Organisatorische beveiliging

• ISO 27001:2022-certificering: Monta is gecertificeerd sinds 2023. Het certificaat is beschikbaar onderaan deze pagina.
• SOC 2 Type II-attestatie: We hebben een SOC 2 Type II-attestatie verkregen die bevestigt dat onze beveiligingsmaatregelen goed zijn ontworpen en in de loop van de tijd effectief functioneren. De attestatie is beschikbaar onderaan deze pagina.
• Information Security Board: De organisatorische beveiliging wordt beheerd door een toegewijd bestuur dat de gehele organisatie vertegenwoordigt.
• Risicobewustzijn en training: We voeren interne onboarding-, trainings- en bewustwordingscampagnes uit om menselijke beveiligingsrisico's te verminderen.
• Intern beleid en richtlijnen: Ons IT-beleid omvat vertrouwelijkheidsverplichtingen, aanvaardbaar gebruik, clean desk- en vergrendeld schermbeleid, interne incidentrapportage en naleving van cyberbeveiligingsbeleid.
• Proactief risicobeheer: Onze Raad van Bestuur heeft een Risicocomité opgericht dat toezicht houdt op een proactief risicobeheerkader.
• Governance-cadans: De Information Security Board voert maandelijkse ISMS-beoordelingen, kwartaalaudits en een jaarlijkse managementbeoordeling uit. Jaarlijkse ISO-audits worden uitgevoerd door DNV.
• Continue compliance met Drata: We gebruiken Drata voor continuous controle monitoring, geautomatiseerde bewijsverzameling en gecentraliseerde beleidsattestaties binnen ons ISO 27001-toepassingsgebied.

Toegangsbeheer

• Principe van minimale rechten: Toegang wordt verleend op basis van functie en het need-to-know-principe.
• Veilige inlogmethoden: Inloggen gebeurt via SSO via JumpCloud of autorisatie via Google of GitHub.
• Geïsoleerde cloudnetwerken: Alle cloudnetwerken zijn volledig geïsoleerd binnen privénetwerken op AWS zonder externe toegang. Geautoriseerde toegang maakt gebruik van proxyverbindingen met strikte beleidsregels.
• Doorlopende monitoring en rolgebaseerde toegang: Gevoelige gegevens worden beschermd in cloudomgevingen die alle toegang automatisch registreren. Logboeken worden geïsoleerd bewaard om manipulatie te voorkomen. Toegangsrechten worden geëvalueerd en handmatig getest om te controleren of ze overeenkomen met de functies.
• Toegangsbeoordelingen: Regelmatig uitgevoerd door de Information Security Board om doorlopende toegang met minimale rechten te waarborgen.

Infrastructuur en hosting

• Cloud-gebaseerde AWS-hosting: Alle hosting is cloudgebaseerd op AWS. Het werk van medewerkers wordt opgeslagen in de cloud in plaats van op lokale apparaten of externe hardware.
• Versleuteling en sleutelbeheer: Versleuteling in rust wordt toegepast op alle opslag, waarbij sleutels worden beheerd via AWS KMS (Key Management Service) en AWS Managed Keys.
• Softwarematige gebruikersscheiding: Onze architectuur maakt gebruik van robuuste softwarematige scheiding tussen gebruikers, waardoor we één veilig multi-tenant platform kunnen versterken.
• Kubernetes-orkestratie: We gebruiken Kubernetes om onze services uit te voeren en te schalen.
• Systeemverharding: We minimaliseren kwetsbaarheden door onnodige services en applicaties te verwijderen en beveiligingsbest practices toe te passen. We gebruiken GitOps om updates uit te rollen en vervangen servers regelmatig door nieuwere basisimages.

Netwerk- en communicatiebeveiliging

• Privénetwerken en segmentatie: Applicatie- en gegevensdiensten draaien op interne netwerken zonder directe blootstelling aan het internet. Alleen strikt afgebakende HTTPS-eindpunten zijn openbaar. Pre-productie- en productieomgevingen zijn van elkaar geïsoleerd.
• Kantoornetwerken: Kantoren maken gebruik van enterprise-grade netwerkapparatuur met centraal beheerde firewalling en segmentatie.
• Informatieoverdracht: Gevoelige inhoud wordt uitgewisseld via beveiligde kanalen, in overeenstemming met ons interne IT- en cybersecuritybeleid.

Gegevensversleuteling

• Standaarden: We gebruiken TLS 1.2 of hoger voor gegevens in transit en AES-256 voor gegevens in rust.
• Versleuteling in transit: Onze primaire methode is HTTPS met de nieuwste versleutelingsalgoritmen. Certificaten worden beheerd via:
  • AWS Managed Certificates voor systemen zoals onze OCPP-eindpunten.
  • Let's Encrypt binnen ons Kubernetes-cluster -- privésleutels zijn beveiligd en alleen toegankelijk voor ons SRE-team. Certificaten worden automatisch elke 8 maanden vernieuwd.

