Het bedrijf vereist authenticatie voor productiedatastores om gebruik te maken van geautoriseerde, veilige authenticatiemechanismen, zoals een unieke SSH-sleutel.

Het bedrijf beperkt de toegang tot encryptiesleutels tot geautoriseerde gebruikers met een zakelijke noodzaak.

Het bedrijf vereist authenticatie voor systemen en applicaties met behulp van een unieke gebruikersnaam en wachtwoord of geautoriseerde Secure Socket Shell (SSH)-sleutels.

Het bedrijf beperkt de toegang tot de firewall tot geautoriseerde gebruikers met een zakelijke noodzaak.

Het bedrijf vereist authenticatie voor het "productienetwerk" met behulp van unieke gebruikersnamen en wachtwoorden of geautoriseerde Secure Socket Shell (SSH)-sleutels.

De productiesystemen van het bedrijf zijn alleen op afstand toegankelijk voor geautoriseerde medewerkers die beschikken over een geldige multifactorauthenticatiemethode (MFA).

De productiesystemen van het bedrijf zijn alleen op afstand toegankelijk voor geautoriseerde medewerkers via een goedgekeurde, versleutelde verbinding.

Het bedrijf evalueert zijn firewallregels minstens jaarlijks. Noodzakelijke wijzigingen worden tot de voltooiing ervan bijgehouden.

De normen van het bedrijf voor netwerk- en systeembeveiliging zijn gedocumenteerd, gebaseerd op de beste praktijken in de branche, en worden minstens jaarlijks herzien.

Toegang tot het systeem is beperkt tot geautoriseerde gebruikers.

Het toegangscontrolebeleid van het bedrijf beschrijft de vereisten voor de volgende toegangscontrolefuncties:

• nieuwe gebruikers toevoegen;
• gebruikers wijzigen; en/of
• De toegang van een bestaande gebruiker intrekken.

Het bedrijf beperkt de toegang tot databases tot geautoriseerde gebruikers met een zakelijke noodzaak.

Het bedrijf beperkt de toegang tot het besturingssysteem tot geautoriseerde gebruikers met een zakelijke noodzaak.

Het bedrijf beperkt de toegang tot het productienetwerk tot geautoriseerde gebruikers met een zakelijke noodzaak.

Het bedrijf maakt gebruik van een inbraakdetectiesysteem om het bedrijfsnetwerk continu te bewaken en potentiële beveiligingsinbreuken vroegtijdig te detecteren.

Het bedrijf maakt gebruik van een logboekbeheertool om gebeurtenissen te identificeren die mogelijk van invloed kunnen zijn op het vermogen van het bedrijf om zijn beveiligingsdoelstellingen te bereiken.

Een infrastructuurmonitoringstool wordt gebruikt om systemen, infrastructuur en prestaties te bewaken en genereert waarschuwingen wanneer specifieke, vooraf gedefinieerde drempelwaarden worden bereikt.

Het netwerk van het bedrijf is gesegmenteerd om ongeautoriseerde toegang tot klantgegevens te voorkomen.

Het bedrijf gebruikt firewalls en configureert deze om ongeautoriseerde toegang te voorkomen.

De infrastructuur die de dienst ondersteunt, wordt door het bedrijf regelmatig gepatcht als onderdeel van routineonderhoud en naar aanleiding van geïdentificeerde kwetsbaarheden. Dit helpt ervoor te zorgen dat de servers die de dienst ondersteunen, goed beschermd zijn tegen beveiligingsrisico's.

Het bedrijf vereist dat wachtwoorden voor de relevante systeemcomponenten worden geconfigureerd volgens het bedrijfsbeleid.

Het bedrijf zorgt ervoor dat elektronische media met vertrouwelijke informatie worden gewist of vernietigd volgens de beste praktijken, en voor elk vernietigd apparaat wordt een vernietigingscertificaat afgegeven.

Het bedrijf houdt een formele inventaris bij van de activa van het productiesysteem.

Het bedrijf versleutelt draagbare en verwijderbare media-apparaten tijdens gebruik.

Het bedrijf implementeert antimalwaretechnologie in omgevingen die vaak vatbaar zijn voor kwaadaardige aanvallen en configureert deze zodanig dat deze regelmatig wordt bijgewerkt, geregistreerd en geïnstalleerd op alle relevante systemen.

Het bedrijf voert achtergrondchecks uit op nieuwe werknemers.

Het bedrijf vereist dat overeenkomsten met aannemers een gedragscode of een verwijzing naar de gedragscode van het bedrijf bevatten.

Het bedrijf vereist dat werknemers bij indiensttreding een gedragscode onderschrijven. Werknemers die de gedragscode overtreden, kunnen disciplinaire maatregelen verwachten conform het disciplinair beleid.

