salarisadministratie in de cloud - visma...databeveiliging en privacy 6 backup en recovery zijn goed...
Post on 20-Sep-2020
0 Views
Preview:
TRANSCRIPT
Databeveiliging en privacy Salarisadministratie in de cloud
Databeveiliging en privacy
2
Wanneer een organisatie de overgang maakt van salarisadministratie on
premise naar salarisadministratie in de cloud, verandert daarmee ook de
beveiliging van de gegevens. Welke geavanceerde technieken zorgen ervoor
dat salarisgegevens in de cloud veilig worden opgeslagen en verwerkt?
Samenvatting
Wanneer een organisatie essentiële bedrijfsprocessen in de cloud laat draaien, wordt
daarmee automatisch zorggedragen voor een goede beveiliging van de gegevens.
De software draait veilig afgescheiden op een beschermd gedeelte van één van de
servers van de leverancier. Onbevoegden hebben er geen toegang toe. Dit scheelt de
organisatie aanzienlijke kosten op het gebied van informatiebeveiligingspersoneel,
-software en -advies. Deze whitepaper beschrijft twaalf geavanceerde technieken en
werkwijzen waarmee leveranciers salarisgegevens in de cloud beveiligen.
Inhoud
• Inleiding
• Informatiebeveiliging krijgt continu aandacht van experts
• Backup en recovery zijn goed geregeld
• Third party software wordt frequent geüpdatet
• Er is automatisch voldaan aan de bewaarplicht
• Softwareupdates worden onmiddellijk uitgevoerd
• Wachtwoorden worden goed beheerd
• De identiteit van gebruikers wordt grondig gecontroleerd
• De juiste gebruikersrechten worden toegekend
• De Wet Bescherming Persoonsgegevens wordt gerespecteerd
• Informatiebeveiliging gebeurt op basis van erkende standaarden
• Er is automatisch voldaan aan verplichte accountancy-regels
• Organisaties hebben de beschikking over een veilige testomgeving
• Conclusie
Databeveiliging en privacy
3
Databeveiliging en privacy
4
Inleiding
Wanneer een organisatie de overgang maakt van salarisadministratie on premise naar
salarisadministratie in de cloud, verandert daarmee ook de beveiliging van de gegevens.
Waar de organisatie vroeger zelf de software installeerde op eigen hardware en daar-
door zelf belast was met het informatiebeveiligingsbeleid, wordt de uitvoering daarvan
nu uitbesteed aan de leverancier. Die zorgt voor een hoog beschermingsniveau van
de zakelijke toepassingen die op het cloudplatform draaien, waaronder de salaris-
administratie. Daarbij wordt gebruikgemaakt aan een scala aan technische methoden
waarmee zowel de sofware als de infrastructuur afgeschermd wordt van onbevoegden
en kwaadwillenden. In deze whitepaper worden een aantal geavanceerde technieken
besproken die maken dat salarisgegevens in de cloud veilig worden opgeslagen en
verwerkt.
Databeveiliging en privacy
5
Informatiebeveiliging krijgt continu aandacht van experts
Het vakgebied van de informatiebeveiliging is voortdurend in beweging. Dagelijks duiken
nieuwe bedreigingen op. Meestal voldoet de bestaande beveiligingsinfrastructuur,
maar soms moet een nieuwe tool of techniek worden ingezet om de bedrijfsgegevens
tijdig te beschermen. Organisaties die hun bedrijfssystemen binnen de eigen muren
draaien, moeten zelf continu investeren in het bijhouden van de ICT-kennis van informatie-
beveiligers en in de aanschaf en het onderhoud van nieuwe beveiligingstools en
-technieken. Wanneer organisaties hun salarisadministratie echter in de cloud van
een toonaangevende leverancier onderbrengen, bespaart hen dit veel kopzorgen.
Voortaan kunnen zij vertrouwen op de expertise van grote aanbieders die ruime
mogelijkheden, gespecialiseerde kennis en een uitgebreid budget voor de beveiliging
van gegevens en infrastructuur hebben.
