Navigation SearchNavigation ContactNavigation Products

Een differentiële focus:
veiligheid en integriteit

Al sinds de oprichting van het bedrijf hecht DDI de hoogste waarde aan gegevensintegriteit. DDI streeft ernaar zaken te doen op een wijze die vertrouwen inboezemt, onder andere door het juiste gebruik en beheer van de persoonlijke gegevens die onze collega's, klanten en leveranciers ons verschaffen. Wereldwijd is elke DDI-medewerker getraind in best practices inzake gegevensbeveiliging om klantgegevens te helpen beschermen.

Onze beveiligingsmissie

  • Volledig transparant te zijn inzake het gebruik en beheer van gegevens.
  • Onze klanten te helpen optimaal te profiteren van hun gegevens en tegelijkertijd potentiële risico's tot een minimum te beperken.
  • Gobale best practices te benutten in ons gegevensbeleid en onze nalevingsmaatregelen.
  • Onze klanten het hoogste niveau van gegevensbescherming en vertrouwelijkheid te bieden.

Onze benadering van gegevensbeveiliging

DDI hanteert een meerlaagse benadering van informatiebeveiliging wat betreft de bescherming van gebruikersgegevens (gegevens van sollicitanten, deelnemers, leerlingen, beheerders en klanten) en het voorkomen van onbevoegde toegang, wijziging of vernietiging. Ons beleid en onze processen zijn ontworpen om:

  • Mechanismen te definiëren die gegevens beschermen en misbruik voorkomen
  • DDI-medewerkers te informeren over het belang van veilig gegevensbeheer en het herkennen van mogelijke beveiligingsbedreigingen
  • Een communicatiekanaal te bieden voor externe vragen over dit beleid en de bijbehorende systemen

Beveiligingsbeheer

In het kader van de gegevensintegriteit hanteert DDI specifieke resources, beleidsregels en processen voor gegevensbescherming, zo is er een afdeling voor gegevensbeveiliging en hebben we een functionaris voor gegevensbescherming aangesteld die standaard toezicht houden op de globale normen.

De functionaris voor gegevensbescherming van DDI bepaalt de visie en strategie voor het beveiligings- en nalevingsprogramma van de onderneming en dwingt dit af teneinde wereldwijde consistentie te bereiken en vast te kunnen stellen dat risico's op de juiste wijze worden beheerd en doelstellingen worden bereikt.

Beveiligingstraining

Alle DDI-medewerkers volgen regelmatig training op het gebied van best practices inzake de privacy, vertrouwelijkheid en beveiliging van gegevens. Eindgebruikers worden getraind om phishingaanvallen, social-engineeringaanvallen, kwaadaardige links en downloads te herkennen en te vermijden.

Verwerking van gegevens

Afhankelijk van de zakelijke context, neemt DDI de rol van controller of verwerker van gegevens op zich. Wanneer gegevens worden vastgelegd en verwerkt in het kader van marketing, sales of door DDI geleid research, functioneert DDI als gegevenscontroller en voldoet het bedrijf aan alle verantwoordelijkheden en vereisten inzake gegevensbeveiliging die gelden voor die rol. Wanneer gegevens worden vastgelegd en verwerkt in het kader van een door de klant gefinancierde verbintenis, neemt de klant de rol van gegevenscontroller op zich. DDI fungeert dan als gegevensverwerker en voldoet aan alle verantwoordelijkheden en vereisten inzake gegevensbeveiliging die gelden voor die rol.

Veiligheid in samenwerking

De veiligheid en vertrouwelijkheid van de gegevens van onze klanten is een gedeelde verantwoordelijkheid van DDI en onze klanten. DDI biedt een veilig platform, zodat klanten hun gegevens kunnen openen en gebruiken. Daarnaast biedt DDI de tools, services, support en resources waarmee onze klanten de veiligheid van hun gegevens gedurende de gehele levenscyclus van de samenwerking kunnen garanderen. Zie de Privacyverklaring van DDI.

