergaat een procedure voor achtergrondverificatie. Wij nemen erkende externe bureaus in dienst om deze controle namens ons uit te voeren. We doen dit om hun strafregister, eventuele eerdere arbeidsgegevens en opleidingsachtergrond na te gaan. Totdat deze controle is uitgevoerd, krijgt de werknemer geen taken toegewezen die een risico zouden kunnen vormen voor gebruikers. 

Beveiligingsbewustzijn

Elke werknemer ondertekent bij de indiensttreding een vertrouwelijkheidsovereenkomst en een beleid inzake acceptabel gebruik, waarna hij of zij training volgt op het gebied van informatiebeveiliging, privacy en compliance. Bovendien evalueren we hun kennis door middel van tests en quizzen om te bepalen voor welke onderwerpen ze verdere training nodig hebben. We geven training over specifieke beveiligingsaspecten die zij mogelijk nodig hebben op basis van hun rollen.

Op onze interne community, die onze medewerkers regelmatig bekijken, informeren we ze voortdurend over informatiebeveiliging, privacy en naleving om onze medewerkers op de hoogte te houden van de beveiligingsmethoden van de organisatie. We organiseren ook interne evenementen om het bewustzijn te vergroten en innovatie op het gebied van beveiliging en privacy te stimuleren.

Toegewijde beveiligings- en privacyteams

We hebben speciale beveiligings- en privacyteams die onze beveiligings- en privacyplannen implementeren en beheren. Ze ontwikkelen en onderhouden onze verdedigingssystemen, ontwikkelen controleprocessen voor beveiliging en bewaken voortdurend onze netwerken om verdachte activiteiten te detecteren. Ze bieden domeinspecifieke adviesdiensten en richtlijnen voor onze engineeringteams.

Interne controle en compliance

We hebben een speciaal complianceteam dat procedures en beleid in Zoho evalueert om deze af te stemmen op de normen en om te bepalen welke controles, processen en systemen nodig zijn om aan de normen te voldoen. Dit team voert ook periodieke interne audits uit en ondersteunt onafhankelijke audits en beoordelingen door derden.

Meer informatie vindt u in ons compliancepakket.

Endpointbeveiliging

Alle werkstations van Zoho-werknemers werken met een up-to-date versie van het besturingssysteem en zijn geconfigureerd met antivirussoftware. Ze zijn zodanig geconfigureerd dat ze voldoen aan onze beveiligingsnormen, waarvoor alle werkstations correct moeten worden geconfigureerd, gepatcht en getraceerd en bewaakt door de oplossingen voor endpointbeheer van Zoho. Deze werkstations zijn standaard beveiligd, omdat ze zodanig zijn geconfigureerd dat ze gegevens in rust versleutelen, sterke wachtwoorden hebben en worden vergrendeld wanneer ze niet actief zijn. Mobiele apparaten die voor zakelijke doeleinden worden gebruikt, zijn opgenomen in het beheersysteem voor mobiele apparaten om ervoor te zorgen dat ze voldoen aan onze beveiligingsnormen.

Fysieke beveiliging

Op de werkplek

We beheren de toegang tot onze resources (gebouwen, infrastructuur en faciliteiten) met behulp van toegangskaarten; hieronder valt ook het verbruik, ingang en gebruik. We bieden medewerkers, contractanten, leveranciers en bezoekers verschillende toegangskaarten die uitsluitend toegang bieden voor het specifieke doel van hun toegang tot het pand. Het HR-team (Human Resource) bepaalt en onderhoudt de doelen die specifiek zijn voor de rollen. Wij onderhouden toegangslogboeken om afwijkingen te detecteren en aan te pakken. 

In de datacenters

In onze datacenters neemt een co-locatieprovider de verantwoordelijkheid op zich voor het gebouw, de airconditioning, energievoorziening en fysieke beveiliging, terwijl wij de servers en opslag leveren. Toegang tot de datacenters wordt beperkt tot een kleine groep van geautoriseerd personeel. Andere toegang wordt als ticket ingediend en is alleen toegestaan na goedkeuring van de desbetreffende managers. Aanvullende tweestapsverificatie en biometrische verificatie zijn vereist om het pand binnen te gaan. In geval van een incident zijn er toegangslogboeken, activiteitenrecords en camerabeelden beschikbaar.