Databeveiliging en privacy
6
Backup en recovery zijn goed geregeld
Organisaties die hun salarisadministratie nog niet in de cloud hebben ondergebracht,
zijn zelf verantwoordelijk voor het maken van backups. Die backups zijn nodig omdat
er altijd een risico bestaat dat gegevens verloren gaan als gevolg van onverwachte
omstandigheden zoals brand, diefstal of wateroverlast. Wanneer organisaties hun
processen onderbrengen in de cloud, zorgt de leverancier van bedrijfssystemen in de
cloud voor backupfaciliteiten. Om voorbereid te zijn op calamiteiten zijn systemen
bovendien dubbel uitgevoerd en ondergebracht op verschillende locaties. Sommige
aanbieders bieden daarnaast ook nog eens de mogelijkheid om de data uit de cloud
te synchroniseren op de onsiteservers of pc’s van de klant. Op die manier heeft deze
altijd een recente kopie van de eigen data on-site.
Third party software wordt frequent geüpdatet
Voor een goede beveiliging van de informatiesystemen is het van belang dat de
leverancier zogeheten third party software tijdig vernieuwt. Dit voorkomt dat kwaad-
willenden misbruik kunnen maken van beveiligingslekken in oude versies van de software.
Bij deze third party software gaat het onder meer om besturingssystemen, database-
en andere software. Om die reden zorgen leveranciers van bedrijfssystemen in de
cloud voor een gestructureerd updateproces.
Databeveiliging en privacy
7
Er is automatisch voldaan aan de bewaarplicht
De overheid stelt organisaties verplicht om bepaalde data gedurende en bepaalde
periode te bewaren. Hierbij gaat het bijvoorbeeld om bedrijfsgegevens waarvan de
Belastingdienst de mogelijkheid wil hebben ze in een later stadium op te vragen.
Om die reden respecteren leveranciers van bedrijfssystemen in de cloud deze bewaar-
plicht. Hierdoor zijn organisaties ervan verzekerd dat de juiste data gedurende de
voorgeschreven periode bewaard en voor bevoegde personen toegankelijk zijn.
Zo is iedere ondernemer wettelijk verplicht zijn administratie zeven jaar te bewaren.
Dit wordt de fiscale bewaarplicht genoemd. Tot de basisgegevens van de administratie
behoort ook de loonadministratie. Na deze termijn vraagt de Belastingdienst deze
gegevens niet langer op.
Databeveiliging en privacy
8
Softwareupdates worden onmiddellijk uitgevoerd
Organisaties die hun salarisadministratie nog niet in de cloud hebben ondergebracht,
zijn zelf verantwoordelijk voor het functioneel beheer van de software. Dat betekent
dat ICT-medewerkers de software moeten installeren en onderhouden. Wanneer de
fabrikant nieuwe functies beschikbaar stelt, moeten de softwarewijzigingen door-
gevoerd worden.
Voor de veiligheid testen veel organisaties nieuwe releases eerst binnen een test-
omgeving, om er absoluut zeker van te zijn dat geen onverwachte comptabiliteits-
problemen optreden. Daardoor duurt het vaak langer dan gewenst voordat nieuwe
updates worden geïnstalleerd. Wanneer organisaties hun processen onderbrengen
in de cloud, gebeuren updates onmiddellijk.
Leveranciers van salarisadministratiesystemen in de cloud bedienen verschillende
klanten tegelijk. Hierbij wordt voor een softwarearchitectuur gekozen waarbij klanten
van dezelfde applicatie gebruikmaken, terwijl hun gegevens toch veilig van elkaar zijn
afgescheiden. Het voordeel van deze zogenoemde software multitenancy is dat updates
onmiddellijk kunnen worden doorgevoerd, voor alle klanten tegelijk.
