Veelgestelde vragen

Phished heeft een van de meest erkende Information Security Management Systems ter wereld geïmplementeerd en onderhouden: ISO/IEC 27001. We zijn volledig gecertificeerd conform deze norm. Ons certificaatnummer is 30050399, geldig van 27/09/2024 tot 26/09/2027, met een Statement of Applicability van 13/08/2024 (versie 2.0). Naast ISO 27001 beschikt Phished ook over een ISAE 3000 (SOC 2 Type II)-rapport, een Cyber Essentials-certificaat, naleving van de vereisten van ISO/IEC 27701, NIS2 en DORA.

Phished is bovendien volledig GDPR-compliant en zorgt ervoor dat alle gegevensverwerkingen voldoen aan de strikte vereisten van de Algemene Verordening Gegevensbescherming. Daarnaast passen we industriestandaarden toe op het vlak van gegevensversleuteling, toegangsbeheer en secure development om klantgegevens te allen tijde optimaal te beschermen.

Lees meer op onze compliance-pagina.

Phished hecht veel belang aan de privacy en gegevensbescherming van gebruikers. Het platform is volledig GDPR-conform en volgt strikt de kernprincipes zoals dataminimalisatie en doelbeperking. Dit betekent dat Phished uitsluitend persoonsgegevens verzamelt die strikt noodzakelijk zijn voor het leveren van haar diensten—zoals phishingsimulaties, trainingsmodules en rapporteringsinzichten—en deze gegevens enkel voor dat doel gebruikt.

Phished gebruikt bepaalde gebruikerskenmerken (zoals taal, regio of functie) om simulaties en trainingsinhoud te personaliseren. Dit gebeurt echter via geautomatiseerde processen die geen beslissingen nemen met juridische of vergelijkbare significante gevolgen voor de gebruiker. Het doel is om relevante en realistische content aan te bieden, met volledige eerbiediging van de privacy en zonder intrusieve profiling.

Voor meer details kan je onze privacy policychecken.

Phished gebruikt meerdere beveiligingslagen om de toegang tot het platform en de gebruikersauthenticatie te beschermen. Alle sessies worden versleuteld met TLS/SSL, zodat gegevens veilig worden uitgewisseld tussen gebruikers en het platform.

Voor accounts van admins is Multi-Factor Authenticatie (MFA) verplicht. Het platform ondersteunt ook Single Sign-On (SSO) via SAML 2.0, waardoor organisaties Phished eenvoudig kunnen koppelen aan hun bestaande identity provider voor veilige en gebruiksvriendelijke authenticatie.

Dankzij role-based access control (RBAC) hebben gebruikers alleen toegang tot de functies en gegevens die relevant zijn voor hun rol. Phished maakt daarnaast gebruik van sessiebeheer, loginmonitoring en activiteitslogging om verdacht gedrag op te sporen. Regelmatige beveiligingsscans en penetratietests helpen om mogelijke kwetsbaarheden tijdig te ontdekken en aan te pakken.

Onze allesomvattende benadering van cybersecurity steunt op een nauwkeurige en proactieve strategie. Door het patchproces zorgvuldig af te stemmen op de ernst en potentiële impact van kwetsbaarheden, zorgen we voor een systematische en efficiënte aanpak.

Onze aanpak gaat echter verder dan alleen patching. Door middel van continue monitoring en evaluatie blijven we anticiperen op nieuwe risico’s. We geloven in een holistisch cybersecurity-framework dat niet alleen directe dreigingen aanpakt, maar ook een stevige basis legt voor duurzame digitale weerbaarheid.

Phished maakt gebruik van een gelaagde aanpak voor kwetsbaarheidsscans:

- Automatische kwetsbaarheidsscans
 We maken dagelijks gebruik van een online scanner die onze digitale infrastructuur controleert op potentiële beveiligingszwaktes, op basis van actuele dreigingen. Dankzij directe waarschuwingen kunnen we snel reageren, waardoor het risico beperkt blijft en de algehele weerbaarheid versterkt wordt.

- Ethical hackers
 Phished maakt gebruik van een professioneel programma waarbij ethische hackers continu helpen om kwetsbaarheden in onze systemen op te sporen. We nodigen beveiligingsonderzoekers wereldwijd uit om actief bij te dragen aan het detecteren en melden van kwetsbaarheden. Deze proactieve en transparante aanpak stimuleert continue verbetering en verhoogt onze bescherming tegen nieuwe dreigingen.

- Responsible Disclosure Policy
 Wij hechten veel waarde aan samenwerking met de securitygemeenschap. We moedigen het verantwoord melden van beveiligingsproblemen aan en waarderen de inzet van onderzoekers om onze omgeving veilig te houden. Onze Responsible Disclosure Policy beschrijft de richtlijnen voor het melden van kwetsbaarheden, aangevuld met onze security.txt.

- Fysieke penetratietests
 Naast digitale beveiliging voert Phished regelmatig fysieke penetratietests uit om de weerbaarheid van onze fysieke infrastructuur en operationele procedures te toetsen. Deze tests simuleren realistische indringingspogingen om toegangscontroles, medewerkerbewustzijn en beveiligingsprotocollen op locatie te evalueren.

Bij Phished worden alle gebruikersgegevens opgeslagen in streng beveiligde datacenters in Europa. Deze opzet garandeert naleving van de hoogste internationale normen op het gebied van privacy, beveiliging en juridische bescherming—waaronder de GDPR en andere toepasselijke regelgeving. Onze applicaties draaien als gedistribueerde containergebaseerde toepassingen op het Google Cloud Platform (GCP) in België. Ook onze backend-productiedatabases zijn in dezelfde regio gehost. Voor maximale beschikbaarheid worden failoverdatabases gehost in een andere zone binnen dezelfde regio.

Een gedetailleerde lijst van subprocessors is beschikbaar in onze Data Processing Agreement. Met al onze subprocessors zijn verwerkersovereenkomsten afgesloten conform Artikel 28 van de GDPR. Waar van toepassing bevatten deze overeenkomsten ook Standard Contractual Clauses (SCC’s) voor internationale gegevensoverdrachten buiten de Europese Economische Ruimte (EER).

De primaire datacenters van onze subprocessors bevinden zich in de EER. In sommige gevallen kan data echter worden overgedragen naar landen buiten de EER, bijvoorbeeld wanneer het hoofdkantoor van een subprocessor zich buiten Europa bevindt, zoals in de Verenigde Staten. In alle gevallen worden persoonsgegevens sterk versleuteld, zowel tijdens opslag als tijdens overdracht, om een maximaal beveiligingsniveau te garanderen.

Voor elke subprocessor heeft Phished een Data Protection Impact Assessment (DPIA) en een Data Transfer Impact Assessment (DTIA) uitgevoerd. Bovendien zijn al onze subprocessors ISO/IEC 27001- en SOC 2-compliant, wat betekent dat zij voldoen aan internationaal erkende normen voor informatiebeveiliging.