Controle

We bewaken alle bewegingen aan in- en uitgangen in al onze gebouwen van onze business centers en datacenters via CCTV-camera's die volgens de plaatselijke voorschriften worden ingezet. Back-upbeeldmateriaal is tot een bepaalde periode beschikbaar, afhankelijk van de vereisten voor die locatie.

Infrastructuurbeveiliging

Netwerkbeveiliging

Onze technieken voor netwerkbeveiliging en -bewaking zijn ontworpen om verschillende beveiligings- en verdedigingsniveaus te bieden. We gebruiken firewalls om ons netwerk tegen onbevoegde toegang te beschermen en ongewenst gegevensverkeer te vermijden. Onze systemen zijn onderverdeeld in afzonderlijke netwerken om gevoelige gegevens te beschermen. Systemen die test- en ontwikkelingsactiviteiten ondersteunen, worden gehost in een afzonderlijk netwerk van systemen die de productie-infrastructuur van Zoho ondersteunen.

We controleren de toegang tot de firewall regelmatig aan de hand van een strikt schema. Een netwerkengineer controleert elke dag alle wijzigingen die in de firewall zijn uitgevoerd. Bovendien worden deze wijzigingen om de drie maanden herzien om de regels bij te werken en te herzien. Ons toegewijde Network Operations Center-team controleert de infrastructuur en applicaties op afwijkingen of verdachte activiteiten. Alle cruciale parameters worden continu bewaakt met onze eigen tool en meldingen worden geactiveerd voor alle abnormale of verdachte activiteiten in onze productieomgeving.

Netwerkredundantie

Alle onderdelen van ons platform zijn redundant. We gebruiken een gedistribueerde netwerkarchitectuur om ons systeem en onze services te beschermen tegen de gevolgen van mogelijke serverstoringen. Als een serverstoring optreedt, kunnen gebruikers gewoon doorgaan omdat hun gegevens en Zoho-services nog steeds beschikbaar zijn voor hen.

Daarnaast gebruiken we meerdere switches, routers en beveiligingsgateways om redundantie op apparaatniveau te garanderen. Dit voorkomt storingen op één niveau op het interne netwerk.

DDoS-preventie

We gebruiken technologieën van gevestigde en betrouwbare serviceproviders om DDoS-aanvallen op onze servers te voorkomen. Deze technologieën bieden meerdere mogelijkheden om DDoS-aanvallen te verminderen, om onderbrekingen door slecht gegevensverkeer te voorkomen en tegelijkertijd goed gegevensverkeer door te laten. Hierdoor blijven onze websites, applicaties en API's beschikbaar en presteren ze uitstekend.

Serverbeveiliging

Alle servers die zijn ingericht voor ontwikkelings- en testactiviteiten, worden beveiligd (door ongebruikte poorten en accounts te deactiveren, standaardwachtwoorden te verwijderen, enzovoort). De image van het besturingssysteem (OS) bevat een ingebouwde serverbeveiliging en deze image van het besturingssysteem wordt op de servers geïnstalleerd om consistentie tussen servers te garanderen.

Inbraakdetectie en -preventie

Ons inbraakdetectiemechanisme registreert hostsignalen op afzonderlijke apparaten en netwerksignalen van controlepunten binnen onze servers. Beheerderstoegang, het gebruik van privilegeopdrachten en systeemaanroepen op alle servers in ons productienetwerk worden vastgelegd. Regels en machine-intelligentie boven op deze gegevens waarschuwen beveiligingsengineers voor mogelijke incidenten. Op het applicatieniveau hebben we onze eigen WAF die werkt op zowel whitelist- als blacklist-regels.