Klanten zijn medeverantwoordelijk voor de beveiliging van hun gegevens tijdens en na hun samenwerking met DDI. Klanten dienen te begrijpen welke gegevens worden verzameld en opgeslagen in de DDI-systemen en het juiste beleid voor het delen van gegevens te definiëren om ervoor te zorgen dat de gegevens alleen worden gedeeld met personen die daartoe gemachtigd zijn. Het beleid voor het delen van gegevens moet worden afgestemd op risico- en nalevingsvereisten die overeenkomen met het belang en de classificatie van die gegevens.

Gegevensclassificaties

  • Persoonlijke gegevens omvatten alle informatie aan de hand waarvan de identiteit van iemand kan worden vastgesteld. Wij verzamelen, openen, gebruiken of onthullen persoonlijke gegevens uitsluitend voor geldige en passende bedrijfsdoeleinden. Wij beveiligen deze informatie op gepaste wijze en delen deze zonder actuele en geldige zakelijke vereiste met niemand, noch binnen noch buiten ons bedrijf.
  • Gevoelige/vertrouwelijke gegevens zijn gegevens waarop wettelijke voorschriften van toepassing zijn om openbaarmaking te voorkomen of gegevens waarvan de openbaarmaking de vertrouwelijkheid van de desbetreffende persoon ernstig zou schenden. Toegang tot vertrouwelijke gegevens is beperkt tot interne DDI-gebruikers die deze gegevens nodig hebben om te voldoen aan de contractuele verplichtingen en/of beveiligingsbeheer. SaaS-toepassingen (Software as a Service) van DDI verwerven of bewaren vertrouwelijke informatiemiddelen niet.
  • Diagnostische gegevens/prestatiegegevens worden vastgelegd tijdens het vervullen van onze contractuele verplichtingen aan onze klanten, in de context voorgeschreven door en eigendom van de klant. Voor opgeslagen DDI-toepassingsgegevens gelden strenge regels om openbaarmaking van deze gegevens aan onbevoegde partijen te voorkomen. Toegang is beperkt tot interne DDI-gebruikers die deze gegevens nodig hebben om te voldoen aan de contractuele verplichtingen en/of beveiligingsbeheer en tot door de klant geïdentificeerde en geautoriseerde gebruikers volgens het klantbeleid voor het delen van gegevens.
  • Openbare gegevens zijn gegevens die beschikbaar zijn voor publieke verspreiding of die toegankelijk zijn via andere openbare bronnen. De meeste informatie over personen wordt echter behandeld als vertrouwelijk of gevoelig, zelfs als deze openbaar toegankelijk is.

Minste privilege-toegang

Tot gegevens

Toegang tot alle gegevens (ongeacht de classificatie) wordt verleend op basis van het beveiligingsmodel van het "minste privilege", dat wil zeggen dat toegang wordt verleend aan personen met een legitiem zakelijk belang, zoals eindgebruikers, klantbeheerders en de verschillende ondersteuningsteams van DDI en de klant. Aanvullende maatregelen kunnen worden getroffen om ervoor te zorgen dat gegevens worden beveiligd volgens de voorschriften voor elke classificatie. Er kan toegang worden verleend aan de volgende personen:

Eindgebruikers

Eindgebruikers zijn mensen die een onlineproces uitvoeren (zoals een test of evaluatie) of die een vragenlijst hebben gemaakt of beantwoord.

Klantbeheerders

Klantbeheerders zijn eindgebruikers van het systeem die accounts en workflowprocessen beheren binnen een DDI-toepassingssysteem, zoals rekruteringsmanagers, medewerkers op het gebied van van personeelsontwikkeling en andere Human Resources-functies. Beheerders kunnen medewerkers van de klant of DDI zijn die persoonlijke gegevens invoeren namens klanten of sollicitanten en die hen helpen de verschillende procesfasen te doorlopen.

<Ondersteunend personeel

Wanneer een gebruiker technische ondersteuning vraagt aan het productondersteuningsteam van DDI, kan de desbetreffende gebruiker een ondersteuningsmedewerker tijdelijk toegang verlenen tot zijn of haar account. Teneinde het probleem te kunnen oplossen, heeft het ondersteuningsteam wellicht toegang nodig tot een test, evaluatie of vragenlijst van een individuele gebruiker.