Dankzij deze softwarearchitectuur zijn belangrijke kostenbesparingen mogelijk, niet
alleen voor de leverancier maar ook voor klanten, onder meer omdat de licentiekosten
van onderliggende systemen gespreid kunnen worden over een grote verzameling
klanten.
Databeveiliging en privacy
9
Wachtwoorden worden goed beheerd
Om er zeker van te zijn dat salarisgegevens voldoende zijn beveiligd, hanteren leveran-
ciers van payrollsystemen in de cloud regels voor het wachtwoordbeheer. Zo wordt
voorkomen dat hackers eenvoudig het wachtwoord van gebruikers kunnen raden.
Dat wordt in de eerste plaats voorkomen doordat de leverancier elke nieuwe gebruiker
meteen een eigen wachtwoord geeft. Wanneer alle nieuwe gebruikers hetzelfde wacht-
woord zouden hebben, zoals bijvoorbeeld welkom01, zou het voor kwaadwillenden wel
heel gemakkelijk zijn om zichzelf onbevoegd toegang te verwerven. Om die reden
geven leveranciers van salarissystemen in de cloud aan elke gebruiker een ander start-
wachtwoord. Vervolgens kan elke nieuwe gebruiker tijdens de eerste keer inloggen een
eigen wachtwoord kiezen.
Daarnaast controleert een goed beveiligd onlinetoegangssysteem bij de invoering van
nieuwe wachtwoorden of deze sterk genoeg zijn. Een sterk wachtwoord is moeilijk te
raden. Dat kan bereikt worden door bijvoorbeeld een combinatie van kleine en hoofd-
letters te gebruiken, en behalve letters ook cijfers en speciale tekens in het wacht-
woord te verwerken, zoals { , * en &.
Het systeem waarschuwt gebruikers wanneer nieuwe wachtwoorden niet aan deze
eisen voldoen. Dat gebeurt bijvoorbeeld door het tonen van de kleur rood voor een
zwak wachtwoord, oranje voor een iets sterker wachtwoord en groen voor een zeer
moeilijk te raden wachtwoord.
Databeveiliging en privacy
10
De identiteit van gebruikers wordt grondig gecontroleerd
Wanneer organisaties hun processen onderbrengen in de cloud, verzorgt de leverancier
de authenticatie van gebruikers. Dat betekent dat voordat medewerkers vanaf hun
tablet, laptop of pc gebruik kunnen maken van een payrollsysteem in de cloud,
allereerst hun identiteit op echtheid wordt gecontroleerd. Zo wordt voorkomen dat
onbevoegden toegang kunnen krijgen tot het salarisadministratiesysteem.
Dit proces, waarbij de echtheid van de identiteit van gebruikers wordt gecontroleerd,
heet authenticatie en vindt plaats tijdens het inlogproces. Naarmate er meer authen-
ticatiemiddelen worden gebruikt, kan de identiteit van de gebruiker met meer zekerheid
worden vastgesteld. Multifactorauthenticatie is extra belangrijk wanneer het bijvoorbeeld
gaat om financiële of persoonsgegevens.
Traditionele systemen vragen vaak enkel om een inlognaam en wachtwoord. In dat
geval wordt maar één factor gebruikt tijdens het authenticatieproces: kennis van het
wachtwoord.
Databeveiliging en privacy
11
Maar daarnaast zijn extra authenticatiemiddelen mogelijk, die de beveiliging aanzienlijk
verhogen en die daarom vaak worden ingezet door leveranciers van bedrijfssystemen
in de cloud, waaronder die voor salarisadministratie.
Bij twofactorauthenticatie moet de gebruiker niet alleen het wachtwoord kennen,
maar ook bewijzen dat hij of zij in het bezit is van een bepaald apparaat. Dat kan een
mobiele telefoon zijn, maar bijvoorbeeld ook een pasje in combinatie met een controle-
apparaat. Het bezit van een mobiele telefoon kan gecontroleerd worden door via sms
een code naar dit apparaat te verzenden die de gebruiker vervolgens in de browser
moet invoeren. Het bezit van een speciaal pasje kan gecontroleerd worden met behulp
van een controle-apparaat. Alleen wanneer hierin het juiste pasje wordt gestoken,
weet dit controle-apparaat het juiste controlegetal te genereren in reactie op een
zogeheten challenge van de online-applicatie.
