Uitleg over de gedeelde verantwoordelijkheid met Zoho

Zoho neemt de verantwoordelijkheid voor het ontwikkelen van producten die veilig, betrouwbaar en robuust zijn. Hoewel wij de cloudinfrastructuur onderhouden, bent u verantwoordelijk voor het beveiligen van uw gegevens en voor de instellingen waarmee u de Zoho-applicaties configureert.

Wanneer u Zoho gebruikt, is gegevensbeveiliging en privacy een gedeelde verantwoordelijkheid tussen u en ons. Hier volgt een model dat de architectuur op hoog niveau van onze cloudomgeving, namelijk Software as a Service (SaaS), en de bijbehorende verantwoordelijkheden beschrijft.

Bijgewerkt op: 12 juli 2020

Verantwoordelijkheid van de klant

  •   Verantwoordelijkheid voor gegevens
  •   Wachtwoorden
  •  Klant- en eindpuntbeveiliging

Gedeelde verantwoordelijkheid

  •   Identificatie- en toegangsbeheer
  •   Gegevensbeheer
  •   Het beheren van gegevens aan andere partijen
  •   Versleuteling
  •   Back-ups
  •   Incidentbeheer
  •   Bewustzijn en training
  •   Beleid en naleving

Verantwoordelijkheid van Zoho

  •  Gegevensbescherming
  •  Beschikbaarheid
  •   Bedrijfscontinuïteit
  •   Netwerkbesturing
  •   Host-infrastructuur
  •   Fysieke beveiliging

We hebben deze gids samengesteld om u inzicht te geven in wat Zoho doet om uw account veilig te houden, wat u kunt doen om uw gegevens te beveiligen en hoe we samen een veilige cloudomgeving kunnen waarborgen.

Verantwoordelijkheid van de klant

Laten we eens kijken hoe u verantwoordelijk bent voor het beschermen van uw gegevens in de cloud en voor de beveiliging van uw apparaten.

Verantwoordelijkheid voor gegevens

U bent verantwoordelijk voor:

  • De gegevens die u deelt en ontvangt via de cloud. U bepaalt met wie u deze deelt, gedurende welke periode en u bepaalt de middelen om deze te delen.
  • Het waarborgen van de privacy van gegevens die u met Zoho-services verwerkt, om ervoor te zorgen dat u niet per ongeluk of opzettelijk privé-inhoud openbaar maakt.
  • Zorgdragen voor de nauwkeurigheid van de gegevens die u in uw systeem verwerkt.
  • Ervoor zorgen dat uw Zoho-serviceaccount niet door u of door anderen namens u wordt gebruikt voor spamming of illegale activiteiten en dat de services van Zoho alleen voor de beoogde doeleinden worden gebruikt.

Wachtwoorden

Het is uw verantwoordelijk om een sterk wachtwoord in te stellen en dat te beschermen wanneer u het gebruikt om u aan te melden en toegang te krijgen tot de cloud.

Klant- en eindpuntbeveiliging

  • Als een van uw eindpunten gecompromitteerd raakt (of het nu gaat om uw laptop, desktop of smartphone) zal dat alle andere controlemaatregelen ineffectief maken.
  • U bent verantwoordelijk voor de beveiliging van uw eindpunt en er wordt van u verwacht dat uw browserservices, mobiele besturingssystemen en mobiele apps steeds met de nieuwste versie worden bijgewerkt en tegen beveiligingslekken worden gepatcht.

Gedeelde verantwoordelijkheid

Verantwoordelijkheid van controle die zowel bij u als bij Zoho ligt.

Identificatie- en toegangsbeheer

We bieden een infrastructuur voor het beheer van gebruikersaccounts via de IAM-service (Identity and Access Management) door het volgende te faciliteren:

  • Gebruikersregistratie, registratieverwijderingsopties en specificaties voor het gebruik ervan.
  • Functionaliteit voor het beheren van toegangsrechten van uw cloudgebruikers.
  • Sterke verificatietechnieken zoals verificatie met meerdere factoren en IP-adresbeperkingen.

U bent verantwoordelijk voor:

  • Het implementeren van krachtige beheerfuncties voor gebruikerstoegang.
  • Het configureren en beschermen van sterke wachtwoorden op basis van het beleid van de organisatie.
  • Het inschakelen van verificatie met meerdere factoren voor de gebruikers van uw organisatie.
  • Gebruikersaccounts en bevoegdheden beheren – gebruikersrollen configureren volgens het principe van alleen strikt noodzakelijke rechten.
  • Het definiëren van de beheerder(s) van de account van de organisatie en het hebben van een geëigend proces voor eigendomsoverdrachten. Het nemen van de nodige maatregelen om ervoor te zorgen dat uw organisatie geen controle over de beheerdersaccounts verliest.
  • Regelmatig de lijst met gebruikers met toegang tot gegevens doornemen en toegang verwijderen voor iedereen die deze niet zou moeten hebben.
  • Apparaten die zijn gekoppeld aan de gebruikersaccounts van de organisatie regelmatig controleren en ongebruikte of niet-geautoriseerde apparaten verwijderen.
  • Het controleren van de gebruikersaccounts van uw organisatie op kwaadwillige toegang of gebruik.
  • Zoho op de hoogte stellen van onbevoegd gebruik van de accounts van uw organisatie.
  • Uw gebruikers informeren over het belang van goed wachtwoordbeheer, de risico's op hergebruik van inloggegevens, aanmelden via sociale netwerken en phishingaanvallen.