Tot toepassingen

Toepassingen maken gebruik van een op rollen gebaseerd beveiligingsmodel om toegangsrechten te bepalen. Klantgegevens worden logisch gescheiden op basis van de locatie, het document, de gebruiker en andere criteria. Systeemwijzigingen worden beheerd via een best practice wijzigingsbeheerproces.

Tot accounts

Eindgebruikers krijgen 'minste privilege'-toegangsrechten om hun werk op effectieve en efficiënte wijze te kunnen doen. Al het administratie- en accountbeheer wordt streng gecontroleerd door DDI. Gebruikersaccounts moeten sterke wachtwoorden en schermbeveiligers met wachtwoordbeveiliging hebben. De toegang tot accounts wordt automatisch uitgeschakeld na te veel mislukte aanmeldingspogingen of na of beëindiging van het dienstverband.

Tot databases

Bepaalde technici hebben toegang op databaseniveau. Ze hebben deze toegang nodig om offsite back-ups te maken en gegevens te herstellen. Dit doen ze allemaal zonder de gegevens te bekijken.

Tot datacenters of back-ups

De fysieke toegang tot datacenters is beperkt tot een lijst met bij naam genoemde DDI-medewerkers. Fysieke toegang betekent niet ook toegang tot gegevens. De fysieke media bevinden zich op servers in een afgesloten kast. Offsite back-ups worden opgeslagen in een brandkast in een veilige kamer. Toegang tot deze kamer is beperkt en wordt geregistreerd.

Veilige transmissies

Bij het gebruik van DDI-toepassingen worden doorgaans gegevens uitgewisseld tussen drie belangrijke partijen: de klant en haar medewerkers/kandidaten en DDI. Wanneer een eindgebruiker toegang krijgt tot een DDI-toepassing, wordt de informatie die hij of zij verstrekt via beveiligde versleutelde (HTTPS-)methoden verzonden. De gegevens die door onze toepassingsservers worden verwerkt, worden naar onze databaseservers verzonden voor opslag. Web-, toepassings- en databaseservers bevinden zich op afzonderlijke logische en fysieke netwerken die door firewalls worden beschermd.

DDI maakt gebruik van SSL/TLS 1.2 voor beveiligde toegang tot HTTPS-toepassingsgegevens. SSL-technologie wordt standaard geleverd voor alle DDI-toepassingen en alle back-uptapes zijn gecodeerd met 256-bits AES-codering. Er wordt codering gebruikt voor wachtwoorden die zijn opgeslagen in toepassingsdatabases. Alle bestanden (ongeacht de vertrouwelijkheid) blijven gecodeerd wanneer ze van een DDI-laptop naar een extern opslagapparaat worden gekopieerd.

Productontwikkelingsproces en codebeheer

Releasecyclus

DDI hanteert een flexibel ontwikkelingsmodel. Dit betekent een iteratieve en zeer wendbare benadering van softwareontwikkeling die DDI in staat stelt snel te reageren op de behoeften van onze klanten. We werken met een een geplande releasecyclus voor nieuwe code (meestal een wekelijkse cyclus). Dat betekent dat DDI ongeveer elke week nieuwe functies en upgrades uitgeeft. Dankzij dit flexibele ontwikkelingsmodel kunnen bestaande functies snel worden verbeterd en/of nieuwe functies snel worden toegevoegd. Ook buiten deze cyclus om kunnen wij meteen versies uitgeven ("hot fixes") als dat nodig is.

(Digitale) ontwikkelomgevingen

DDI maakt gebruik van afzonderlijke toepassingsinstanties voor het testen van bijgewerkte code en van afzonderlijke instanties voor vroege kandidaatcode en voltooide kandidaatsoftware. Zo wordt voorkomen dat gegevens worden beheerd of geopend door code die nog in ontwikkeling is. Alle ontwikkelingscode wordt getest op zogenaamde "dummy databases".

Code-evaluatie

Programmeurs werken individueel en in teams aan de ontwikkeling van nieuwe code. Tegen het einde van elke ontwikkelingscyclus wordt de code door hun collega’s beoordeeld en getest in een van de productieomgeving gescheiden omgeving voor kwaliteitscontrole. Tijdens deze testperiode kunnen de meeste bugs worden opgelost voordat ze in voltooide versies terechtkomen. De code wordt bovendien via de NTOSpider-tool softwarematig gecontroleerd op bekende beveiligingsproblemen.