Het bedrijf vereist dat aannemers bij aanvang van hun werkzaamheden een geheimhoudingsverklaring ondertekenen.

Het bedrijf vereist dat werknemers tijdens het inwerkproces een geheimhoudingsverklaring ondertekenen.

Bedrijfsmanagers zijn verplicht om minstens jaarlijks functioneringsgesprekken te voeren met hun directe medewerkers.

Het bedrijf heeft een systeem voor mobiel apparaatbeheer (MDM) geïmplementeerd om de mobiele apparaten die de dienst ondersteunen centraal te beheren.

Het bedrijf vereist dat bezoekers zich aanmelden, een bezoekersbadge dragen en door een bevoegde medewerker worden begeleid bij toegang tot het datacenter of beveiligde ruimtes.

Het bedrijf vereist dat werknemers binnen dertig dagen na indiensttreding een training over beveiligingsbewustzijn volgen en vervolgens minstens jaarlijks.

De datastores van het bedrijf, waarin gevoelige klantgegevens zijn opgeslagen, worden versleuteld wanneer ze niet in gebruik zijn.

Het bedrijf voert minstens jaarlijks een zelfevaluatie van de interne controles uit om er zeker van te zijn dat de controles aanwezig zijn en effectief functioneren. Corrigerende maatregelen worden genomen op basis van relevante bevindingen. Indien het bedrijf een service level agreement (SLA) voor een bevinding heeft afgesproken, wordt de corrigerende maatregel binnen die SLA afgerond.

Het bedrijf voert minimaal jaarlijks penetratietesten uit. Er wordt een herstelplan opgesteld en wijzigingen worden doorgevoerd om kwetsbaarheden te verhelpen in overeenstemming met de SLA's.

Het bedrijf gebruikt beveiligde gegevensoverdrachtsprotocollen om vertrouwelijke en gevoelige gegevens te versleutelen wanneer deze via openbare netwerken worden verzonden.

Het officiële beleid van het bedrijf beschrijft de vereisten voor de volgende functies met betrekking tot IT/Engineering:

• kwetsbaarheidsbeheer;
• systeemmonitoring.

Het bedrijf voert minstens jaarlijks toegangscontroles uit voor de betreffende systeemcomponenten om ervoor te zorgen dat de toegang op passende wijze wordt beperkt. Noodzakelijke wijzigingen worden tot de voltooiing ervan bijgehouden.

Beveiligings- en privacyincidenten binnen het bedrijf worden door het management geregistreerd, bijgehouden, opgelost en gecommuniceerd aan de betrokken of relevante partijen, conform het beleid en de procedures van het bedrijf inzake de afhandeling van beveiligingsincidenten.

Op alle extern toegankelijke systemen worden minimaal jaarlijks kwetsbaarheidsscans uitgevoerd. Kritieke en ernstige kwetsbaarheden worden gevolgd tot ze verholpen zijn.

Het bedrijf heeft bedrijfscontinuïteits- en rampenherstelplannen opgesteld die communicatieplannen beschrijven om de continuïteit van de informatiebeveiliging te waarborgen in geval van uitval van belangrijk personeel.

Het bedrijf heeft een gedocumenteerd bedrijfscontinuïteits-/rampherstelplan (BC/DR-plan) en test dit minstens jaarlijks.

Het bedrijf heeft een cyberbeveiligingsverzekering afgesloten om de financiële gevolgen van bedrijfsstoringen te beperken.

Het bedrijf hanteert een configuratiebeheerprocedure om ervoor te zorgen dat systeemconfiguraties consistent in de gehele omgeving worden geïmplementeerd.

Het bedrijf beperkt de toegang tot het doorvoeren van wijzigingen naar de productieomgeving tot geautoriseerd personeel.

Het bedrijf hanteert een formele methodologie voor de levenscyclus van systeemontwikkeling (SDLC) die de ontwikkeling, aanschaf, implementatie, wijzigingen (inclusief noodwijzigingen) en het onderhoud van informatiesystemen en de bijbehorende technologische vereisten regelt.

Beschrijf uw systeem in sectie III van het auditrapport.

Het bedrijf heeft een formeel klokkenluidersbeleid opgesteld en er is een anoniem communicatiekanaal beschikbaar waarmee gebruikers mogelijke problemen of fraudegevallen kunnen melden.

De raad van bestuur van het bedrijf, of een relevante subcommissie, wordt minstens jaarlijks door het senior management geïnformeerd over de stand van zaken met betrekking tot de cyberbeveiliging en privacyrisico's van het bedrijf. De raad van bestuur geeft zo nodig feedback en richting aan het management.

