Jitterbit-beveiligingsmaatregelen

Met ingang van 8 december 2022

Laatst bijgewerkt: 20 februari 2026

De belangrijkste beveiligingsmaatregelen die Jitterbit implementeert om klantgegevens te beschermen, worden uiteengezet in deze Jitterbit-beveiligingsmaatregelenbijlage:

Overzicht

Dit document met beveiligingsmaatregelen van Jitterbit (de "Beveiligingsmaatregelen") beschrijft de administratieve, technische en fysieke beveiligingsmaatregelen die Jitterbit heeft getroffen om klantgegevens te beschermen tegen ongeautoriseerde toegang, openbaarmaking, wijziging of vernietiging.

Deze beveiligingsmaatregelen ondersteunen de verplichtingen van Jitterbit onder de toepasselijke wettelijke, regelgevende en contractuele vereisten, waaronder maar niet beperkt tot SOC 1, SOC 2, ISO 27001, ISO 27017, ISO 27018, ISO 42001, HIPAA, GDPR, CCPA en NZISM.

Dit document maakt deel uit van het bredere beveiligings- en privacyraamwerk van Jitterbit en wordt vermeld in de van toepassing zijnde klantovereenkomsten, waaronder gegevensverwerkingsovereenkomsten (DPA's) en overeenkomsten met zakelijke partners (BAA's). In geval van een conflict tussen deze beveiligingsmaatregelen en een klantovereenkomst, prevaleert de klantovereenkomst met betrekking tot het onderwerp ervan.

Termen met een hoofdletter die hierin niet zijn gedefinieerd, hebben de betekenis zoals uiteengezet in de van toepassing zijnde overeenkomst of documentatie.

Privacy door ontwerp en privacy door standaard

Privacy by design
Jitterbit integreert privacy- en gegevensbeschermingsaspecten in de gehele levenscyclus van haar producten en diensten, inclusief interne projecten, softwareontwikkeling, infrastructuurontwerp en IT-activiteiten.

Privacy standaard
De producten en diensten van Jitterbit zijn standaard geconfigureerd met privacybeschermende instellingen. Persoonsgegevens worden alleen verzameld, verwerkt en bewaard voor zover dat nodig is om de dienst te leveren, contractuele verplichtingen na te komen en te voldoen aan wettelijke en regelgevende vereisten.

1. Toegang tot en beheer van klantgegevens

1.1 Klanten beheren de toegang tot hun Jitterbit-accounts via gebruikersidentiteiten, op rollen gebaseerde toegangsrechten en multifactorauthenticatie.

1.2 Medewerkers van Jitterbit hebben geen toegang tot niet-versleutelde klantgegevens, tenzij de klant daar uitdrukkelijk toestemming voor heeft gegeven voor ondersteuning, probleemoplossing of operationele doeleinden.

1.3 Jitterbit verwerkt klantgegevens uitsluitend op instructie van de klant, voor zover nodig om de Jitterbit-applicatie te leveren, te onderhouden en te ondersteunen in overeenstemming met de toepasselijke overeenkomst.

1.4 Clientapplicatie- en projectmetadata die door de Jitterbit-applicatie worden gegenereerd, worden alleen gehost binnen de geografische regio waaruit ze afkomstig zijn (NA, EMEA of APAC), tenzij contractueel anders is overeengekomen.

1.5 Jitterbit onderhoudt gedocumenteerde dataflowdiagrammen die beschrijven hoe klantgegevens door de Jitterbit-applicatie stromen en stelt dergelijke diagrammen op redelijk verzoek beschikbaar.

2. Logische scheiding van klantgegevens

Jitterbit zorgt voor een logische scheiding van klantgegevens door middel van gelaagde technische controles, waaronder:

  • Gesegmenteerde databasearchitecturen met afzonderlijke schema's
  • Betrouwbare en geauthenticeerde verbindingen tussen services
  • Versleuteling van gevoelige gegevens
  • Logische filterlagen tussen tenants en gedeelde resources
  • Toegangscontrolemechanismen om de toegang tot gegevens te beperken op basis van identiteit en rol.