Op het niveau van Internet Service Providers (ISP) wordt een meerlaagse beveiligingsaanpak geïmplementeerd met scrubbing, netwerkroutering, snelheidsbeperking en filtering om aanvallen van netwerkniveau naar applicatieniveau aan te pakken. Dit systeem biedt schoon verkeer, betrouwbare proxyservice en een snelle rapportage van aanvallen, indien van toepassing. 

Gegevensbescherming

Veilig ontwerp

Elke wijziging en nieuwe functie is onderworpen aan een beleid voor wijzigingsbeheer om ervoor te zorgen dat alle wijzigingen in de applicatie zijn geautoriseerd voordat deze in productie worden genomen. Onze Software Development Life Cycle (SDLC) vereist naleving van veilige versleutelingsrichtlijnen en het screenen van codewijzigingen op mogelijke beveiligingsproblemen met onze code-analysetools, beveiligingslekscanners en handmatige controleprocessen.

Ons robuuste beveiligingsframework op basis van OWASP-standaarden, dat is geïmplementeerd in het applicatieniveau, biedt functies om bedreigingen zoals SQL-injectie, cross-site scripting en DOS-aanvallen op applicatieniveau te beperken. 

Gegevensisolatie

Ons framework distribueert en onderhoudt de cloudruimte voor onze klanten. De servicegegevens van elke klant worden logisch gescheiden van de gegevens van andere klanten door middel van een set beveiligde protocollen in het framework. Dit zorgt ervoor dat de servicegegevens van de klant niet toegankelijk zijn voor een andere klant.

De servicegegevens worden op onze servers opgeslagen wanneer u onze services gebruikt. Uw gegevens zijn eigendom van u en niet van Zoho. We delen deze gegevens zonder uw toestemming niet met derden.

Versleuteling

Bij overdracht: Alle klantgegevens die via openbare netwerken naar onze servers worden verzonden, zijn beveiligd met sterke versleutelingsprotocollen. We eisen dat alle verbindingen met onze servers de Transport Layer Security (TLS 1.2/1.3)-versleuteling met sterke ciphers gebruiken voor alle verbindingen, inclusief webtoegang, API-toegang, onze mobiele apps en toegang tot de IMAP/POP/SMTP-e-mailclient. Dit garandeert een veilige verbinding door de verificatie van beide partijen die betrokken zijn, bij de verbinding toe te staan en door het versleutelen van gegevens die moeten worden overgedragen. Onze services maken standaard gebruik van opportunistische TLS. TLS versleutelt e-mail en stuurt die veilig door, waardoor afluisteren tussen mailservers waar peer-services dit protocol ondersteunen, wordt beperkt.

We bieden volledige ondersteuning voor Perfect Forward Secrecy (PFS) met onze versleutelde verbindingen. Dit zorgt ervoor dat zelfs als in de toekomst op een of andere manier onze beveiliging wordt geschonden, er geen eerdere communicatie kan worden ontsleuteld. We hebben HTTP Strict Transport Security Header (HSTS) ingeschakeld voor al onze webverbindingen. Hierdoor kunnen alle moderne browsers alleen verbinding met ons maken via een versleutelde verbinding, zelfs als u een URL naar een onveilige pagina op onze site typt. Daarnaast markeren we op het web al onze verificatiecookies als veilig.

In rust: klantgegevens worden versleuteld met 256-bits Advanced Encryption Standard (AES). We bezitten en onderhouden de sleutels met onze interne Key Management Service (KMS). We bieden extra beveiligingslagen door de gegevensversleutelingssleutels te versleutelen met behulp van hoofdsleutels. De hoofdsleutels en gegevensversleutelingssleutels worden fysiek gescheiden en opgeslagen op verschillende servers met beperkte toegang.

We versleutelen gegevens op twee belangrijke niveaus:

  1. 1. Versleuteling op applicatieniveau: versleuteling van relationele databases, bestandsopslag, back-up, logboeken en cache
  2. 2. Hardwaregebaseerde full disk encryption

Klik hier voor gedetailleerde informatie over versleuteling bij Zoho.

