Gedeelde verantwoordelijkheid
Verantwoordelijkheid van controle die zowel bij u als bij Zoho ligt.
Identificatie- en toegangsbeheer
We bieden een infrastructuur voor het beheer van gebruikersaccounts via de IAM-service (Identity and Access Management) door het volgende te faciliteren:
- Gebruikersregistratie, registratieverwijderingsopties en specificaties voor het gebruik ervan.
- Functionaliteit voor het beheren van toegangsrechten van uw cloudgebruikers.
- Sterke verificatietechnieken zoals verificatie met meerdere factoren en IP-adresbeperkingen.
U bent verantwoordelijk voor:
- Het implementeren van krachtige beheerfuncties voor gebruikerstoegang.
- Het configureren en beschermen van sterke wachtwoorden op basis van het beleid van de organisatie.
- Het inschakelen van verificatie met meerdere factoren voor de gebruikers van uw organisatie.
- Gebruikersaccounts en bevoegdheden beheren – gebruikersrollen configureren volgens het principe van alleen strikt noodzakelijke rechten.
- Het definiëren van de beheerder(s) van de account van de organisatie en het hebben van een geëigend proces voor eigendomsoverdrachten. Het nemen van de nodige maatregelen om ervoor te zorgen dat uw organisatie geen controle over de beheerdersaccounts verliest.
- Regelmatig de lijst met gebruikers met toegang tot gegevens doornemen en toegang verwijderen voor iedereen die deze niet zou moeten hebben.
- Apparaten die zijn gekoppeld aan de gebruikersaccounts van de organisatie regelmatig controleren en ongebruikte of niet-geautoriseerde apparaten verwijderen.
- Het controleren van de gebruikersaccounts van uw organisatie op kwaadwillige toegang of gebruik.
- Zoho op de hoogte stellen van onbevoegd gebruik van de accounts van uw organisatie.
- Uw gebruikers informeren over het belang van goed wachtwoordbeheer, de risico's op hergebruik van inloggegevens, aanmelden via sociale netwerken en phishingaanvallen.
Gegevensbeheer
We bieden u een platform om uw gegevens te beheren met:
- Functies voor het delen van gegevens voor controle op beheerders- en gebruikersniveau.
- Auditfuncties bij klantgegevens om transparantie te bieden over belangrijke activiteiten en om veranderingen bij te houden.
- Gegevensinteroperabiliteit – de optie om een volledige back-up van gegevens en configuraties te maken om uw gegevens geheel of gedeeltelijk naar een andere SaaS-provider te migreren.
- Bewaren en verwijderen van gegevens – wij bewaren de gegevens in uw account zolang u ervoor kiest om gebruik te maken van Zoho-services. Zodra u uw Zoho-gebruikersaccount hebt opgezegd, worden uw gegevens uit de actieve database verwijderd en tijdens de volgende opschoning gewist. Deze opschoningen vinden eens in de zes maanden plaats. De gegevens uit de actieve database worden na drie maanden uit de back-ups verwijderd.
- Functies voor toegangsbeperking om te voorkomen dat werknemers toegang krijgen tot klantgegevens en ervoor te zorgen dat ze dit alleen kunnen doen als er een specifieke reden is.
U bent verantwoordelijk voor:
- Het betrachten van gepaste verantwoordelijkheid bij het verwerken van informatie die tot speciale categorieën behoort (bijvoorbeeld persoonlijke/gevoelige gegevens) door het toepassen van de juiste controlemechanismen om te voldoen aan de vereisten van de toepasselijke wetgeving.
- Het configureren van de juiste machtigingen voor delen en weergeven.
- Het regelmatig controleren van auditrapporten om verdachte activiteiten te identificeren.
- Het bijhouden van actuele contactgegevens voor Zoho.
- Uit het systeem halen van uw gegevens zodra u onze services niet meer gebruikt. Anders zullen ze permanent worden verwijderd zonder mogelijkheid voor herstel.
