Phished houdt uw gegevens veilig: lees hoe we dat doen
Onze kernwaarden
Phished is een cybersecuritybedrijf en daarom is de vertrouwelijkheid, integriteit en beschikbaarheid van klantgegevens van het grootste belang en de primaire focus van onze organisatie. Phished werkt samen met enkele van de beste cloudproviders ter wereld om de beste niveaus van vertrouwelijkheid, integriteit en beschikbaarheid te garanderen voor onze applicaties en klantgegevens.
Informatiebeveiliging die met je meeschaalt
Preventie
- Cybersecurity-opleiding en bewustmaking voor interne personeelsleden
- Geautomatiseerd scannen op kwetsbaarheden en een gespecialiseerd bug bounty-programma
Compliance
- Phished is ISO27001-gecertificeerd
- Applicatie wordt gehost op SOC2-gecertificeerde infrastructuur
Cloud Infrastructure Security
- Netwerk-, perimeter- en DNS-beveiliging door Cloudflare
- Applicatie wordt gehost door toonaangevende cloudproviders in de EU (Google & Microsoft)
Customer Data Protection
- Encryptie in transit (TLS 1.2, TLS 1.3) en at-rest (AES-256)
- Logical tenant separation
Disaster Recovery & Data Backup
- Rampherstelscenario's worden jaarlijks getest
- Productiedatabases zijn uiterst beschikbaar met read-only replica's en "Point In Time"-restore ingeschakeld
Identity & access control
- Rolgebaseerde toegangscontrole (RBAC) voor toegang tot onze toepassingen en infrastructuur
- Multifactorauthenticatie is optioneel voor onze toepassing en wordt afgedwongen voor toegang tot de infrastructuur
Wat je leuk zal vinden
Extra informatie
Download ons securitystatement
Lees onze privacy policy
Lees onze cookie policy
Download ons ISO27001-certificaat
General Data Protection Regulation (GDPR)
Hier volgt wat belangrijke informatie over hoe wij jouw gegevens veilig opslaan.
1. Wat we opslaan
We slaan alleen noodzakelijke informatie op, zoals deze door jou werden verzameld.
2. Hoe we het opslaan
Wij versleutelen jouw gegevens zowel ongebruikt als overgedragen, en onze site en opslagprocessen zijn ontworpen met het oog op veiligheid.
3. Wie heeft toegang
We hebben uitgebreide interne toegangscontroles en regels voor het useCure-team, dat alleen onder beperkte voorwaarden toegang heeft tot de gegevens. Je bent in staat om admintoegang tot gevoelige materialen te beperken.
4. Onze kernnormen
Onze kernnaleving van de wet houdt in dat:
We ons volledig bewust zijn van waar jouw gegevens worden bewaard & wanneer dit gebeurt buiten de EU, zorgen we ervoor dat de juiste naleving van kracht is.
Wij zorgen ervoor dat alleen diegenen toegang hebben tot jouw gegevens die dat nodig hebben en wij hebben de hoogste mate van bescherming tegen ongeoorloofde toegang.
Wij zorgen ervoor dat je het recht hebt om alle informatie die wij namens jou bewaren, te bekijken, te wijzigen, te exporteren of te verwijderen, met inbegrip van informatie die in handen is van derden.
Wij zorgen ervoor dat toestemming wordt gegeven tijdens het aanmeldingsproces voor iedereen die gebruik maakt van de beveiliging en dat je deze toestemming op elk moment kunt intrekken.
Veelgestelde vragen
Als je andere vragen hebt, helpen wij je graag verder via ons contactformulier.
Welke compliance-certificeringen heeft Phished?
Phished heeft een van de meest erkende Information Security Management Systems ter wereld geïmplementeerd en onderhouden: ISO/IEC 27001. We zijn volledig gecertificeerd conform deze norm. Ons certificaatnummer is 30050399, geldig van 27/09/2024 tot 26/09/2027, met een Statement of Applicability van 13/08/2024 (versie 2.0). Naast ISO 27001 beschikt Phished ook over een ISAE 3000 (SOC 2 Type II)-rapport, een Cyber Essentials-certificaat, naleving van de vereisten van ISO/IEC 27701, NIS2 en DORA.
Phished is bovendien volledig GDPR-compliant en zorgt ervoor dat alle gegevensverwerkingen voldoen aan de strikte vereisten van de Algemene Verordening Gegevensbescherming. Daarnaast passen we industriestandaarden toe op het vlak van gegevensversleuteling, toegangsbeheer en secure development om klantgegevens te allen tijde optimaal te beschermen.
Lees meer op onze compliance-pagina.
Hoe garandeert Phished de privacy van gebruikers?
Phished hecht veel belang aan de privacy en gegevensbescherming van gebruikers. Het platform is volledig GDPR-conform en volgt strikt de kernprincipes zoals dataminimalisatie en doelbeperking. Dit betekent dat Phished uitsluitend persoonsgegevens verzamelt die strikt noodzakelijk zijn voor het leveren van haar diensten—zoals phishingsimulaties, trainingsmodules en rapporteringsinzichten—en deze gegevens enkel voor dat doel gebruikt.
Phished gebruikt bepaalde gebruikerskenmerken (zoals taal, regio of functie) om simulaties en trainingsinhoud te personaliseren. Dit gebeurt echter via geautomatiseerde processen die geen beslissingen nemen met juridische of vergelijkbare significante gevolgen voor de gebruiker. Het doel is om relevante en realistische content aan te bieden, met volledige eerbiediging van de privacy en zonder intrusieve profiling.