Bewaren en verwijderen van gegevens

Wij bewaren de gegevens in uw account zolang u ervoor kiest om gebruik te maken van Zoho-services. Zodra u uw Zoho-gebruikersaccount hebt beëindigd, worden uw gegevens uit de actieve database verwijderd en tijdens de volgende opschoning gewist. Deze opschoningen vinden eens in de 6 maanden plaats. De gegevens uit de actieve database worden na 3 maanden uit de back-ups verwijderd. Als uw onbetaalde account gedurende een ononderbroken periode van 120 dagen inactief is, beëindigen we deze na voorafgaande kennisgeving en de mogelijkheid om een back-up van uw gegevens te maken.

Een geverifieerde en geautoriseerde leverancier zal de onbruikbare apparaten verwijderen. Tot die tijd categoriseren en bewaren we ze op een veilige locatie. Alle informatie in de apparaten wordt vóór de verwijdering geformatteerd. We demagnetiseren defecte harde schijven en vernietigen deze vervolgens fysiek met een shredder. Bij defecte Solid State Devices (SSD's) voeren we crypto-shredding uit, waarna we ze fysiek shredden.

Identiteits- en toegangscontrole

Single Sign-On (SSO)

Zoho biedt single sign-on (SSO) waarmee gebruikers toegang hebben tot meerdere services met dezelfde aanmeldpagina en verificatiereferenties. Wanneer u zich aanmeldt bij een Zoho-service, gebeurt dit alleen via onze geïntegreerde IAM-service (Identity and Access Management). We ondersteunen SAML ook voor eenmalige aanmelding, zodat klanten de identiteitsprovider van hun bedrijf, zoals LDAP en ADFS, kunnen integreren wanneer ze zich aanmelden bij Zoho-services

SSO vereenvoudigt het aanmeldingsproces, garandeert compliance, biedt effectieve toegangscontrole en rapportage, en vermindert het risico op wachtwoordvermoeidheid en dus ook op zwakke wachtwoorden.

Verificatie met meerdere factoren

Het biedt een extra beveiligingslaag omdat de gebruiker naast het wachtwoord een extra verificatie moet hebben. Dit kan het risico van ongeautoriseerde toegang aanzienlijk verminderen als het wachtwoord van een gebruiker is gecompromitteerd. Momenteel worden verschillende modi ondersteund, zoals biometrische Touch ID of Face ID, pushmelding, QR-code en op tijd gebaseerde OTP.

Beheerderstoegang

We gebruiken technische toegangscontroles en intern beleid om te voorkomen dat medewerkers op een willekeurige manier toegang hebben tot gebruikersgegevens. We houden ons aan de principes van rechten met minimale bevoegdheden en rolgebaseerde machtigingen om het risico op blootstelling van gegevens te minimaliseren.

Toegang tot productieomgevingen wordt onderhouden door een centrale directory en geverifieerd met een combinatie van sterke wachtwoorden, tweestapsverificatie en SSH-sleutels met wachtwoordbeveiliging. Bovendien maken we dergelijke toegang mogelijk via een afzonderlijk netwerk met strengere regels en beveiligde apparaten. Bovendien registreren we alle activiteiten en controleren we deze regelmatig.

Operationele beveiliging

Loggen en bewaken

We bewaken en analyseren de informatie die wordt verzameld van services, intern verkeer in ons netwerk en het gebruik van apparaten en terminals. Deze informatie wordt vastgelegd in de vorm van gebeurtenislogboeken, auditlogboeken, foutenlogboeken, beheerderslogboeken en operatorlogboeken. Deze logboeken worden automatisch gecontroleerd en in redelijke mate geanalyseerd, zodat we afwijkingen kunnen identificeren, zoals ongebruikelijke activiteiten in de accounts van medewerkers of pogingen om toegang te krijgen tot klantgegevens. Deze logboeken worden opgeslagen op een beveiligde server die is afgezonderd van de volledige toegang tot het systeem, zodat de toegangscontrole centraal kan worden beheerd en de beschikbaarheid kan worden gegarandeerd. 

