Gegevensbeveiliging en privacy

Beveiliging

Wij passen best practices en een gelaagde aanpak toe om ons platform en uw bedrijfsinformatie te beveiligen

Cloudinfrastructuur

Onze keuze voor Google Cloud Platform (GCP) als onze cloudprovider biedt diverse beveiligingsvoordelen voor de gegevens van onze klanten:

Fysieke beveiliging: Google-datacenters implementeren toonaangevende fysieke beveiligingsmaatregelen, waaronder beperkte toegang, videobewaking en geavanceerde inbraakdetectiesystemen. Deze maatregelen worden streng gecontroleerd en voldoen aan internationaal erkende normen zoals ISO 27001 voor fysieke beveiliging.

Gegevensversleuteling: Google Cloud maakt standaard gebruik van transparante encryptie, waarbij gegevens in rust en tijdens verzending worden versleuteld met industriestandaardalgoritmen zoals AES-256. Daarnaast biedt Google Key Management Service (KMS) gecentraliseerde controle over encryptiesleutels, waarbij de best practices voor sleutelrotatie en toegangscontrole worden nageleefd.

Naleving: Google Cloud ondergaat strenge onafhankelijke audits om naleving van verschillende industrienormen en -regelgevingen te garanderen, waaronder ISO 27001, SOC 2, HIPAA en PCI DSS. Deze onafhankelijke verificatie biedt onze klanten extra zekerheid met betrekking tot de beveiligingshouding van Google's cloudinfrastructuur.

Klantidentiteits- en toegangsbeheer (IAM): Google Cloud IAM biedt gedetailleerde toegangscontroles tot resources, wat naleving van het principe van de minste privileges garandeert. Klanten kunnen rollen en machtigingen definiëren op basis van hun specifieke behoeften, in overeenstemming met het Identity and Access Management Policy van Google.

Netwerkbeveiliging: Het privénetwerk van Google biedt een veilig pad voor uw gegevens, beschermd door de fysieke en operationele beveiligingsmaatregelen van Google.

Bestanden en database-encryptie

Alle klantgegevens, zowel bestanden als databases, worden tijdens opslag en verzending versleuteld met behulp van robuuste encryptie-algoritmen.

Extern sleutelbeheer. Om maximale controle en datasoevereiniteit te garanderen, maken we gebruik van External Key Management (EKM). Dit betekent dat de encryptiesleutels die worden gebruikt om uw data te beschermen, zich in een apart, veilig systeem bevinden dat u beheert, niet binnen de infrastructuur van onze cloudprovider. Deze aanpak beschermt tegen ongeautoriseerde toegang, zelfs door wettelijke mandaten van bepaalde rechtsgebieden.

Voordelen:

  • Verbeterde gegevensbeveiliging: Met encryptie worden uw gegevens onleesbaar zonder de decryptiesleutels. Dit verbetert de bescherming tegen ongeautoriseerde toegang of inbreuken aanzienlijk.
  • Datasoevereiniteit: Omdat u de controle heeft over de encryptiesleutels, blijven uw gegevens onderworpen aan uw controle- en regelgevingsvereisten, zelfs als ze zich in geografisch gescheiden datacenters bevinden.
  • Privacybescherming: Met Extern sleutelbeheer worden uw gegevens beschermd tegen mogelijke gedwongen openbaarmaking, zodat u er zelf de controle over houdt.

Back-ups

Wij geven prioriteit aan gegevensbeveiliging en uptime door middel van een robuuste back-up- en noodherstelstrategie.

  • Cloud-bestandsopslag: We maken gebruik van geografisch verspreide, redundante cloudopslag om ervoor te zorgen dat uw gegevens automatisch worden gerepliceerd over meerdere datacenters. Dit minimaliseert het risico op gegevensverlies door hardwarestoringen of regionale storingen.
  • Continue databaseback-ups: We gebruiken een continu databaseback-upproces, waarbij we wijzigingen in realtime vastleggen. Dit zorgt voor minimaal gegevensverlies in het geval van een systeemstoring en stelt ons in staat om uw gegevens snel te herstellen naar de meest recente staat.
  • Veilige back-upopslag: Wij slaan back-ups veilig op in geografisch gescheiden datacenters, waardoor de impact van onvoorziene gebeurtenissen zoals natuurrampen of lokale verstoringen verder wordt beperkt.
  • Plan voor herstel na rampen: Wij beschikken over een uitgebreid noodherstelplan waarin de procedures voor het snel herstellen van ons platform en uw gegevens in geval van een ernstig incident zijn vastgelegd.