Voor meer details kan je onze privacy policychecken.
Hoe is de toegang tot het Phished-platform beveiligd?
Phished gebruikt meerdere beveiligingslagen om de toegang tot het platform en de gebruikersauthenticatie te beschermen. Alle sessies worden versleuteld met TLS/SSL, zodat gegevens veilig worden uitgewisseld tussen gebruikers en het platform.
Voor accounts van admins is Multi-Factor Authenticatie (MFA) verplicht. Het platform ondersteunt ook Single Sign-On (SSO) via SAML 2.0, waardoor organisaties Phished eenvoudig kunnen koppelen aan hun bestaande identity provider voor veilige en gebruiksvriendelijke authenticatie.
Dankzij role-based access control (RBAC) hebben gebruikers alleen toegang tot de functies en gegevens die relevant zijn voor hun rol. Phished maakt daarnaast gebruik van sessiebeheer, loginmonitoring en activiteitslogging om verdacht gedrag op te sporen. Regelmatige beveiligingsscans en penetratietests helpen om mogelijke kwetsbaarheden tijdig te ontdekken en aan te pakken.
Voert Phished audits of externe beveiligingsbeoordelingen uit?
Onze allesomvattende benadering van cybersecurity steunt op een nauwkeurige en proactieve strategie. Door het patchproces zorgvuldig af te stemmen op de ernst en potentiële impact van kwetsbaarheden, zorgen we voor een systematische en efficiënte aanpak.
Onze aanpak gaat echter verder dan alleen patching. Door middel van continue monitoring en evaluatie blijven we anticiperen op nieuwe risico’s. We geloven in een holistisch cybersecurity-framework dat niet alleen directe dreigingen aanpakt, maar ook een stevige basis legt voor duurzame digitale weerbaarheid.
Phished maakt gebruik van een gelaagde aanpak voor kwetsbaarheidsscans:
- Automatische kwetsbaarheidsscans
We maken dagelijks gebruik van een online scanner die onze digitale infrastructuur controleert op potentiële beveiligingszwaktes, op basis van actuele dreigingen. Dankzij directe waarschuwingen kunnen we snel reageren, waardoor het risico beperkt blijft en de algehele weerbaarheid versterkt wordt.
- Ethical hackers
Phished maakt gebruik van een professioneel programma waarbij ethische hackers continu helpen om kwetsbaarheden in onze systemen op te sporen. We nodigen beveiligingsonderzoekers wereldwijd uit om actief bij te dragen aan het detecteren en melden van kwetsbaarheden. Deze proactieve en transparante aanpak stimuleert continue verbetering en verhoogt onze bescherming tegen nieuwe dreigingen.
- Responsible Disclosure Policy
Wij hechten veel waarde aan samenwerking met de securitygemeenschap. We moedigen het verantwoord melden van beveiligingsproblemen aan en waarderen de inzet van onderzoekers om onze omgeving veilig te houden. Onze Responsible Disclosure Policy beschrijft de richtlijnen voor het melden van kwetsbaarheden, aangevuld met onze security.txt.
- Fysieke penetratietests
Naast digitale beveiliging voert Phished regelmatig fysieke penetratietests uit om de weerbaarheid van onze fysieke infrastructuur en operationele procedures te toetsen. Deze tests simuleren realistische indringingspogingen om toegangscontroles, medewerkerbewustzijn en beveiligingsprotocollen op locatie te evalueren.
Waar worden de gegevens van gebruikers bewaard?
Bij Phished worden alle gebruikersgegevens opgeslagen in streng beveiligde datacenters in Europa. Deze opzet garandeert naleving van de hoogste internationale normen op het gebied van privacy, beveiliging en juridische bescherming—waaronder de GDPR en andere toepasselijke regelgeving. Onze applicaties draaien als gedistribueerde containergebaseerde toepassingen op het Google Cloud Platform (GCP) in België. Ook onze backend-productiedatabases zijn in dezelfde regio gehost. Voor maximale beschikbaarheid worden failoverdatabases gehost in een andere zone binnen dezelfde regio.
Hoe wordt er met gebruikersdata omgesprongen?
Een gedetailleerde lijst van subprocessors is beschikbaar in onze Data Processing Agreement. Met al onze subprocessors zijn verwerkersovereenkomsten afgesloten conform Artikel 28 van de GDPR. Waar van toepassing bevatten deze overeenkomsten ook Standard Contractual Clauses (SCC’s) voor internationale gegevensoverdrachten buiten de Europese Economische Ruimte (EER).
De primaire datacenters van onze subprocessors bevinden zich in de EER. In sommige gevallen kan data echter worden overgedragen naar landen buiten de EER, bijvoorbeeld wanneer het hoofdkantoor van een subprocessor zich buiten Europa bevindt, zoals in de Verenigde Staten. In alle gevallen worden persoonsgegevens sterk versleuteld, zowel tijdens opslag als tijdens overdracht, om een maximaal beveiligingsniveau te garanderen.
Voor elke subprocessor heeft Phished een Data Protection Impact Assessment (DPIA) en een Data Transfer Impact Assessment (DTIA) uitgevoerd. Bovendien zijn al onze subprocessors ISO/IEC 27001- en SOC 2-compliant, wat betekent dat zij voldoen aan internationaal erkende normen voor informatiebeveiliging.