Bij threefactorauthenticatie wordt nog een extra authenticatiemiddel toegevoegd
aan het inlog- of toegangsproces. Dit kunnen bijvoorbeeld bepaalde persoonlijke eigen-
schappen zijn die uniek zijn voor een bepaald individu, zoals de iris of het lijnenpatroon
op een vingertop. Bij deze biometrische authenticatie wordt tijdens het inlogproces
bijvoorbeeld een vingerafdruk afgenomen of irisscan gemaakt.
Databeveiliging en privacy
12
De juiste gebruikersrechten worden toegekend
Wanneer organisaties hun processen onderbrengen in de cloud, verzorgt de leverancier
de autorisatie van gebruikers. Dat betekent dat aan elke persoon automatisch de juiste
rechten worden toegekend. Sommige persoonsgegevens mogen immers binnen de
organisatie alleen onder ogen komen van bevoegde personen. Daarbij gaat het bij-
voorbeeld om salarisgegevens, maar ook om verzuimgegevens.
De Wet Bescherming Persoonsgegevens wordt gerespecteerd
Wanneer organisaties hun salarisadministratie onderbrengen bij een Europese leveran-
cier van bedrijfssystemen in de cloud, worden de salarisgegevens opgeslagen op servers
in Europa. Dat is nodig om te voldoen aan de Wet Bescherming Persoonsgegevens.
Die schrijft voor dat organisaties persoonsgegevens niet mogen opslaan in landen
buiten de Europese Unie, tenzij ze zeker weten dat die het Europese privacyniveau
kunnen waarborgen.
Wanneer een organisaties ervoor kiest om de salarisadministratie binnen de eigen
bedrijfsmuren op eigen systemen te draaien, kunnen op dit vlak per ongeluk fouten
worden gemaakt. Dat kan bijvoorbeeld het geval zijn wanneer salarisgegevens auto-
matisch worden gebackupt via een cloudopslagsysteem. Wat organisaties namelijk
niet altijd beseffen, is dat de servers waarop de gegevens worden opgeslagen in het
buitenland kan staan en in veel gevallen buiten de Europese Unie. Om die reden zorgen
leveranciers van payrollsystemen in de cloud voor opslag binnen Europa.
Databeveiliging en privacy
13
Informatiebeveiliging gebeurt op basis van erkende standaarden
Om er zeker van te zijn dat gegevens voldoende zijn beveiligd, hanteren leveranciers
van payrollsystemen in de cloud bepaalde informatiebeveiligingsstandaarden. Daarbij
gaat het bijvoorbeeld om ISO/IEC 27001, die is opgesteld door de Internationale Orga-
nisatie voor Standaardisatie (ISO).
Dit is een beveiligingsstandaard waarin richtlijnen, ook wel best practices genoemd,
zijn opgenomen voor de informatiebeveiliging van een organisatie. Hierin is onder
meer beschreven hoe de fysieke beveiliging van een organisatie is ingericht en aan
welke eisen het wachtwoordbeleid moet voldoen.
Het doorvoeren van deze standaard en het behalen van het bijbehorende certificaat
is een tijdrovende klus die een hoog kwaliteitsbewustzijn vereist. Organisaties die ervoor
kiezen om de salarisadministratie binnen de eigen bedrijfsmuren op eigen systemen
te draaien, zijn zelf verantwoordelijk voor dit proces. Wanneer zij echter overstappen
op salarisadministratiesoftware in de cloud, kunnen zij die verantwoordelijkheid over-
dragen aan de leverancier.
