Vol trots melden we dat GouwIT de ISAE3402 type I (SOC1 rapport) verklaring voor ons eigen datacentrum en hosting services heeft behaald. Ons datacenter voldeed al aan de hoogste eisen en wensen door haar volledige opbouw in 2015 volgens de NPR 5313 standaard en dat is nu ook onafhankelijk vastgesteld. Vanuit het datacentrum bieden we hosting services aan voor onder andere SaaS-oplossingen van onze Belastingsoftware. Met deze ISAE3402 verklaring, specifiek bedoeld voor outsourcing, geven we onze klanten nu ook de borging dat onze hosting services aan hoge kwaliteitseisen voldoen en dat er zekerheid is over de juiste opzet en bestaan van de beheersmaatregelen.
Saas-oplossing leidt tot ontzorgen
Binnen onze branche zien we een verschuiving naar SaaS-oplossingen. Belastingsoftware on premise verhuist naar een cloudvoorziening. Het ontwikkelproces van onze Belastingsoftware is zodanig ingericht, dat een juiste verwerking van wijzigingen in de software is gewaarborgd en ons releasebeleid op een beheerste wijze plaatsvindt. Sinds 2015 tonen we dit aan door een jaarlijkse ISAE3000 audit. Ook op het gebied van informatiebeveiliging zijn we gecertificeerd met de ISO27001 standaard. Met de ISAE3402 verklaring zijn nu ook onze SaaS-oplossingen beheersbaar en transparant en ontzorgen we onze klanten. Onze klanten gebruiken deze ISAE3402 verklaring voor de controle van de accountant.
Beheersmaatregelen
In de ISAE3402 audit is onder andere aangetoond hoe we omgaan met toegangsbeveiliging, autorisaties en het monitoren en opvolgen van wijzigingen en incidenten. Ook zijn de fysieke beveiligingsmaatregelen van het datacentrum beoordeeld. Cruciale systemen zijn dubbel uitgevoerd en een volledig operationele uitwijk waar we meteen naar kunnen overschakelen is aanwezig. Periodiek laten we security scans uitvoeren door onafhankelijke experts. Kortom, bij een normale procesgang is alles prima geregeld, maar we zijn ook optimaal voorbereid op potentiele escalaties.
Op naar type II
De ISAE3402 type I is een momentopname waarin opzet en bestaan van de beheersmaatregelen wordt aangetoond. In ons streven naar continu certificering gaan we aansluitend meteen door naar de type II. Met type II wordt de werking van de beheersmaatregelen over een periode van minimaal 6 maanden aangetoond middels vele steekproeven. Ons doel is om voor het einde van dit jaar de ISAE3402 type II verklaring in ons bezit te hebben.