Codebeheer

Voor het beheer van het softwareontwikkelingproces en als opslagplaats voor de broncode wordt de Git-tool gebruikt. De Git-tool en verwante processen zorgen ervoor dat wijzigingen niet worden overschreven als meerdere ontwikkelaars wijzigingen aanbrengen in dezelfde module. Op vele verschillende niveaus op het gebied van ontwikkeling, kwaliteitscontrole en implementatie zijn processen voor wijzigingsbeheer geïmplementeerd, zoals:

  • Documentatie en eigendom van wijzigingsverzoeken waarin revisie, goedkeuring en documentatie van alle wijzigingen door de eigenaar van de toepassing is opgenomen.
  • Een gated goedkeuringsproces voor het doorlopen van de verschillende codefases: van ontwikkeling naar kwaliteitscontrole, van kwaliteitscontrole naar fasering en van fasering naar productie.
  • Een uit meerdere fases bestaand test- en kwaliteitscontroleproces voor de software (unittest gevolgd door systeemtest, gevolgd door gebruikersacceptatietest). Het ontwikkelen en testen van de unit wordt uitgevoerd op afzonderlijke ontwikkelingssystemen door softwareontwikkelaars voordat de unit wordt vrijgegeven voor systeem- en gebruikersacceptatietests op afzonderlijke kwaliteitscontrolesystemen.

Beveiliging in infrastructuur

Veilige hostingfaciliteiten

DDI host op de client gerichte toepassingen op redundante en volgens SSAE18, SOC 2 Type II, ISO/IEC 27001:2013, HIPAA/HITECH en PCI DSS 3.1 gecertificeerde datacenters.

De serverinfrastructuur van DDI is ondergebracht in een speciale afgesloten behuizing van 8 bij 16 inch. Alleen DDI-medewerkers die verantwoordelijk zijn voor het beheer van de toepassingsservers en netwerkcomponenten hebben daar toegang toe. Er zijn alomvattende systemen geïmplementeerd in de datacenterfaciliteit ten behoeve van de (fysieke) beveiliging en bescherming.

Aangezien servers kunnen worden aangevallen, zorgt DDI ervoor dat haar servers op de juiste wijze worden beveiligd. DDI heeft de volgende maatregelen getroffen om de serverbeveiliging te verbeteren. [Om veiligheidsredenen kunnen wij niet alle details van onze beveiligingsmaatregelen verstrekken.]

  • Verwijdering of uitschakeling van overbodige services, toepassingen en netwerkprotocollen.
  • Uitschakeling van overbodige gebruikersaccounts en wijziging van naam van standaardaccounts.
  • Wachtwoordvereisten zijn geconfigureerd om te voldoen aan het DDI-wachtwoordbeleid.
  • Activering van serverlogboek en audittrails.
  • Installatie van antivirus-/antimalwaresoftware met actuele definitiebestanden.
  • Geconfigureerd met actuele beveiligingspatches die eerst worden getest op een testplatform.

Continuïteit

De hot sync parallelle/redundante systemen van het datacenter bieden redundante stroomvoorziening via UPS (noodstroomvoeding) en back-upgeneratoren. Er zijn verbindingen met de netwerken van meerdere telecommunicatiebedrijven voor redundante internettoegang en de connectiviteit is load-balanced en wordt geleverd door meerdere ISP’s.

Noodherstel

DDI hanteert een gedetailleerd plan voor noodherstel voor het herstellen van zakelijke diensten na een grootschalige systeemfout. Dit plan wordt bijgewerkt wanneer de infrastructuur van het systeem of de configuratie van de productiewebfarm wordt gewijzigd.

Netwerkbeveiliging

Onze netwerkinfrastructuur bestaat uit twee paar HA-apparaten die load-balancing- en acceleratiemogelijkheden verschaffen om te luisteren naar verzoeken via TCP-poort 80 of 443 (gebaseerd op het SSL-niveau) naar het externe IP-adres van een website. DDI benut zowel op hosts als op netwerken gebaseerde detectiesystemen die 7 dagen per week dag en nacht worden bewaakt en waarop altijd wordt gereageerd.