 

3. Toegangsbeheer tot applicatie-infrastructuur

3.1 De toegang tot systemen en infrastructuur ter ondersteuning van de Jitterbit-applicatie is beperkt tot geautoriseerd personeel op basis van functieomschrijving en het principe van minimale bevoegdheden.

3.2 De toegang tot systeem- en applicatielogboeken is beperkt tot geautoriseerd personeel voor operationele ondersteuning, probleemoplossing en beveiligingsmonitoring.

3.3 Voor administratieve toegang zijn unieke gebruikersgegevens, sterke authenticatie en multifactorauthenticatie via beveiligde verbindingen vereist.

3.4 De wachtwoordstandaarden voor servers en infrastructuur voldoen aan of overtreffen de erkende industrienormen.

3.5 Toegangsrechten worden onmiddellijk ingetrokken of aangepast bij beëindiging van het dienstverband of functieverandering van het personeel.

3.6 De toegang van gebruikers tot de productie-infrastructuur wordt periodiek gecontroleerd.

3.7 Toegangspogingen en administratieve acties worden geregistreerd en gemonitord.

3.8 Netwerktoegang wordt beperkt door middel van beveiligingsgroepconfiguraties die standaard de toegang weigeren.

3.9 Firewalls en netwerksegmentatiemaatregelen worden gebruikt om inkomend en uitgaand verkeer te beperken.

3.10 Inbraakdetectie- en monitoringtools worden gebruikt om verdachte of afwijkende activiteiten te detecteren.

4. Risicomanagement

4.1 Jitterbit hanteert een formeel risicobeheerprogramma dat is afgestemd op erkende raamwerken, zoals NIST.

4.2 Gedurende het hele jaar worden technische en niet-technische risicobeoordelingen uitgevoerd, waaronder geautomatiseerde scans, interne controles en beoordelingen en penetratietests door derden.

4.3 De beoordelingsresultaten worden door de leidinggevenden op het gebied van beveiliging en privacy geëvalueerd en gevolgd via vastgestelde herstelprocessen.

4.4 Geïdentificeerde risico's worden geprioriteerd en aangepakt met behulp van risicogebaseerde herstelstrategieën.

4.5 Informatiebronnen over dreigingen worden gemonitord om opkomende dreigingen en kwetsbaarheden te identificeren.

5. Scannen van kwetsbaarheden en penetratietesten

5.1 Er worden regelmatig geautomatiseerde kwetsbaarheidsscans uitgevoerd op systemen die de Jitterbit-applicatie ondersteunen.

5.2 Gedetecteerde kwetsbaarheden worden beoordeeld op basis van ernst, exploiteerbaarheid en impact op de bedrijfsvoering.

5.3 Kwetsbaarheden die aan de vastgestelde risicodrempels voldoen, krijgen prioriteit voor herstel.

5.4 Onafhankelijke penetratietests door derden worden minstens jaarlijks uitgevoerd.

5.5 Interne beveiligingstests en codebeoordelingen worden regelmatig uitgevoerd.

5.6 Veilige ontwikkelpraktijken omvatten afhankelijkheidsbeheer, statische en dynamische testen en het bijhouden van herstelacties.

6. Toegang op afstand en beveiliging van eindpunten

6.1 Administratieve toegang tot cloudomgevingen vereist beveiligde verbindingen en sterke authenticatie.

6.2 Klantgegevens worden niet op lokale apparaten van medewerkers opgeslagen, tenzij dit uitdrukkelijk vereist is en beschermd wordt door passende beveiligingsmaatregelen.

6.3 Op door Jitterbit beheerde apparaten worden endpointbeveiliging, apparaatverharding en monitoringcontroles afgedwongen.

