Naar onze overtuiging is de beste manier om dat aan te tonen onafhankelijke certificering. Daarom hebben we besloten onze service organisatie en processen te laten auditen conform een aantal internationaal geaccepteerde normen voor informatiebeveiliging.
ISO27001:2013
Na een gedegen risico-analyse en het documenteren van Policies, Procedures, Operationele Werkinstructies en een Information Security Manual volgens de eisen van de ISO27001-norm, werd eind 2010 Det Norske Veritas gecontracteerd om de audit van Comsenso’s ISMS (Information Security Management System) en haar service-organisatie uit te voeren.
Dit resulteerde op 18 maart 2011 in de uitgifte van het ISO27001:2005-certificaat.
In 2013 is de ISO27001-norm geheel herzien en hebben we Comsenso’s ISMS aangepast om te voldoen aan de 2013-versie van de norm. Ook hiervoor werd het certificaat verkregen, dat, zoals wordt geëist, jaarlijks wordt vernieuwd na een periodieke her-audit.
Comsenso’s ISO27001-registratiedetails zijn te raadplegen in het DNV register van ISO27001-certificaten.
Ons ISO27001-certificaat kunt u hier downloaden:
Download ISO NL Download ISO ENG
Mocht u vragen hebben over bijvoorbeeld onze “statement of applicability” (verklaring van toepasselijkheid) of andere onderdelen van het ISMS, wendt u zich dan tot onze Security Officer.
ISAE3402 type II
Omdat ISO27001 door sommigen vooral gezien wordt als een papieren tijger, wordt er aan serviceorganisaties waaraan bedrijfskritische processen worden uitbesteed tegenwoordig vaak om aanvullende bewijzen gevraagd die de goede werking van het Information Security Management System (ISMS) aantonen. Dat kan middels de ISAE3402/SOC2 type II verklaring.
Dat is niet zonder reden: ISAE3402 type II (Europees) en SOC2 type II (Amerikaans) zijn twee van de weinige outsourcing-standaards waarbij maatregelen van kwaliteit ook daadwerkelijk gedurende minimaal 6 maanden op hun goede werking worden getoetst. Het management van de service provider moet daarbij schriftelijk verklaren dat het stelsel functioneert. Het zijn internationaal erkende verklaringen, bruikbaar over de hele wereld. Deze verklaringen worden altijd afgegeven over de voorafgaande 6 maanden en hebben dus een beperkte geldigheid. Ze zeggen dus formeel niets over de situatie op dit moment of de toekomst.
Na een grondige audit door Control Solutions (recentelijk omgedoopt in Auvaro), verkreeg Comsenso voor een specifieke (Amerikaanse/Nederlandse) klant eind 2018 ook deze beide verklaringen. Dit toont aan dat Comsenso de processen rond informatiebeveiliging prima op orde heeft, al zijn de verklaringen formeel momenteel niet langer geldig. Vanwege de hoge kosten en inspanningen die aan de audits verbonden zijn vernieuwen we de verklaringen niet automatisch elke 6 maanden maar alleen op specifiek verzoek. De verklaringen uit 2018 kunnen nog wel worden ingezien, maar vanwege het vertrouwelijke karakter alleen ten kantore van Comsenso.
Heeft u hier vragen over, of wenst u de verklaring in te zien, wendt u zich dan tot onze Security Officer.
FSQS-NL
Risicobeheer en naleving door derden voor de financiële dienstverlening.
FSQS-NL (Financial Services Qualification System-Netherlands) is een gemeenschap van financiële instellingen, waaronder banken en verzekeringsmaatschappijen, die samenwerken om een enkele standaard overeen te komen voor het beheer van de toenemende complexiteit van informatie van derden en vierde partijen die nodig is om naleving aan te tonen aan regelgevers, beleids- en bestuurscontroles.
Comsenso heeft in oktober 2020 de eerste certificerings-audit hiervoor door Hellios met goed gevolg doorstaan en het certificaat is in september 2021 en september 2022 vernieuwd.
Ons FSQS-certificaat kunt u hier downloaden:
Download-FSQS