Beveiliging - Veelgestelde vragen

Hoe verwerkt de software gebruikersauthenticatie?

We volgen de OpenID Connect-standaard, die veel gebruikt wordt in de industrie.

Welke soorten gebruikersrollen en -machtigingen worden ondersteund?

TeamOne definieert gebruikersrollen en -machtigingen op team-, bord- en projectniveau, zoals beschreven in dit artikel.

Is multifactor-authenticatie beschikbaar?

Ja, multifactor-authenticatie (MFA) is beschikbaar door 2FA in te schakelen. Google Authenticator kan worden gebruikt als het beveiligde authenticatiemechanisme. Bekijk hoe je 2FA inschakelt vanuit je myViewBoard-account. 

Hoe wordt gevoelige data versleuteld tijdens transmissie en opslag?

Alle data wordt versleuteld tijdens transmissie via HTTPS, en gevoelige data wordt versleuteld in opslag met AWS RDS-encryptie.

Welke encryptie-algoritmen en -protocollen worden gebruikt?

We gebruiken HTTPS met TLS 1.3 voor versleuteling van data tijdens transmissie, en RDS AES256-encryptie voor data-opslag.

Zijn er praktijken voor encryptiesleutelbeheer geïmplementeerd?

Ja, encryptiesleutelbeheer wordt uitgevoerd via de AWS Key Management Service (KMS).

Hoe verwerkt de software beveiligingspatches en updates?

TeamOne maakt gebruik van DevSecOps voor beveiligingsupdates, waarbij DAST (Dynamic Application Security Test), geautomatiseerde testen en continue implementatie worden geïntegreerd om robuuste en up-to-date beveiligingsmaatregelen te garanderen.

Is er een proces voor het aanpakken van kwetsbaarheden die tijdens de bètaperiode worden ontdekt?

Door DevSecOps-integratie worden kwetsbaarheden die in de bètafase worden gedetecteerd aangepakt met SAST (Static Application Security Testing) en peer review tijdens de ontwikkelfase en met DAST en red team-testen tijdens de implementatiefase. Dit benadrukt proactieve beveiliging in alle fasen voor effectieve risicobeheersing.

Hoe vaak worden beveiligingsscans en -evaluaties uitgevoerd?

Beveiligingsscans worden uitgevoerd bij elke build, terwijl uitgebreide beveiligingsscans en evaluaties halfjaarlijks worden uitgevoerd.

Welke mechanismen zijn geïmplementeerd om toegang tot gevoelige functies of data te beheren?

TeamOne legt de nadruk op strikt toegangsbeheer door gebruik te maken van Role-Based Access Control (RBAC) om rechten nauwkeurig te beheren, gecombineerd met een Web Application Firewall (WAF) om bescherming tegen ongeautoriseerde toegang te versterken en robuuste beveiliging voor gevoelige informatie te waarborgen.

Is er ondersteuning voor Role-Based Access Control (RBAC)?

TeamOne integreert Role-Based Access Control op team-, bord- en projectniveau, zoals beschreven in dit artikel.

Kan toegang worden beperkt op basis van IP-adres of geografische locatie?

Hoewel toegang kan worden beperkt op basis van IP-adres of geografische locatie, is deze functie momenteel niet geïmplementeerd. Technisch gezien is dit mogelijk afhankelijk van de vereisten. Bijvoorbeeld, in een teamprofiel kan een beheerder specifieke IP-adressen of regio's invoeren om toegang te beperken. Een risico hierbij is echter dat een beheerder per ongeluk een onjuist IP-adres invoert, wat problemen kan veroorzaken als dit niet kan worden gecorrigeerd.

Wat gebeurt er met teamgenoten die de organisatie hebben verlaten (inactieve accounts), en wat gebeurt er met hun borden?

De teambeheerder heeft de bevoegdheid om een andere beheerder aan te wijzen om het team te beheren. Andere gebruikers binnen hetzelfde team kunnen nog steeds toegang hebben tot de borden, waardoor de toegang voor teamleden blijft behouden.

Biedt de software uitgebreide audit logs?

Uitgebreide audit logs voor klantgerichte doeleinden zijn momenteel niet ontworpen. Alle transactielogs kunnen echter binnen een periode van 7 dagen worden gevolgd.

Welke acties worden gelogd, en kunnen de logs veilig worden opgeslagen en geanalyseerd?

Alle acties worden gelogd, en de logs worden versleuteld met AES256, gebruikmakend van een veilige encryptiesleutel.

Hoe worden communicatie tussen clients en servers beveiligd?

TeamOne beveiligt client-server communicatie via HTTPS voor encryptie, Web Application Firewalls (WAF) voor dreigingsbescherming, strikte toegangscontrole en data-encryptie tijdens zowel overdracht als opslag, waardoor robuuste bescherming van informatie wordt gegarandeerd.

Wordt Transport Layer Security (TLS) gebruikt voor encryptie?

Ja, TeamOne gebruikt TLS 1.3 voor Transport Layer Security (TLS)-encryptie.

Zijn er protocollen geïmplementeerd om man-in-the-middle-aanvallen te voorkomen?

Om man-in-the-middle-aanvallen te voorkomen, maakt TeamOne gebruik van het HTTPS-protocol, dat zorgt voor veilige en versleutelde communicatie. Dit wordt aangevuld met Web Application Firewalls (WAF) voor dreigingsbescherming en strikte toegangscontrole om data tijdens overdracht en opslag te beschermen.

