Enterprise-level beveiliging voor je meest privacygevoelige overeenkomsten

In eIDAS-verordening 2014/910 zijn drie soorten elektronische handtekeningen vastgelegd die in de EU en het VK rechtsgeldig zijn: eenvoudige elektronische handtekeningen, geavanceerde elektronische handtekeningen (AES) en gekwalificeerde elektronische handtekeningen (QES). QES is het strengst beveiligd, en in PandaDoc kun je kiezen voor dit type elektronische handtekening.

De VS, EU, het VK en Zwitserland hebben gezamenlijk het Kader voor gegevensbescherming (DPF) opgezet. Daardoor kunnen organisaties in de VS persoonsgegevens binnenhalen vanuit de EU, het VK en Zwitserland, allemaal op een beveiligde manier die aan alle wet- en regelgeving voldoet. De EU heeft bevestigd dat het DPF-systeem tussen de EU en de VS voldoende bescherming biedt om een veilige uitwisseling van gegevens te kunnen garanderen. PandaDoc is gecertificeerd voor DPF tussen de VS en de EU, het VK en Zwitserland.

PandaDoc kan worden geïntegreerd met betalingsverwerkers die creditcardbetalingen verwerken, maar het is niet mogelijk om gegevens van dit type betalingen binnen PandaDoc te bewaren.

Alle servers waarop PandaDoc-software draait, zijn recente, continu gepatchte Linux-systemen. Aanvullende gehoste diensten waarvan we gebruikmaken, waaronder Amazon RDS en S3, zijn uitvoerig in de praktijk geteste AWS IaaS-platforms (Infrastructure-as-a-Service).

PandaDoc slaat documentgegevens zoals metadata, activiteit, originele bestanden en gegevens van klanten op verschillende locaties op. Daarbij worden desgevraagd ook documenten samengesteld en gegenereerd. Alle inactieve gegevens op elke locatie worden versleuteld met AES-256 en een geavanceerd beheer van encryptiesleutels.

PandaDoc maakt gebruik van programmeertechnieken die in de industrie gebruikelijk zijn, zoals het hanteren van een gedocumenteerd ontwikkelings- en kwaliteitsborgingsproces. Ook volgen we richtlijnen zoals het OWASP-rapport om ervoor te zorgen dat de toepassingen aan de veiligheidsnormen voldoen.PandaDocdocument

Wij hanteren het beginsel van de minste toegangsrechten in de manier waarop we software schrijven, evenals voor het toegangsniveau dat medewerkers moeten gebruiken bij het diagnosticeren en oplossen van problemen in onze software en bij het beantwoorden van klantverzoeken om ondersteuning.

De productienetwerksegmenten zijn logisch geïsoleerd van andere Corporate, QA, en Development-segmenten.

PandaDoc gebruikt externe beveiligde betalingsverwerking en verwerkt of verzendt geen betaalkaartgegevens en slaat die ook niet op.

Bij PandaDoc worden de productietoepassing en de onderliggende infrastructuurcomponenten 24/7/365 dagen per jaar gemonitord, door speciale monitoringsystemen. Kritische waarschuwingen die door deze systemen worden gegenereerd, worden naar 24/7/365 oproepbare DevOps-teamleden gestuurd en op de juiste manier geëscaleerd naar het operationeel beheer.

De infrastructuur van PandaDoc maakt gebruik van vele gelaagde technieken voor een steeds betrouwbaardere uptime, waaronder door auto-scaling, load balancing, task queues en incrementele implementatie. Wij maken dagelijks volledig geautomatiseerde back-ups van onze databases. Alle back-ups zijn gecodeerd.

De beveiliging van webapplicaties wordt beoordeeld door het ontwikkelteam in lijn met de releasecyclus van de applicatie. De tests op kwetsbaarheden omvatten het gebruik van algemeen bekende toolkits en scanners voor de beveiliging van webapplicaties om kwetsbaarheden in applicaties aan het licht te brengen voordat ze in productie worden genomen.

De PandaDoc-webapplicatie heeft meerdere niveaus in logische segmenten (front-end, mid-tier en database), die elk van elkaar gescheiden zijn in een DMZ-configuratie. Dit garandeert maximale bescherming en onafhankelijkheid tussen de niveaus.

In PandaDoc kun je je documenten extra goed beveiligen met een identiteitscontrole. Daarvoor kun je kiezen uit vier opties: verificatie met een toegangscode, verificatie per sms, op kennis gebaseerde identiteitscontrole (KBA) en controle van een legitimatiebewijs. Als je zo’n extra controle instelt, weet je zeker dat gevoelige informatie in een document alleen toegankelijk is voor een geverifieerde ontvanger. Dat is niet alleen veiliger, maar maakt het ook mogelijk om te voldoen aan eventuele wet- en regelgeving die voor jou geldt. Klik hier voor meer informatie over de opties in PandaDoc om de identiteit van de ontvangende partij te controleren.