Gegevensbeheer

We bieden u een platform om uw gegevens te beheren met:

  • Functies voor het delen van gegevens voor controle op beheerders- en gebruikersniveau.
  • Auditfuncties bij klantgegevens om transparantie te bieden over belangrijke activiteiten en om veranderingen bij te houden.
  • Gegevensinteroperabiliteit – de optie om een volledige back-up van gegevens en configuraties te maken om uw gegevens geheel of gedeeltelijk naar een andere SaaS-provider te migreren.
  • Bewaren en verwijderen van gegevens – wij bewaren de gegevens in uw account zolang u ervoor kiest om gebruik te maken van Zoho-services. Zodra u uw Zoho-gebruikersaccount hebt opgezegd, worden uw gegevens uit de actieve database verwijderd en tijdens de volgende opschoning gewist. Deze opschoningen vinden eens in de zes maanden plaats. De gegevens uit de actieve database worden na drie maanden uit de back-ups verwijderd.
  • Functies voor toegangsbeperking om te voorkomen dat werknemers toegang krijgen tot klantgegevens en ervoor te zorgen dat ze dit alleen kunnen doen als er een specifieke reden is.

U bent verantwoordelijk voor:

  • Het betrachten van gepaste verantwoordelijkheid bij het verwerken van informatie die tot speciale categorieën behoort (bijvoorbeeld persoonlijke/gevoelige gegevens) door het toepassen van de juiste controlemechanismen om te voldoen aan de vereisten van de toepasselijke wetgeving.
  • Het configureren van de juiste machtigingen voor delen en weergeven.
  • Het regelmatig controleren van auditrapporten om verdachte activiteiten te identificeren.
  • Het bijhouden van actuele contactgegevens voor Zoho.
  • Uit het systeem halen van uw gegevens zodra u onze services niet meer gebruikt. Anders zullen ze permanent worden verwijderd zonder mogelijkheid voor herstel.

Het beheren van gegevens aan andere partijen

We werken aan veilige integraties en uitbreidingen van onze applicaties door:

  • Marketplace-apps: Het uitvoeren van functionele tests, beveiligingstests en privacytests zodra een applicatie bij ons wordt aangemeld. We voeren ook productbeoordelingen en inhoudsbeoordelingen uit.
  • Onderverwerkers: Evalueert de beveiligings- en privacyprocedures van onderverwerkers die we willen contracteren om ervoor te zorgen dat ze in overeenstemming zijn met Zoho's informatiebeveiliging en privacynormen. Vervolgens gaan we passende overeenkomsten inzake gegevensbescherming met hen aan.
  • We bekijken het privacybeleid en de servicevoorwaarden van onze leveranciers en zorgen ervoor dat hun activiteiten daaraan blijven voldoen.

We verwachten dat u:

  • Integraties van derden in- of uitschakelt nadat u hebt gekeken naar de gegevens die met omgevingen van derden worden gedeeld. U moet de voorwaarden en het privacybeleid van de service van derden met betrekking tot het verzamelen, gebruiken of vrijgeven van gegevens doornemen.
  • Aangeeft of u uw gegevens wilt delen met leveranciers telkens wanneer een uitbreiding wordt geïnstalleerd.
  • Vóór installatie de geschiktheid van de Marketplace-apps en de redelijkheid van de gevraagde machtigingen beoordeelt.
  • Zoho op de hoogte stelt van elk schadelijk gedrag dat in de Marketplace-apps wordt gesignaleerd.

Rechten van betrokkenen

Wij zijn verantwoordelijk voor:

  • Het bieden van voorzieningen die klanten in staat stellen om de rechten van uw klanten te respecteren en te beschermen.
  • U op de hoogte stellen van verzoeken van uw klanten wanneer zij rechtstreeks contact met ons opnemen voor het uitoefenen van hun rechten.

U bent verplicht:

  • Verzoeken van klanten om toegang tot gegevens, rectificatie, verwijdering en beperkingen bij de verwerking van hun persoonlijke gegevens te honoreren en af te handelen.