Voldoet de software aan relevante regelgeving voor gegevensprivacy (bijv. GDPR, HIPAA)?

TeamOne voldoet aan GDPR-regelgeving, zoals beschreven in ons privacybeleid dat beschikbaar is op https://TeamOne.viewsonic.com/legal/privacy-policy.

Hoe wordt persoonlijke data verwerkt en beschermd?

TeamOne verzamelt geen persoonlijke gegevens rechtstreeks. In plaats daarvan maakt het gebruik van het ViewSonic Account als identiteitsprovider om verbeterde beveiliging van persoonlijke informatie te garanderen. Als applicatie slaat TeamOne geen persoonlijke gegevens op en heeft het er geen directe toegang toe. Alle persoonlijke informatie blijft binnen het ViewSonic Account-systeem, en TeamOne heeft alleen toegang via een tijdgebonden token om toegangscontrole te beheren.

Zijn er mechanismen waarmee gebruikers hun privacy-instellingen kunnen beheren?

TeamOne zal instellingenmenu's bieden waar gebruikers hun privacy-instellingen kunnen aanpassen, inclusief het bekijken van hun gegevens en het wijzigen van privacy-instellingen. Deze instellingen zullen toegankelijk zijn via de accountinstellingen of een privacydashboard.

Wat gebeurt er als bètagebruikers zich niet abonneren en waar/hoe slaat ViewSonic hun gegevens op?

Die bètagebruikers worden teruggezet naar het individuele gratis plan, en hun borden blijven toegankelijk. TeamOne maakt gebruik van AWS als ondersteunende leverancier, die industriestandaarden biedt voor transacties en data. De bordgegevens van gebruikers blijven in dezelfde regio als gekozen in het ViewSonic Account.

Heeft TeamOne beveiligingscertificaten?

Hoewel TeamOne momenteel geen beveiligingscertificaten heeft, onderhoudt ViewSonic een ISO 27001-certificering. Bovendien voldoet onze hostingleverancier AWS aan de meeste industriële beveiligingsstandaarden.

Kan ik verzoeken mijn account en gegevens in TeamOne te verwijderen?

Als je je gegevens volledig wilt verwijderen, kun je het volgende doen:

• Voor entiteitsgebruikers: 
  Neem contact op met je systeembeheerder en vraag hen je account te verwijderen.
• Voor individuele gebruikers: 
  Ga naar de Accountinstellingen-pagina hier om je account te verwijderen:
  • https://myviewboard.com/preview/settings/account 

Als je problemen hebt met het verwijderen van je gegevens, dien dan hier een supportticket in en onze specialist zal je helpen:

• https://myviewboard.com/support/

Wie heeft toegang tot mijn gegevens in TeamOne?

Door de implementatie van DevSecOps-praktijken voorkomt TeamOne dat een ontwikkelaar operationeel toegang heeft tot de productie-database. Bovendien mag, volgens vooraf gedefinieerde rollen, niemand rechtstreeks toegang hebben tot productiedata in ViewSonic.

Wat is het proces voor het reageren op beveiligingsincidenten of -inbreuken?

Incidentbeheer voor TeamOne volgt de richtlijnen zoals beschreven in de myViewBoard Security Whitepaper.

Is er een aangewezen beveiligingsteam verantwoordelijk voor incidentrespons?

Het TeamOne Security Team documenteert alle herstelstappen die tijdens incidenten worden genomen en presenteert deze als casestudy's voor begeleiding en preventie. Gedetailleerde taken en logs verzameld tijdens het incidentbeheerproces worden vermeld in de interne TeamOne-directory, exclusief gedeeld met het interne softwareontwikkelingsteam. Alle gemelde problemen worden ook vermeld in onze interne directory en gedeeld met het team zonder klantidentificeerbare informatie.

Worden klanten tijdig op de hoogte gebracht in geval van een beveiligingsincident?

Klanten worden tijdig op de hoogte gebracht, afhankelijk van de ernst, het type en de impact van het beveiligingsincident. Indien nodig worden meldingen via e-mail verzonden om snelle communicatie te garanderen.

Worden er derde-partij bibliotheken of componenten gebruikt in de software?

Ja, TeamOne maakt gebruik van derde-partij bibliotheken, die grondig worden geanalyseerd door onze SAST-tool met intelligente Software Composition Analysis (SCA) om hun beveiliging te waarborgen voordat ze worden geïntegreerd.

Hoe worden afhankelijkheden beheerd, en worden ze regelmatig bijgewerkt voor beveiligingspatches?

TeamOne maakt gebruik van DevSecOps om afhankelijkheden te beheren en werkt ze regelmatig bij voor beveiliging. We voeren Dynamic Application Security Testing (DAST) en red team-testen uit tijdens de implementatiefase voor grondige beveiligingsverificatie, waarmee continue bescherming wordt gegarandeerd.

Heeft de software een beveiligingswaarschuwingssysteem? Dit systeem moet je onmiddellijk waarschuwen voor abnormale activiteiten die op je computersystemen worden gedetecteerd (zoals ongeautoriseerde wijzigingen of onbekende aanmeldingen).

TeamOne maakt gebruik van een Web Application Firewall (WAF) naast Role-Based Access Control om snel abnormale activiteiten zoals ongeautoriseerde wijzigingen of onbekende aanmeldingen te detecteren en erop te reageren, waardoor de beveiliging van onze systemen wordt gewaarborgd.