De raad van bestuur van het bedrijf heeft een vastgelegd handvest waarin de verantwoordelijkheden voor het toezicht op de interne controle zijn beschreven.

De leden van de raad van bestuur van het bedrijf beschikken over voldoende expertise om toezicht te houden op het vermogen van het management om informatiebeveiligingsmaatregelen te ontwerpen, implementeren en beheren. De raad van bestuur schakelt indien nodig externe informatiebeveiligingsdeskundigen en -consultants in.

De raad van bestuur van het bedrijf komt minstens jaarlijks bijeen en houdt formele notulen bij van de vergaderingen. De raad van bestuur bestaat uit bestuurders die onafhankelijk zijn van het bedrijf.

Het back-upbeleid van het bedrijf beschrijft de vereisten voor het maken van back-ups en het herstellen van klantgegevens.

Het bedrijf stelt klanten op de hoogte van belangrijke systeemwijzigingen die van invloed kunnen zijn op hun processen.

Het management van het bedrijf heeft duidelijke rollen en verantwoordelijkheden vastgesteld voor het toezicht op het ontwerp en de implementatie van informatiebeveiligingsmaatregelen.

Het bedrijf hanteert een organigram waarin de organisatiestructuur en rapportagelijnen zijn vastgelegd.

De rollen en verantwoordelijkheden voor het ontwerpen, ontwikkelen, implementeren, beheren, onderhouden en bewaken van informatiebeveiligingsmaatregelen zijn formeel vastgelegd in functiebeschrijvingen en/of het beleid inzake rollen en verantwoordelijkheden.

Het informatiebeveiligingsbeleid en de -procedures van het bedrijf zijn gedocumenteerd en worden minstens jaarlijks herzien.

Het bedrijf heeft een extern ondersteuningssysteem waarmee gebruikers systeeminformatie over storingen, incidenten, problemen en andere klachten kunnen melden aan de juiste medewerkers.

Het bedrijf communiceert systeemwijzigingen aan geautoriseerde interne gebruikers.

Het bedrijf zorgt ervoor dat de toegang van gebruikers tot de relevante systeemcomponenten is gebaseerd op hun functie of rol, of dat hiervoor een gedocumenteerd toegangsverzoekformulier en goedkeuring van de manager vereist zijn voordat toegang wordt verleend.

Het bedrijf test zijn incidentresponsplan minstens jaarlijks.

Het bedrijf heeft beleid en procedures voor de afhandeling van beveiligings- en privacyincidenten die zijn gedocumenteerd en gecommuniceerd aan geautoriseerde gebruikers.

Het bedrijf evalueert de toegang tot de datacenters minstens jaarlijks.

De beveiligingsverplichtingen van het bedrijf worden aan klanten meegedeeld in raamovereenkomsten (Master Service Agreements, MSA) of algemene voorwaarden (Terms of Service, TOS).

Het bedrijf biedt klanten richtlijnen en technische ondersteuning met betrekking tot de werking van het systeem.

Het bedrijf verstrekt een beschrijving van zijn producten en diensten aan interne en externe gebruikers.

Het bedrijf formuleert zijn doelstellingen om de risico's die met die doelstellingen samenhangen te kunnen identificeren en beoordelen.

De risicoanalyses van het bedrijf worden minimaal jaarlijks uitgevoerd. Als onderdeel van dit proces worden bedreigingen en veranderingen (op milieu-, regelgevings- en technologisch gebied) met betrekking tot de dienstverlening geïdentificeerd en worden de risico's formeel beoordeeld. De risicoanalyse omvat een overweging van de mogelijkheid tot fraude en de manier waarop fraude de realisatie van de doelstellingen kan beïnvloeden.

Het bedrijf heeft een gedocumenteerd risicomanagementprogramma dat richtlijnen bevat voor het identificeren van potentiële bedreigingen, het beoordelen van de significantie van de risico's die aan de geïdentificeerde bedreigingen verbonden zijn, en strategieën om die risico's te beperken.

Het bedrijf heeft schriftelijke overeenkomsten gesloten met leveranciers en aanverwante derden. Deze overeenkomsten bevatten geheimhoudings- en privacyverplichtingen die van toepassing zijn op de betreffende entiteit.

Het bedrijf heeft een leveranciersmanagementprogramma. Onderdelen van dit programma zijn onder andere:

• kritieke voorraad van externe leveranciers;
• de beveiligings- en privacyvereisten van de leverancier; en
• Een evaluatie van kritieke externe leveranciers, minimaal jaarlijks.

Het bedrijf heeft formele procedures voor het bewaren en verwijderen van bedrijfs- en klantgegevens.

Het bedrijf verwijdert, conform de beste praktijken, klantgegevens die vertrouwelijke informatie bevatten uit de applicatieomgeving wanneer klanten de dienst verlaten.