Versleuteling

We beschermen uw gegevens op de volgende manieren door middel van versleuteling tijdens overdracht en in rust:

  • Gegevens in overdracht: Klantgegevens die via openbare netwerken naar onze servers worden verzonden, worden met behulp van krachtige versleutelingsprotocollen beschermd. We stellen voor alle verbindingen met onze servers het gebruik van Transport Layer Security-versleuteling (TLS 1.2/1.3) met sterke coderingen verplicht, onder meer voor webtoegang, API-toegang, onze mobiele apps, en e-mailclienttoegang via IMAP/POP/SMTP.
  • Gegevens in rust: Gevoelige klantgegevens worden versleuteld met het 256-bits algoritme Advanced Encryption Standard (AES). De gegevens die in rust worden versleuteld, variëren afhankelijk van de services waarvoor u kiest. Wij beheren en onderhouden de sleutels met onze interne Key Management Service (KMS).

We raden u het volgende aan:

  • Bepaal uw versleutelingsbehoeften. Voor gegevens in rust bent u tijdens het gebruik van onze services in veel gevallen verantwoordelijk voor het definiëren van de velden die versleuteld moeten worden.
  • Wanneer de gegevens uit onze cloud worden gedownload of geëxporteerd naar uw omgeving of worden gesynchroniseerd binnen integraties in Zoho of met integratie van andere derden, moet u ervoor zorgen dat relevante versleutelingscontroles worden toegepast. Schakel bijvoorbeeld schijfversleuteling in op uw apparaten en gebruik de exportfunctie als wachtwoordbeveiliging wordt ingeschakeld, enzovoort.

Back-ups

We zijn uitgerust met een robuust systeem om:

  • Back-ups op systeemniveau versleuteld met een AES-256-bits algoritme veilig te bewaren. Automatisch integriteitscontroles en validatiecontroles van de volledige back-ups uit te voeren.
  • Binnen de bewaarperiode verzoeken voor gegevensherstel mogelijk te maken en veilige toegang tot deze gegevens te bieden. Klanten een voorziening te bieden om hun gegevens te exporteren en er een back-up van te maken.

Vanaf uw kant kunt u:

  • Een back-up voor uw gegevens plannen, deze uit de respectieve Zoho-services exporteren en indien nodig lokaal in uw infrastructuur opslaan. U bent verantwoordelijk voor het op een veilige manier opslaan van de gegevens.

Incidentbeheer

Van onze kant zorgen we ervoor dat:

  • Alle inbreukincidenten waarvan we op de hoogte zijn en die op u van toepassing zijn worden gemeld, samen met details over de gevolgen en geschikte acties. Voor incidenten die specifiek van toepassing zijn op een individuele gebruiker of een organisatie, zullen wij de betrokken partij per e-mail informeren op het adres dat bij ons is geregistreerd.
  • We dergelijke incidenten volgen en ze sluiten.
  • We controlemechanismen doorvoeren om te voorkomen dat soortgelijke incidenten zich herhalen.
  • Op verzoek zullen we aanvullende bewijzen leveren met betrekking tot het incident dat op u van toepassing is.

We verwachten dat u:

  • De maatregelen treft die Zoho in geval van een inbreuk voorstelt.
  • Voldoet aan uw vereisten voor openbaarmaking en kennisgeving van gegevensinbreuk, zoals het informeren van uw eindgebruikers en de gegevensbeschermingsautoriteiten wanneer dit relevant is.
  • Beveiligings- en privacyincidenten waarvan u op de hoogte bent aan incidents@zohocorp.com meldt.

Bewustzijn en training

We nemen de volledige verantwoordelijkheid voor:

  • Het trainen van onze werknemers om veiligheidsbewust te zijn en zich te houden aan een veilige ontwikkelingsstandaard. Nieuwe werknemers deel te laten nemen aan verplichte training op het gebied van beveiliging en privacy en daarnaast regelmatig training te geven op het gebied van veiligheidsbewustzijn via informatieve e-mails, presentaties en bronnen die beschikbaar zijn op ons intranet.
  • Het trainen van onze medewerkers in de juiste verwerking van klantgegevens in de cloud.

U bent verantwoordelijk voor het trainen van cloudgebruikers over:

  • Standaarden en procedures voor het gebruik van onze services.
  • Hoe de risico's met betrekking tot onze services worden beheerst.
  • Risico's voor het algemene systeem en de netwerkomgeving.
  • Zaken ten aanzien van toepasselijke wet- en regelgeving.

Beleid en naleving

We houden ons aan een reeks richtlijnen, zoals:

  • We hebben een uitgebreid risicomanagementprogramma en implementeren de controlemechanismen op effectieve wijze.
  • We blijven binnen de wetgeving van verschillende rechtsgebieden waar we actief zijn.
  • We leveren bewijs van naleving van toepasselijke wetgeving en die is gebaseerd op onze contractuele vereisten.
  • We zullen helpen bij de DPIA-beoordeling van onze klanten, voor zover toegestaan door de toepasselijke wetgeving.

