Beveiliging
Teamleader Focus
Teamleader Focus wil bedrijven slimmer helpen werken. Dat kan enkel als onze software een veilige, betrouwbare plek is voor jouw data. Daarom is veiligheid voor ons dan ook een absolute topprioriteit. Op deze pagina vind je onze belangrijkste maatregelen om de veiligheid en beschikbaarheid van jouw gegevens te garanderen
Teamleader Focus heeft jaarlijks een uptime of beschikbaarheid van 99,9% en we houden dit continu in het oog voor zowel onze tool als onze website. Bij downtime of een noodgeval ontvangt ons team meldingen in real-time, zodat we snel kunnen optreden.
Mocht er zich toch een technische storing voordoen, houden we je voortdurend op de hoogte via onze statuspagina en via meldingen in de Teamleader Focus-applicatie. We doen er alles aan om je goed te informeren over de status van het probleem en om dit zo snel mogelijk op te lossen.
Al het internetverkeer naar Teamleader Focus verloopt via een SSL-versleutelde verbinding (Secure Socket Layer of veilige en beschermde overdracht van gegevens via het internet), en we aanvaarden enkel verkeer via poort 443. Een verslag van onze SSL-configuratie kan je hier terugvinden.
Bij je eerste bezoek aan onze website verstuurt Teamleader Focus een Strict Transport Security Header (HSTS) naar je browser (useragent). Daardoor is je verbinding voortaan volledig beveiligd via HTTPS of het veiligste internetprotocol. Zélfs als je op een niet-versleutelde link naar onze website klikt die specifiek begint met ‘http://’.
Teamleader Focus maakt gebruik van Amazon Web Services (AWS) om data op te slaan. Deze servers ondergaan periodieke evaluaties zodat ze aan de nieuwste standaarden voldoen. Doordat we AWS als ons datacentrum gebruiken, is onze infrastructuur geaccrediteerd voor:
- ISO 27001
- SOC 1 en SOC 2/SSAE 16/ISAE 3402 (voorheen SAS 70 Type II)
- PCI Level 1
- C5 Operational Security
- ENS High
- IT-Grundschutz
Meer informatie over de beveiliging van AWS kan je hier terugvinden.
Om je Teamleader Focus-account aan te maken, moet je een sterk wachtwoord kiezen van ten minste 6 tekens. We slaan geen gebruikerswachtwoorden op in tekstvorm: we bewaren enkel niet-ontcijferbare wachtwoord-hashes die versleuteld werden met Bcrypt (inclusief per-user-random-salt). Op die manier beschermen we gebruikers tegen rainbow table-aanvallen en pogingen om de syntax voor versleuteling te ontcijferen.
Als een gebruiker meerdere keren een foutief wachtwoord ingeeft, vergrendelen we tijdelijk dit account om ‘brute force’-aanvallen (manier om wachtwoorden te kraken via uitvoerige pogingen) te vermijden. Om je account verder te beveiligen kan je in je accountinstellingen Two-Factor Authentication inschakelen (een extra beschermingslaag die enkel de gebruiker bezit, zoals een code via smartphone) via Google Authenticator of Authy.
We blokkeren requests van ongekende, kwetsbare IP-adressen en -bereiken.
Requests van hetzelfde IP-adres worden gethrotteld (beperkt) om misbruik te vermijden.
Om Cross-Site Scripting Attacks (XSS) te blokkeren, wordt alle output geëscaped in onze back-end-applicatie voordat ze de browser van de XSS-aanval bereikt. We gebruiken geen terugkerende ruwe data, omdat dit ervoor kan zorgen dat er ongewild gegevens naar de browser verstuurd worden.
Onze applicatie blokkeert requests die niet van onze eigen domein(en) komen, om zo het risico op Cross Site Request Forgery (CSRF)-aanvallen te beperken. Voor belangrijke acties gebruiken we ook CSRF-tokens.
Tot slot hebben we ook de Content Security Policy (CSP) HTTP header geïmplementeerd, die bepaalt welke assets (JavaScript, afbeeldingen, stylesheets, enz.) geladen en uitgevoerd kunnen worden door de browser van de gebruiker. Een correct geïmplementeerde CSP-header beschermt tegen schadelijke JavaScript (XSS-aanvallen), gefabriceerde bestanden verhuld als afbeeldingen, en soortgelijke aanvallen gebaseerd op het vertrouwen van je browser voor bepaalde assets.
In nauwe samenwerking met Intigriti.com stelden we een ethical hacking-programma op.
Een groep onafhankelijke beveiligingsspecialisten test onze software uitvoerig om potentiële zwakke plekken te vinden en te elimineren.
Ons team gebruikt sterke, unieke wachtwoorden voor Teamleader Focus-accounts en gebruikt Two-Factor Authentication voor elk apparaat en elke service. We moedigen onze medewerkers ook aan om password managers zoals LastPass of 1Password te gebruiken om sterke wachtwoorden te genereren en op een veilige plaats te bewaren.
We versleutelen ook lokale harde schijven en schakelen automatische schermbeveiliging in. De admin-functies van onze applicatie zijn slechts toegankelijk voor een selecte groep.
Om alle veiligheidsnormen en -standaarden te respecteren, hanteren we strikte code reviews voor elke wijziging of toevoeging aan onze applicatie.
Al sinds de lancering van Teamleader Focus sporen we gebruikers actief aan om problemen in onze applicatie snel te melden, en zo de veiligheid en betrouwbaarheid van ons platform te helpen waarborgen. Alle meldingen behandelen en beantwoorden we zo snel mogelijk.