Security policy

Maintaining the security and confidentiality of your data is our top priority.


Introductie:

De doelstelling voor Omniboost B.V. is het zo veilig mogelijk leveren van onze diensten, het beschermen van klantgegevens en het bewaken van het vertrouwen van onze klanten. Onze visie is vastgelegd in ons Informatiebeveiligingsbeleid. Dit beleid omvat meerdere beveiligingsmaatregelen om gegevens te beschermen tegen lekken, verlies en diefstal. Daarmee handhaven we de integriteit, vertrouwelijkheid en beschikbaarheid van de gegevens van onze klanten.

Information Security Officer:

Voor al uw vragen of meldingen over onze beveiliging kunt u terecht bij Information Security Officer van Omniboost B.V., namelijk:

Name:R.A.J. (Raimond) Bal AA
Phone number:(+31) (0) 113 239 400
E-mail:privacy@omniboost.io


Leveranciers:

Ook met leveranciers en sub-verwerkers hebben we afspraken gemaakt over de beveiliging en continuïteit van de dienstverlening, in lijn met het informatiebeveiligingsbeleid van Omniboost B.V. Wij streven ernaar om met alle sub-verwerkers een verwerkersovereenkomst conform de AVG wetgeving af te sluiten.

Gecertificeerde Hosting:

Omniboost B.V. maakt gebruik van cloud hosting in plaats van on-premise hosting. Beveiligingsverantwoordelijkheden worden gedeeld door Omniboost B.V. en de serviceprovider. Wij maken uitsluitend gebruik van ISO 27001 gecertificeerde datacenters binnen Nederland.


Data versleuteling:

We gebruiken cryptografische maatregelen (encryptie of versleuteling) om de vertrouwelijkheid van gevoelige en geheime informatie te beschermen en om de authenticiteit van gebruikers te kunnen vaststellen. Voor het elektronisch transport maakt Omniboost B.V. altijd gebruik van toonaangevende versleutelingstechnologieën als HTTPS en Transport Layer Security (TLS).


Fysieke beveiliging:

Informatiebeveiliging gaat voor Omniboost B.V. verder dan alleen de applicaties en systemen. Wij hechten daarom ook veel waarde aan fysieke beveiliging van onze gebouwen, archiefruimtes, desktops, laptops en andere bedrijfsmiddelen waar informatie over onze klanten te vinden is. Om die te beveiligen hebben we verschillende maatregelen getroffen, namelijk een combinatie van organisatorische, en elektronische maatregelen.


E-mail:

Alle e-mail die Omniboost B.V. verstuurd en ontvangt wordt verwerkt door mailservers in uitsluitend gecertificeerde datacenters.


Security Awareness:

Met medewerkers van Omniboost B.V. (zowel intern als extern) worden geheimhoudingsverklaringen overeengekomen en informatiebeveiligingsafspraken gemaakt. Ook stimuleren wij het bewustzijn, opleiding en training ten aanzien van privacy en informatiebeveiliging.


Meldplicht datalekken:

De meldplicht datalekken in de AVG eist dat eventuele datalekken naar aanleiding van een beveiligingsincident gemeld worden aan de toezichthouder. De “Beleidsregels meldplicht datalekken” van de Nederlandse Autoriteit Persoonsgegevens geven hierover nadere informatie. Wij zullen u tijdig, juist en volledig informeren over relevante incidenten, zodat u aan de wettelijke vereisten kunt voldoen.


Responsible Disclosure:

Omniboost B.V. wil zich inspannen voor optimale veiligheid en hecht grote waarde aan de security van haar systemen. Toch valt nooit uit te sluiten dat er zwakke plekken voorkomen. Als u een zwakke plek heeft gevonden in www.tim-online.nl, horen we dat graag van u. We zullen dan zo snel mogelijk maatregelen nemen. Omniboost B.V. verzoekt bij vermeende kwetsbaarheden altijd gebruik te maken van bovenstaand e-mailadres.  Meldingen of openbaar maken van informatie via sociale media wordt ten stelligste afgeraden om mogelijke risico’s voor betrokkenen zo beperkt mogelijk te houden.


Rapporteer wel:

  • Persistent Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF/XSRF)
  • Niet werkende authenticatie
  • Het kunnen omzeilen van ingestelde privacy / rechten
  • Remote Code Execution

Rapporteer geen:

  • Username dictionairy attack
  • Self-XSS
  • Missende / niet streng geconfigureerde DNS SPF records
  • Social hacking
  • Publiek toegankelijke login pagina's voor admin/cms omgevingen
  • Veiligheidsproblemen in third-party apps die niet opgelost zijn in de laatste versie
  • Denial of Service Vulnerabilities
  • Missende HSTS header
  • Missende DNSSEC
  • Missende CSP header
  • Aanvallen waarbij een DNS takeover nodig is