Het bedrijf hanteert een beleid voor gegevensclassificatie om ervoor te zorgen dat vertrouwelijke gegevens goed beveiligd zijn en alleen toegankelijk zijn voor bevoegd personeel.

Bij Polestar Analytics is het onze missie om organisaties in staat te stellen het volledige potentieel van kunstmatige intelligentie te benutten door middel van verantwoorde, innovatieve AI-oplossingen – gebouwd op de fundamenten van transparantie, verantwoording en vertrouwen. Wij geloven dat het transformatieve potentieel van kunstmatige intelligentie altijd ten dienste moet staan van mensen, organisaties en de maatschappij, op een ethische en verantwoorde manier.

Onze aanpak voor de ontwikkeling en implementatie van AI is gebaseerd op ethische verantwoordelijkheid en continu toezicht, geleid door onze principes voor verantwoorde AI. Deze principes zijn verankerd in onze gehele AI-levenscyclus – van modelontwerp en -training tot implementatie en monitoring – en strekken zich uit tot onze interne bedrijfsvoering en bestuursstructuren.

Wij zetten ons in voor mensgerichte AI die gebruikers informeert, de controle geeft en vertrouwen biedt in hun door AI ondersteunde beslissingen. Elke AI-oplossing is ontworpen met uitlegbaarheid en interpreteerbaarheid als kernprincipes, zodat belanghebbenden begrijpen hoe AI-gestuurde inzichten worden gegenereerd en aanbevelingen kunnen valideren voordat ze actie ondernemen.

Polestar Analytics hanteert de hoogste normen op het gebied van AI-integriteit, privacybescherming en respect voor belanghebbenden. We leveren waarde voor het bedrijf en blijven tegelijkertijd toegewijd aan verantwoorde AI-innovatie.

Eerlijkheid

• AI-systemen moeten op een eerlijke manier worden ontwikkeld en ingezet, waarbij ervoor wordt gezorgd dat ze inclusief zijn en vrij van onrechtmatige vooringenomenheid. Dit vereist het gebruik van representatieve datasets, het regelmatig uitvoeren van beoordelingen van vooringenomenheid en het implementeren van waarborgen om discriminatie gedurende de gehele levenscyclus van de AI te voorkomen.

Transparantie

• AI-systemen moeten transparant zijn en duidelijk maken wanneer en hoe AI invloed heeft op besluitvormingsprocessen. Dit houdt in dat het doel, de onderliggende logica, de beperkingen en de mogelijke gevolgen voor gebruikers en belanghebbenden van elk systeem helder worden uitgelegd.

Verantwoordelijkheid

• AI-systemen vereisen verantwoord beheer met continu menselijk toezicht gedurende hun hele levenscyclus. Duidelijke verantwoordelijkheid en aansprakelijkheid moeten in elke fase worden vastgesteld – van dataverzameling en modelontwikkeling tot implementatie en doorlopend beheer.

Nauwkeurigheid en betrouwbaarheid

• AI-systemen moeten consequent hun beoogde doel bereiken met betrouwbare en nauwkeurige resultaten. Dit houdt in dat de prestaties worden gevalideerd met hoogwaardige data, de output regelmatig wordt getest en fouten of afwijkingen worden aangepakt om het vertrouwen en de effectiviteit op lange termijn te behouden.

Privacy

• AI-systemen moeten persoonsgegevens rechtmatig en in overeenstemming met de verwachtingen van de gebruiker verwerken. Ze moeten controles bevatten die ervoor zorgen dat het gebruik van gegevens geautoriseerd, doelspecifiek en gedurende de gehele levenscyclus adequaat beschermd is.

Beveiliging

• AI-systemen moeten robuust zijn, getest op hun weerstand tegen vijandige dreigingen en ontworpen om modelmanipulatie, datavergiftiging en andere opkomende aanvalsvectoren te weerstaan. Sterke beveiligingsmaatregelen zijn cruciaal voor het behoud van de systeemintegriteit en het voorkomen van misbruik.

Aanpassingsvermogen

• AI-systemen moeten bestand blijven tegen veranderende datapatronen, omgevingsveranderingen en verschuivende gebruikersbehoeften. Modellen moeten zo ontworpen zijn dat ze efficiënt geüpdatet, opnieuw getraind en verfijnd kunnen worden om de prestaties te behouden en opkomende risico's effectief te beheersen.

Controle & Keuze

• AI-systemen moeten gebruikers controle geven over hun interacties en duidelijke opties bieden voor het gebruik van AI-gestuurde functies. Dit stimuleert een doordachte omgang met de inhoud en gegevens die ze bijdragen.