Systeembewaking

• Dashboards en waarschuwingen (Grafana): De platformgezondheid en beveiligingssignalen worden bewaakt in Grafana, met on-call escalatie geïntegreerd in onze samenwerkingstools.
• Detectie en beheer van kwetsbaarheden: Geautomatiseerde scans bestrijken infrastructuur en runtime-omgevingen. Bevindingen worden getriageerd en verholpen op basis van risicogebaseerde SLA's.
• Gecentraliseerde logging en audit: Applicatie- en beveiligingsgebeurtenissen worden samengebracht in een centrale auditloggingservice. Toegang tot logbestanden wordt zelf geauditeerd en volgt het principe van minimale rechten.
• Doorzoekbare retentie (versleutelde S3): Logbestanden worden gearchiveerd naar AWS S3 met versleuteling in rust en lifecycle-beheerde retentie.

Noodherstel en bedrijfscontinuïteit

• Gedocumenteerde plannen: We onderhouden Business Continuity en Disaster Recovery (BCP/DR) plannen die beschrijven hoe we diensten beschikbaar houden en systemen herstellen tijdens verstoringen.
• Testfrequentie: BCP wordt minimaal twee keer per jaar geoefend; DR wordt minimaal jaarlijks getest met behulp van tabletop- en technische oefeningen.
• Gegevensbescherming en back-ups: Back-ups zijn versleuteld en worden regelmatig getest op herstel. Onze architectuur maakt gebruik van meerdere beschikbaarheidszones en regionale weerbaarheid om het risico op een single point of failure te verminderen.
• Communicatie: Updates worden gepubliceerd op onze openbare statuspagina op status.monta.app tijdens incidenten die de prestaties van het platform beïnvloeden.

Incidentbeheer

• Wettelijke meldingen: We beoordelen incidenten op de gevolgen van een AVG-inbreuk op persoonsgegevens en op significante cyberbeveiligingsincidenten onder NIS2, en stellen de bevoegde autoriteiten op de hoogte waar vereist.
• Gestructureerd incidentbeheerplan: Beheerd door de Information Security Board, waarbij incidenten worden gevolgd en opgelost via Grafana.
• Voortdurende verbetering: Na incidenten voeren we een grondige post-mortemanalyse uit om de hoofdoorzaken te identificeren. Een wekelijkse incidentevaluatie deelt leerpunten en volgt herstelacties op.

Veilige productontwikkeling

• Gestructureerde ontwikkelingscycli: De ontwikkeling is georganiseerd in cycli van 6 weken, waarbij elke cyclus begint met een planningssessie om prioriteiten op elkaar af te stemmen.
• Engineering en implementatie: Code ondergaat uitgebreide tests en beoordelingen. Productie-implementaties vereisen handmatige goedkeuring.
• Omgevingsscheiding: Een stagingomgeving spiegelt de productieomgeving voor definitieve tests. Feature flags maken een gefaseerde uitrol mogelijk -- eerst intern, vervolgens naar alpha- en bèta-gebruikers, en daarna naar alle gebruikers.
• Patchbeleid: Kritieke patches worden onmiddellijk toegepast. Alle overige patches volgen een risicogebaseerd schema. Geautomatiseerde tools verzorgen de reguliere patch-implementatie; voor kritieke patches wordt een handmatige beoordeling uitgevoerd.

Endpointbeveiliging

• Apparaatbeveiliging: Bedrijfsbeheerde laptops en mobiele apparaten vereisen volledige schijfversleuteling, schermvergrendeling, wissen op afstand en automatische updates via ons mobile device management (MDM)-systeem, JumpCloud.
• Wachtwoordbeleid: Alle wachtwoorden van medewerkers moeten minimaal 15 tekens bevatten, afgedwongen via JumpCloud.
• Thuiswerken: Een thuiswerkbeleid specificeert beveiligingsmaatregelen voor werk buiten een beveiligde kantooromgeving.
• BYOD-beleid: Persoonlijke mobiele apparaten zijn toegestaan, maar alle gegevenstoegang moet via Monta-systemen verlopen. Opslag of verwerking van gegevens op persoonlijke apparaten is niet toegestaan.

Leveranciersbeheer

• Goedkeuringsproces voor leveranciers: Alle externe leveranciers doorlopen een uitgebreid goedkeuringsproces dat compliance, beveiliging, contractuele voorwaarden en gegevensbescherming omvat.
• Leveranciersbeheer: Ons leveranciersproces beoordeelt beveiliging, contractuele voorwaarden en gegevensbescherming om ervoor te zorgen dat onze activiteiten veilig blijven en in lijn zijn met onze doelstellingen.

Voortdurende verbetering en validatie

• Regelmatige beoordelingen en audits: De Information Security Board voert maandelijkse ISMS-beoordelingen uit. Een intern auditprogramma wordt elk kwartaal uitgevoerd met steekproeftests.
• Externe penetratietests: We werken samen met Cobalt voor jaarlijkse penetratietests. Rapporten zijn op verzoek vertrouwelijk beschikbaar.
• ISO-certificeringsaudits: Jaarlijkse ISO-audits worden uitgevoerd door DNV. Na de audit van 2024 prees onze auditor Monta voor zijn "groot enthousiasme en toewijding aan de continue verbetering van processen binnen het ISMS en in de hele organisatie."

Persoonsgegevens

• AVG-programma en privacybeleid: app.monta.app/gdpr
• Privacybeleid: app.monta.app/privacy-policy

ISO 27001:2022-certificaat

Bekijk het certificaat

SOC 2 Type II-attestatie

Bekijk de attestatie