Software-stack

We geven prioriteit aan een veilige ontwikkelingslevenscyclus door gebruik te maken van open-source software stacks. Deze aanpak stelt ons in staat om:

  • Blijf op de hoogte van bedreigingen: Open-source software profiteert van de collectieve expertise van een grote ontwikkelaarscommunity. Constante controle door ontwikkelaars helpt kwetsbaarheden snel te identificeren en aan te pakken, waardoor ons platform beschermd blijft tegen opkomende bedreigingen.
  • Transparante beveiliging: De open aard van de code maakt onafhankelijke beveiligingsaudits en verificatie mogelijk. Deze transparantie bevordert vertrouwen en zekerheid in de beveiligingshouding van ons platform.
  • Integrate Best Practices: Open-source beveiligingsbibliotheken en -frameworks pakken veelvoorkomende beveiligingsproblemen aan, zoals Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), SQL Injection, Clickjacking, Host Header Validation en Session Security. Deze geïntegreerde oplossingen stroomlijnen de ontwikkeling en versterken tegelijkertijd een robuuste beveiligingshouding.

Beveiligingstesten

Om een hoog beveiligingsniveau aan te tonen, voeren wij minimaal één keer per jaar een externe penetratietest uit.

Deze tests worden uitgevoerd door onafhankelijke, ethische hackingexperts die echte aanvalsscenario's simuleren. Deze proactieve aanpak helpt ons kwetsbaarheden te identificeren en aan te pakken voordat ze door kwaadwillende actoren kunnen worden uitgebuit.

Privacy

Gegevensresidentie

Verbeterde gegevenscontrole en naleving van regelgeving voor Europese klanten.

  • Dataresidentie in Frankrijk: Wij geven prioriteit aan de veiligheid en soevereiniteit van uw gegevens door deze uitsluitend op te slaan in datacenters in Frankrijk. Deze geografische beperking is in lijn met de strenge Europese regelgeving voor gegevensprivacy, zoals de AVG, en zorgt ervoor dat uw gegevens onderworpen blijven aan uw controle en wettelijke vereisten.
  • Externe sleutelversleuteling: Voor een extra laag beveiliging en controle maken we gebruik van External Key Management (EKM). Dit betekent dat de encryptiesleutels die worden gebruikt om uw gegevens te beschermen, zich in een apart, beveiligd systeem bevinden dat u beheert, niet in onze datacenters. Zelfs met gegevens die in Frankrijk zijn opgeslagen, stelt EKM u in staat om volledige controle over uw gegevens te behouden.

AVG-naleving

INGREEN AI is vastbesloten om uw dataprivacy te beschermen en te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Wij begrijpen dat u controle heeft over uw persoonlijke informatie en wij stellen u in staat om uw rechten onder de AVG uit te oefenen.

Meer details vindt u op https://fingreen.ai/privacy

U kunt contact opnemen met onze Functionaris Gegevensbescherming (FG) via privacy@fingreen.ai om deze rechten uit te oefenen.

Toegangscontrole en governance

Ons platform stelt u in staat om datatoegang met uitzonderlijke granulariteit te beheren. U kunt afzonderlijke toegangsrechten definiëren voor individuele gebruikers binnen de portal, zodat alleen geautoriseerd personeel toegang heeft tot specifieke datasets. Deze granulaire controle minimaliseert het risico op ongeautoriseerde toegang en datalekken, en bevordert een veiligere omgeving voor uw waardevolle informatie.

AI & LLM's

FINGREEN AI maakt gebruik van cloud-geleverde LLM-services. Om de dataprivacy van onze klanten te waarborgen, tijdens het gebruik van LLM's van derden, volgen hier onze werkwijzen.

Model- en toegangscontroles:

  • Onze cloudproviders hanteren sterke LLM-privacypraktijken. We maken geen gebruik van providers die hun modellen trainen met behulp van door de klant verstrekte gegevens. Dit zorgt ervoor dat klantgegevens niet 'lekken' in openbare LLM-reacties.
  • We implementeren toegangscontroles om te beperken wie de outputs die door de LLM worden gegenereerd, kan bekijken. Dit zorgt ervoor dat alleen geautoriseerd personeel potentieel gevoelige informatie kan zien.

Monitoring en auditing:

  • We volgen hoe uw gegevens worden gebruikt binnen de LLM. Dit helpt mogelijke privacyrisico's of misbruik van uw gegevens te identificeren.
  • Wij voeren regelmatig audits uit van de LLM-beveiligingspraktijken van uw cloudprovider om ervoor te zorgen dat zij voldoen aan uw vereisten voor gegevensprivacy.