In elke Zoho-service zijn gedetailleerde auditregistratie beschikbaar voor alle updates en verwijderbewerkingen die door de gebruiker worden uitgevoerd.

Vulnerability management

We hebben een speciaal proces voor vulnerability management dat actief scant op beveiligingsrisico's met behulp van een combinatie van gecertificeerde scantools van derden en interne tools, en met geautomatiseerde en handmatige penetratietests. Bovendien beoordeelt ons beveiligingsteam actief binnenkomende beveiligingsrapporten en controleert het openbare mailinglijsten, blogberichten en wiki's om beveiligingsincidenten te detecteren die de infrastructuur van het bedrijf kunnen beïnvloeden.

Zodra we een beveiligingslek identificeren dat moet worden verholpen, wordt het geregistreerd, geprioriteerd op basis van de ernst en toegewezen aan een eigenaar. We identificeren de bijbehorende risico's verder en traceren het beveiligingsrisico totdat het wordt gesloten door de kwetsbare systemen te patchen of relevante controles toe te passen.

Bescherming tegen malware en spam

We scannen alle gebruikersbestanden met behulp van ons geautomatiseerde scansysteem dat is ontworpen om te voorkomen dat malware via het ecosysteem van Zoho wordt verspreid. Onze aangepaste anti-malware-engine ontvangt regelmatig updates van externe bedreigingsinformatiebronnen en scant bestanden op basis van op de zwarte lijst vermelde handtekeningen en schadelijke patronen. Bovendien zorgt onze eigen detectie-engine in combinatie met machine learning-technieken ervoor dat klantgegevens worden beschermd tegen malware. 

Zoho ondersteunt Domain-based Message Authentication, Reporting and Conformance (DMARC) als een manier om spam te voorkomen. DMARC gebruikt SPF en DKIM om te controleren of berichten authentiek zijn. We gebruiken ook onze eigen detectie-engine voor het identificeren van misbruik van Zoho-services, zoals phishing- en spamactiviteiten. Bovendien hebben we een speciaal anti-spamteam dat de signalen van de software controleert en klachten over misbruik behandelt. Klik hier voor meer informatie

Back-up

We maken elke week volledige back-ups en elke dag incrementele back-ups. Back-upgegevens in een DC worden op dezelfde locatie opgeslagen en in rust versleuteld als de oorspronkelijke gegevens. Daarnaast herstellen en valideren we elke week back-ups. Alle back-upgegevens blijven drie maanden bewaard.

Als een klant vraagt om gegevensherstel binnen de bewaarperiode, herstellen we de gegevens vanuit de back-up en stellen we die gegevens beschikbaar.

Noodherstel en bedrijfscontinuïteit

Applicatiegegevens worden opgeslagen op tolerante opslag die wordt gerepliceerd in datacenters. Gegevens in het primaire DC worden vrijwel in real-time gerepliceerd in het secundaire DC. In geval van een storing in het primaire DC neemt het secundaire DC het over en worden de werkzaamheden soepel en met minimaal of geen tijdverlies uitgevoerd. Beide centers zijn uitgerust met meerdere ISP's.

We hebben back-up-, temperatuurregelsystemen en brandpreventiesystemen als fysieke maatregelen om de bedrijfscontinuïteit te garanderen. Deze maatregelen geven ons veerkracht. Naast de redundantie van gegevens hebben we een bedrijfscontinuïteitsplan voor onze belangrijkste activiteiten, zoals ondersteuning en infrastructuurbeheer.

Incidentenbeheer

Rapportage

We hebben een speciaal team voor incidentenbeheer. We stellen u op de hoogte van de incidenten in onze omgeving die voor u relevant zijn, samen met de passende maatregelen die u mogelijk moet nemen. We traceren de incidenten en lossen ze met de juiste corrigerende maatregelen op. Indien van toepassing geven wij u de nodige bewijsstukken met betrekking tot incidenten die op u van toepassing zijn. Bovendien voeren we controles uit om te voorkomen dat soortgelijke situaties zich herhalen.