Het beheren van gegevens aan andere partijen
We werken aan veilige integraties en uitbreidingen van onze applicaties door:
- Marketplace-apps: Het uitvoeren van functionele tests, beveiligingstests en privacytests zodra een applicatie bij ons wordt aangemeld. We voeren ook productbeoordelingen en inhoudsbeoordelingen uit.
- Onderverwerkers: Evalueert de beveiligings- en privacyprocedures van onderverwerkers die we willen contracteren om ervoor te zorgen dat ze in overeenstemming zijn met Zoho's informatiebeveiliging en privacynormen. Vervolgens gaan we passende overeenkomsten inzake gegevensbescherming met hen aan.
- We bekijken het privacybeleid en de servicevoorwaarden van onze leveranciers en zorgen ervoor dat hun activiteiten daaraan blijven voldoen.
We verwachten dat u:
- Integraties van derden in- of uitschakelt nadat u hebt gekeken naar de gegevens die met omgevingen van derden worden gedeeld. U moet de voorwaarden en het privacybeleid van de service van derden met betrekking tot het verzamelen, gebruiken of vrijgeven van gegevens doornemen.
- Aangeeft of u uw gegevens wilt delen met leveranciers telkens wanneer een uitbreiding wordt geïnstalleerd.
- Vóór installatie de geschiktheid van de Marketplace-apps en de redelijkheid van de gevraagde machtigingen beoordeelt.
- Zoho op de hoogte stelt van elk schadelijk gedrag dat in de Marketplace-apps wordt gesignaleerd.
Rechten van betrokkenen
Wij zijn verantwoordelijk voor:
- Het bieden van voorzieningen die klanten in staat stellen om de rechten van uw klanten te respecteren en te beschermen.
- U op de hoogte stellen van verzoeken van uw klanten wanneer zij rechtstreeks contact met ons opnemen voor het uitoefenen van hun rechten.
U bent verplicht:
- Verzoeken van klanten om toegang tot gegevens, rectificatie, verwijdering en beperkingen bij de verwerking van hun persoonlijke gegevens te honoreren en af te handelen.
Versleuteling
We beschermen uw gegevens op de volgende manieren door middel van versleuteling tijdens overdracht en in rust:
- Gegevens in overdracht: Klantgegevens die via openbare netwerken naar onze servers worden verzonden, worden met behulp van krachtige versleutelingsprotocollen beschermd. We stellen voor alle verbindingen met onze servers het gebruik van Transport Layer Security-versleuteling (TLS 1.2/1.3) met sterke coderingen verplicht, onder meer voor webtoegang, API-toegang, onze mobiele apps, en e-mailclienttoegang via IMAP/POP/SMTP.
- Gegevens in rust: Gevoelige klantgegevens worden versleuteld met het 256-bits algoritme Advanced Encryption Standard (AES). De gegevens die in rust worden versleuteld, variëren afhankelijk van de services waarvoor u kiest. Wij beheren en onderhouden de sleutels met onze interne Key Management Service (KMS).
We raden u het volgende aan:
- Bepaal uw versleutelingsbehoeften. Voor gegevens in rust bent u tijdens het gebruik van onze services in veel gevallen verantwoordelijk voor het definiëren van de velden die versleuteld moeten worden.
- Wanneer de gegevens uit onze cloud worden gedownload of geëxporteerd naar uw omgeving of worden gesynchroniseerd binnen integraties in Zoho of met integratie van andere derden, moet u ervoor zorgen dat relevante versleutelingscontroles worden toegepast. Schakel bijvoorbeeld schijfversleuteling in op uw apparaten en gebruik de exportfunctie als wachtwoordbeveiliging wordt ingeschakeld, enzovoort.
Back-ups
We zijn uitgerust met een robuust systeem om:
- Back-ups op systeemniveau versleuteld met een AES-256-bits algoritme veilig te bewaren. Automatisch integriteitscontroles en validatiecontroles van de volledige back-ups uit te voeren.
- Binnen de bewaarperiode verzoeken voor gegevensherstel mogelijk te maken en veilige toegang tot deze gegevens te bieden. Klanten een voorziening te bieden om hun gegevens te exporteren en er een back-up van te maken.