Bescherming tegen malware/virussen

Onze bewakingsomgeving is geconfigureerd om automatisch waarschuwingen te verzenden naar de juiste medewerkers die 24 uur per dag en 365 dagen per jaar klaar staan. Alle in aanmerking komende systemen, zoals pc’s, servers, gatewaysystemen enzovoort, worden beschermd door de endpoint protection-, antivirus- en "zero-day protection"-software van Microsoft die centraal wordt beheerd en bijgewerkt.

Gegevensretentie en -verwijdering

DDI hanteert een alomvattend retentiebeleid voor het beheer en de bescherming van persoonlijke gegevens. Als best practice standaard bewaart DDI persoonlijke gegevens niet langer dan nodig om aan de contractuele en/of wettelijke verplichtingen te voldoen. Ons beleid (1) schrijft voor dat persoonlijke gegevens worden verwijderd/vernietigd of geanonimiseerd nadat de retentieperiode is verstreken, niet langer dan 5 jaar; en (2) staat de onbeperkte retentie van onpersoonlijk gemaakte gegevens toe voor bedrijfs- en onderzoeksdoeleinden.

Vóór 25 mei 2018 worden elke avond incrementele back-ups gemaakt van gegevens om ervoor te zorgen dat alle toepassingen en klantgegevens bewaard blijven en kunnen worden hersteld in het geval van gegevensverlies of een catastrofale gebeurtenis. Na die datum worden deze back-ups slechts gedurende een periode van dertig (30) dagen bewaard.

Back-upschema's en gegevensretentie

  • Fysieke bestandenservers en DB-serverback-ups: (35 dagen op schijf bewaard)
  • Productie-VM’s: (35 dagen op schijf bewaard)
  • SharePoint-clientsites: (35 dagen op schijf bewaard)
  • Maandelijkse kopie op tape: (1 jaar op tape bewaard)
  • Jaarlijkse kopie op tape: (5 jaar op tape bewaard)

Respons op beveiligingsincidenten

DDI hanteert een uitgebreid programma voor de detectie van en reactie op beveiligingsincidenten. Dit programma bestaat uit inbraakdetectie, scans en andere methoden die als effectief en geschikt worden beschouwd. Terwijl computergerelateerde incidenten het meest voorkomen, kunnen niet aan computers gerelateerde incidenten worden gemeld via de hotline voor incidenten of door contact op te nemen met de DPO of Corporate Counsel van DDI. DDI zal alle vermoedelijke of feitelijke beveiligingsincidenten binnen 72 uur na het ontdekken van de schending melden aan getroffen of mogelijk getroffen klanten en de bevoegde autoriteiten. Als een incident is opgelost en de juiste meldingen zijn uitgevoerd, blijft DDI stappen ondernemen om de privacymaatregelen te verbeteren om herhaling te voorkomen.

Naleving

Certificeringen

SSAE-18: DDI slaat alleen gegevens op in datacenters met objectieve positieve jaarlijkse SAS 70 Type II-audits. SAS 70 is vervangen door SSAE (Statement on Standards for Attestation Engagements) nr. 18 en onze datacenters zijn gecertificeerd conform die standaard.

ISO 27001: DDI voldoet aan deze wijdverspreide globale veiligheidsnorm die is ontwikkeld door de International Organization for Standardization en maakt alleen gebruik van datacenters die hun naleving hebben aangetoond via periodieke beoordelingen en jaarlijkse certificering.

SOC 1/ SOC 2 - DDI is niet gecertificeerd volgens SOC 1 of SOC 2. De gegevenshostingprovider van DDI beschikt echter wel over actuele SOC 2-certificeringen.

 

Vertrouwelijke informatie

Alle DDI-medewerkers zijn verplicht een vertrouwelijkheidsovereenkomst te ondertekenen waarin de overwegingen en risico's van het omgaan met vertrouwelijke informatie expliciet worden uiteengezet. Medewerkers die dit beleid schenden, kunnen onmiddellijk worden ontslagen en we kunnen toepasselijke juridische stappen tegen dergelijke medewerkers ondernemen.