We geven hoge prioriteit aan de beveiligings- of privacyincidenten die u via incidents@zohocorp.com aan ons rapporteert. Voor algemene incidenten zullen wij gebruikers informeren via onze blogs, forums en sociale media. Voor incidenten die specifiek zijn voor een individuele gebruiker of een organisatie, zullen wij de betrokken partij per e-mail informeren (op het primaire e-mailadres van de bedrijfsbeheerder dat bij ons geregistreerd is). 

Melding van inbreuk

Als gegevenscontrollers informeren we de betrokken Data Protection Authority over een schending binnen 72 uur nadat we hiervan op de hoogte waren, en houden ons hierbij aan de Algemene Verordening Gegevensbescherming (AVG). Afhankelijk van de specifieke vereisten informeren we indien nodig ook de klanten hierover. Als gegevensverwerkers informeren we de betreffende gegevenscontrollers zonder onnodige vertraging. 

Verantwoordelijke informatieverschaffing

Er is een rapportageprogramma voor het melden van beveiligingsrisico's in 'Bug Bounty', dat beschikbaar is voor de hele community van onderzoekers. Op die manier wordt het werk van veiligheidsonderzoekers erkend en beloond. We streven ernaar samen te werken met de community om de gemelde beveiligingslekken te inspecteren, te reproduceren, erop te reageren, te rechtvaardigen en de juiste oplossingen te implementeren.

Als u beveiligingsrisico's hebt gevonden, kunt u deze melden op https://bugbounty.zoho.com/. Als u beveiligingsrisico's rechtstreeks aan ons wilt melden, stuur ons dan een e-mail naar security@zohocorp.com. 

Leveranciersbeheer en leveranciersbeheer van derden

We evalueren en kwalificeren onze leveranciers op basis van ons beleid voor leveranciersbeheer. We huren nieuwe leveranciers in nadat we hun processen voor de dienstverlening hebben begrepen en nadat we risicoanalyses hebben uitgevoerd. We nemen passende maatregelen om ervoor te zorgen dat onze veiligheidsprincipes worden gehandhaafd door overeenkomsten te maken waarbij de leveranciers zich moeten houden aan de vertrouwelijkheid, beschikbaarheid en integriteitsverplichtingen die we aan onze klanten hebben gesteld. We bewaken de effectieve werking van het proces en de beveiligingsmaatregelen van het bedrijf door periodiek hun controles te inspecteren.

Beveiliging door de klant

Tot nu toe hebben we besproken wat we doen om onze klanten beveiliging te bieden op verschillende fronten. Dit zijn de dingen die u als klant kunt doen om de veiligheid van uw kant te waarborgen:

  •   Kies een uniek, sterk wachtwoord en bescherm het.
  •   Verificatie met meerdere factoren
  •   Gebruik de nieuwste browserversies, mobiele besturingssystemen en bijgewerkte mobiele apps om ervoor te zorgen dat deze zijn gepatcht tegen beveiligingsrisico's en om de nieuwste beveiligingsfuncties te gebruiken
  •   Neem redelijke voorzorgsmaatregelen in acht bij het delen van gegevens uit onze cloudomgeving.
  •   Classificeer uw gegevens in persoonlijke of gevoelige gegevens en label ze dienovereenkomstig.
  •   Controleer apparaten die aan uw account zijn gekoppeld, actieve websessies en toegang van derden om afwijkingen in activiteiten op uw account te detecteren en rollen en bevoegdheden voor uw account te beheren.
  •   Wees alert op phishing- en malwaredreigingen door op te passen voor onbekende e-mails, websites en koppelingen die uw gevoelige informatie kunnen misbruiken door Zoho of andere services die u vertrouwt, te imiteren.

Conclusie

De beveiliging van uw gegevens is uw recht en een nooit-aflatende missie van Zoho. We blijven hard werken om uw gegevens te beveiligen, zoals we dat altijd hebben gedaan. Neem voor verdere vragen over dit onderwerp contact met ons op via security@zohocorp.com.