Vanaf uw kant kunt u:
- Een back-up voor uw gegevens plannen, deze uit de respectieve Zoho-services exporteren en indien nodig lokaal in uw infrastructuur opslaan. U bent verantwoordelijk voor het op een veilige manier opslaan van de gegevens.
Incidentbeheer
Van onze kant zorgen we ervoor dat:
- Alle inbreukincidenten waarvan we op de hoogte zijn en die op u van toepassing zijn worden gemeld, samen met details over de gevolgen en geschikte acties. Voor incidenten die specifiek van toepassing zijn op een individuele gebruiker of een organisatie, zullen wij de betrokken partij per e-mail informeren op het adres dat bij ons is geregistreerd.
- We dergelijke incidenten volgen en ze sluiten.
- We controlemechanismen doorvoeren om te voorkomen dat soortgelijke incidenten zich herhalen.
- Op verzoek zullen we aanvullende bewijzen leveren met betrekking tot het incident dat op u van toepassing is.
We verwachten dat u:
- De maatregelen treft die Zoho in geval van een inbreuk voorstelt.
- Voldoet aan uw vereisten voor openbaarmaking en kennisgeving van gegevensinbreuk, zoals het informeren van uw eindgebruikers en de gegevensbeschermingsautoriteiten wanneer dit relevant is.
- Beveiligings- en privacyincidenten waarvan u op de hoogte bent aan incidents@zohocorp.com meldt.
Bewustzijn en training
We nemen de volledige verantwoordelijkheid voor:
- Het trainen van onze werknemers om veiligheidsbewust te zijn en zich te houden aan een veilige ontwikkelingsstandaard. Nieuwe werknemers deel te laten nemen aan verplichte training op het gebied van beveiliging en privacy en daarnaast regelmatig training te geven op het gebied van veiligheidsbewustzijn via informatieve e-mails, presentaties en bronnen die beschikbaar zijn op ons intranet.
- Het trainen van onze medewerkers in de juiste verwerking van klantgegevens in de cloud.
U bent verantwoordelijk voor het trainen van cloudgebruikers over:
- Standaarden en procedures voor het gebruik van onze services.
- Hoe de risico's met betrekking tot onze services worden beheerst.
- Risico's voor het algemene systeem en de netwerkomgeving.
- Zaken ten aanzien van toepasselijke wet- en regelgeving.
Beleid en naleving
We houden ons aan een reeks richtlijnen, zoals:
- We hebben een uitgebreid risicomanagementprogramma en implementeren de controlemechanismen op effectieve wijze.
- We blijven binnen de wetgeving van verschillende rechtsgebieden waar we actief zijn.
- We leveren bewijs van naleving van toepasselijke wetgeving en die is gebaseerd op onze contractuele vereisten.
- We zullen helpen bij de DPIA-beoordeling van onze klanten, voor zover toegestaan door de toepasselijke wetgeving.
We verwachten dat u:
- Regelgeving en wetten die op u van toepassing zijn evalueert en controleert of wij voldoen aan de regels en normen die voor uw bedrijf gelden. U kunt aanvullende informatie aanvragen als bewijs van onze naleving.
- Ons beleid en onze methoden voor beleidsbeoordeling kent en begrijpt hoe we gegevens verwerken.
- De DPIA uitvoert zoals vereist door de wetgeving op het gebied van gegevensbescherming die van toepassing is op uw organisatie voorafgaand aan of tijdens het verwerken van gegevens
- Voordat u persoonlijke/gevoelige gegevens verwerkt, uw rechtsgrondslag beoordeelt. Als uw rechtsgrondslag toestemming is, zorg er dan voor dat u de toestemming van uw klanten verkrijgt.
- De geschiktheid van onze cloudgebaseerde services beoordeelt op basis van de informatie die we leveren en ervoor zorgt dat deze voldoende is om aan uw nalevingsbehoeften te voldoen.
- Het risicoprofiel en de gevoeligheid van de gegevens die in de Zoho-services worden gehost begrijpt en de juiste controlemechanismen toepast.