Databeveiliging en privacy
14
Er is automatisch voldaan aan verplichte accountancyregels
Om openbaar accountants de mogelijkheid te geven om aan de Belastingdienst op een
correcte manier te kunnen rapporteren over de manier waarop financiële gegevens
worden verwerkt, bestaat een internationale standaard: de ISAE 3402. Wanneer een
organisatie de salarisadministratie onder brengt binnen de cloud bij een leverancier
die zich houdt aan deze accountancystandaard, hoeft de organisatie zich hier dus geen
zorgen meer over te maken. Het is zeker dat op een correcte manier aan de Belasting-
dienst kan worden gerapporteerd.
Organisaties hebben de beschikking over een veilige testomgeving
Wanneer een organisaties wijzigingen uitvoert aan de instellingen van de software,
bijvoorbeeld door nieuwe gebruikers aan te maken binnen het systeem, is het prettig
te controleren of deze wijzigingen van de software-instellingen het beoogde effect
hebben voordat de nieuwe instellingen live gaan. Veel leveranciers van bedrijfssystemen
in de cloud geven hun klanten daarom de mogelijkheid om software-instellingen eerst
binnen een testomgeving te wijzigen. De wijzigingen kunnen daar veilig worden getest.
Pas wanneer zekerheid bestaat dat de nieuwe instellingen goed zijn doorgevoerd
kunnen deze live gaan. Zo zijn organisaties ervan verzekerd dat het payroll-systeem
in de cloud altijd goed functioneert.
Databeveiliging en privacy
15
Conclusie
Leveranciers van salarissystemen in de cloud gebruiken geavanceerde beveiligings-
technieken om salarisgegevens in de cloud veilig op te slaan en te verwerken.
Niet alleen zorgen leveranciers van bedrijfssystemen in de cloud voor goede backup-
faciliteiten. Vaak zijn, om voorbereid te zijn op calamiteiten, systemen bovendien
dubbel uitgevoerd, op verschillende locaties. Sommige aanbieders bieden daarnaast
ook nog eens de mogelijkheid om de data uit de cloud te synchroniseren op de
on-site servers of pc’s van de klant.
Wanneer organisaties hun processen onderbrengen in de cloud, verzorgt de leverancier
bovendien de authenticatie van gebruikers. Vervolgens worden aan elke persoon
automatisch de juiste rechten worden toegekend.
Om er zeker van te zijn dat gegevens voldoende zijn beveiligd, hanteren leveranciers
van payrollsystemen in de cloud bepaalde informatiebeveiligingsstandaarden. Daar-
naast respecteren leveranciers van bedrijfssystemen in de cloud de wettelijk voorge-
schreven bewaarplicht. Hierdoor zijn organisaties ervan verzekerd dat de juiste data
gedurende de juiste periode bewaard en voor bevoegde personen toegankelijk zijn.
Deze voorbeelden bewijzen dat wanneer een organisatie essentiële bedrijfsprocessen,
waaronder salarisadministratie, in de cloud laat draaien, daarmee automatisch zorg
wordt gedragen voor een goede beveiliging van de gegevens. Dit scheelt de organisatie
aanzienlijke kosten op het gebied van informatiebeveiligingspersoneel, -software en
-advies.
Databeveiliging en privacy
16
Over Visma Software
Visma publiceert regelmatig informatie over het vakgebied Human Resource Management
en salarisverwerking met als doel u te informeren over de ontwikkelingen die er binnen
deze vakgebieden plaatsvinden en u te helpen uw doelstellingen mede te realiseren.
Visma Software levert volledig geïntegreerde softwareoplossingen voor Human
Resource Management en salarisverwerking. Het stelt het lijnmanagement en de
werknemers zelf in staat om taken die voorheen bij HRM lagen uit te voeren.
Meer informatie:
Visma Software, Rob van Loenen, telefoonnummer: 033 45 45 111.
www.vismasoftware.nl
info-amersfoort@visma.com
Maandelijks verstuurt Elsa Breeland de nieuwsbrief Elsa vertelt... met antwoorden
op HRM-vragen. Klik hier om u in te schrijven.
top related