We verwachten dat u:

  • Regelgeving en wetten die op u van toepassing zijn evalueert en controleert of wij voldoen aan de regels en normen die voor uw bedrijf gelden. U kunt aanvullende informatie aanvragen als bewijs van onze naleving.
  • Ons beleid en onze methoden voor beleidsbeoordeling kent en begrijpt hoe we gegevens verwerken.
  • De DPIA uitvoert zoals vereist door de wetgeving op het gebied van gegevensbescherming die van toepassing is op uw organisatie voorafgaand aan of tijdens het verwerken van gegevens
  • Voordat u persoonlijke/gevoelige gegevens verwerkt, uw rechtsgrondslag beoordeelt. Als uw rechtsgrondslag toestemming is, zorg er dan voor dat u de toestemming van uw klanten verkrijgt.
  • De geschiktheid van onze cloudgebaseerde services beoordeelt op basis van de informatie die we leveren en ervoor zorgt dat deze voldoende is om aan uw nalevingsbehoeften te voldoen.
  • Het risicoprofiel en de gevoeligheid van de gegevens die in de Zoho-services worden gehost begrijpt en de juiste controlemechanismen toepast.

Verantwoordelijkheid van Zoho

Wij zijn verantwoordelijk voor de bescherming van de cloud en de bijbehorende mechanismen waarmee alle Zoho-services worden uitgevoerd.

Gegevensbescherming

  • Wij zijn verantwoordelijk voor de isolatie van uw gegevens die bij ons zijn opgeslagen. De servicegegevens van elke klant worden logisch gescheiden van de gegevens van andere klanten door middel van een set beveiligde protocollen in het framework.
  • Wij zijn verantwoordelijk voor de vertrouwelijkheid van uw gegevens die bij ons in rust, tijdens de overdracht en tijdens de verwerking zijn opgeslagen.
  • Wij zijn verantwoordelijk voor de integriteit van zowel uw gegevens als systeemgegevens, zoals logboeken en configuratiegegevens.
  • Wij zijn verantwoordelijk voor de traceerbaarheid en controle over uw gegevens, zodat op elk moment de fysieke locatie en verwerking van gegevens bekend kan zijn.

Beschikbaarheid

  • Wij zijn er verantwoordelijk voor dat onze services beschikbaar zijn volgens onze uptime-SLA van 99,9% door hardware-/softwarefouten en bedreigingen zoals denial of service-aanvallen af te handelen.
  • Als klant kunt u op elk gewenst moment naar zohostatus.com gaan om de huidige status van de site te bekijken, evenals verstoringen die hebben plaatsgevonden.

Bedrijfscontinuïteit

  • Het is onze verantwoordelijkheid om een bedrijfscontinuïteitsplan te hebben voor onze belangrijkste activiteiten, zoals support en infrastructuurbeheer.
  • We zullen ervoor zorgen dat de applicatiegegevens die in robuuste opslag zijn opgeslagen in verschillende datacenters worden gerepliceerd. Gegevens in het primaire DC worden in het secundaire in vrijwel real-time gerepliceerd en we kunnen in geval van een ramp overschakelen naar het secundaire DC.

Netwerkbesturing

We zijn verantwoordelijk voor het exploiteren van een veilig productienetwerk. We gebruiken firewalls om ons netwerk tegen onbevoegde toegang te beschermen en ongewenst gegevensverkeer te vermijden. De toegang tot productienetwerken wordt strikt gecontroleerd.

Host-infrastructuur

Wij zijn verantwoordelijk voor de bescherming en beveiliging van de hostinfrastructuur. Alle servers die in het productienetwerk worden geleverd, zijn volgens de normen gehard. Patchbeheer van besturingssystemen, basisconfiguratie en detectietechnologieën voor indringers worden gebruikt om een veilige infrastructuur te behouden.

Fysieke beveiliging

Het is onze verantwoordelijkheid om ervoor te zorgen dat onze infrastructuur wordt beschermd tegen onbevoegde fysieke toegang, inbraak en rampen.

Conclusie

Het model van gedeelde verantwoordelijkheid voor cloudbeveiliging schept duidelijkheid over de verwachtingen ten aanzien van beveiliging voor cloudgebruikers en cloudserviceproviders. De verwachting kennen is echter slechts de eerste stap. Gebruikers moeten actie ondernemen op deze verantwoordelijkheden door beleid en procedures in te stellen voor hun gedeelte van de cloudbeveiliging. Zoho zal hard blijven werken om uw gegevens veilig te houden, zoals we dat altijd hebben gedaan, en zich blijven inzetten voor een veilige cloudomgeving.

Neem voor verdere vragen over dit onderwerp contact met ons op via security@zohocorp.com