Achtergrondcontroles

DDI vraagt doorgaans een extern bureau om de achtergrond van sollicitanten te controleren op het moment dat deze een baan aangeboden krijgen. Dit bureau kan bijvoorbeeld de volgende typen informatie verzamelen, maar beperkt zich daar mogelijk niet toe: informatie over eerdere betrekkingen, de opleiding, het karakter, de financiële situatie of de reputatie van een persoon. Alle achtergrondcontroles worden uitgevoerd in overeenstemming met de toepasselijke federale en nationale wetgeving.

SSN-verificatie

Alle in de VS gevestigde medewerkers zijn geverifieerd en hebben een werkvergunning en een Social Security-nummer.

EU-voorschriften inzake gegevensbescherming

DDI heeft zijn hoofdkantoor in de Verenigde Staten. Het bedrijf heeft wereldwijd klanten en heeft mechanismen geïmplementeerd om ervoor te zorgen dat gegevenstransfers vanuit de EU naar de VS. op wettelijke wijze worden beschermd volgens de EU-voorschriften inzake gegevensbescherming, zoals Privacy Shield (een vervanging van Safe Harbor), EU-modelcontractbepalingen en toestemming van de eindgebruiker. U kunt de DDI-certificatie volgens het Privacy Shield-programma weergeven op de Privacy Shield-site https://www.privacyshield.gov/

EU-modelbepalingen

De EU-modelbepaling is een standaardaddendum bij contracten tussen dienstverleners zoals DDI en haar klanten, ontworpen om ervoor te zorgen dat alle persoonlijke gegevens die de EER verlaten, worden overgedragen in overeenkomst met de EU-wetgeving inzake gegevensbescherming en voldoen aan de vereisten van EU-richtlijn 95/46/EG inzake gegevensbescherming.

Algemene voorschriften inzake gegevensbescherming

Op 25 mei 2018 treedt een nieuwe privacyverordening in werking, de zogenaamde Algemene verordening gegevensbescherming (AVG). De AVG breidt de privacyrechten van inwoners van de EU uit en legt serviceproviders zoals DDI die persoonlijke gegevens uit de EU opslaan en verwerken nieuwe verplichtingen op. DDI beschouwt de AVG als een kans om onze toewijding aan best practices inzake privacy en gegevensbescherming zowel intern als met onze klanten te bevorderen.

Net als voor alle andere wettelijke voorschriften geldt dat voor naleving van de AVG samenwerking is vereist tussen DDI, haar subprocessors en onze klanten. DDI zal voldoen aan de AVG in het leveren van diensten aan onze klanten en wij streven er ook naar onze klanten te helpen de AVG na te leven. Wij hebben de vereisten van de AVG nauwkeurig geanalyseerd en brengen verbeteringen aan in onze producten, contracten en documentatie om ons en onze klanten te helpen te voldoen aan de AVG.

Externe providers

DDI maakt gebruik van externe providers om onze diensten zoals beschreven in onze overeenkomsten aan u te leveren. Wij hanteren een strikt sollicitatie-, toelatings- en auditproces om ervoor te zorgen dat al onze parameters en vereisten op het gebied van gegevensverwerking altijd worden gevolgd. Alle externe providers zijn verplicht om te voldoen aan de DDI-normen op het gebied van gegevensverwerking, -bescherming en -beveiliging.

Zie https://www.ddiworld.com/thirdpartyproviders voor een lijst van onze subprocessors.

Talk to an Expert: GISP
* Denotes required field
 *
 *
 *
 *
 *
 *
 *
 *
Consent to DDI Marketing *

Ik geef DDI toestemming om mijn persoonlijke gegevens te verzamelen en te verwerken bij de levering van diensten aan mij en voor marketing- en onderzoeksdoeleinden. Ik ben op de hoogte van mijn rechten en de wijze waarop mijn gegevens worden gebruikt zoals genoemd in DDI's beleid inzake gegevensbescherming.

Enter security code:
 Security code