7. Applicatielocatie en gegevensopslag

7.1 Klantgegevens worden opgeslagen in specifieke Jitterbit-applicatieregio's (VS, EU, APAC).

7.2 Productieomgevingen zijn zo ontworpen dat ongeautoriseerde replicatie tussen regio's wordt voorkomen.

7.3 Configuraties voor noodherstel respecteren de vereisten voor gegevensopslaglocatie, tenzij contractueel anders is overeengekomen.

8. Registratie en monitoring van systeemgebeurtenissen

8.1 Monitoringtools verzamelen gebeurtenissen met betrekking tot infrastructuur, applicaties en beveiliging.

8.2 Logboeken worden centraal opgeslagen, beschermd tegen manipulatie en de toegang ertoe is gecontroleerd.

8.3 De bewaartermijnen voor logbestanden worden vastgesteld op basis van de kritikaliteit van het systeem, wettelijke vereisten en operationele behoeften.

9. Systeembeheer, malwarepreventie en patchbeheer

9.1 De systemen zijn beveiligd volgens de beste praktijken in de branche.

9.2 Besturingssystemen en applicaties worden regelmatig bijgewerkt met patches.

9.3 Er worden maatregelen genomen om malware te detecteren en te voorkomen, en deze worden onderhouden.

9.4 Kwetsbaarheden met een hoog risico worden met voorrang verholpen volgens vastgestelde tijdschema's.

10. Beveiligingstraining en personeelscontrole

10.1 Alle medewerkers ontvangen bij indiensttreding en ten minste jaarlijks een training op het gebied van beveiliging en privacy.

10.2 Personeel erkent de verantwoordelijkheid voor het melden van vermoedelijke veiligheidsincidenten.

10.3 Periodiek worden bewustwordingsactiviteiten uitgevoerd, waaronder phishing-simulaties.

10.4 Achtergrondscreening wordt uitgevoerd waar dit wettelijk is toegestaan.

10.5 Derden met toegang tot klantgegevens zijn contractueel verplicht te voldoen aan de beveiligingsnormen van Jitterbit.

11. Fysieke beveiliging

11.1 De Jitterbit-applicatie wordt gehost door cloudserviceproviders die fysieke beveiligingsmaatregelen en onafhankelijke certificeringen hanteren.

11.2 Jitterbit beoordeelt jaarlijks relevante assurance-rapporten van derden.

12. Kennisgeving van beveiligingsinbreuk

12.1 Een beveiligingsinbreuk omvat ongeoorloofde toegang tot of openbaarmaking van klantgegevens, of ongeoorloofde toegang tot systemen die klantgegevens verwerken.

12.2 Jitterbit stelt de betrokken klanten zonder onnodige vertraging op de hoogte in overeenstemming met de contractuele en wettelijke vereisten.

12.3 Meldingen bevatten relevante details over het incident en de genomen maatregelen.

12.4 Jitterbit onderzoekt, beheerst en beperkt beveiligingsincidenten met behulp van vastgestelde procedures voor incidentrespons.

13. Herstel na rampen en bedrijfscontinuïteit

13.1 Jitterbit beschikt over gedocumenteerde rampenherstel- en bedrijfscontinuïteitsplannen.

13.2 De mogelijkheden voor noodherstel worden periodiek getest.

13.3 Klanten zijn zelf verantwoordelijk voor het configureren van hun back-up- en regiooverschrijdende strategieën, indien van toepassing.

14. Beveiligingsnaleving en -borging

Jitterbit ondergaat onafhankelijke beoordelingen en certificeringen, waaronder:

  • SOC 1- en SOC 2-rapporten
  • ISO 27001-certificering (inclusief de bijlagen ISO 27017 en ISO 27018)
  • ISO 42001-certificering
  • HIPAA-naleving voor verplichtingen ten aanzien van zakelijke partners
  • GDPR-, CCPA-, LGPD- en NZISM-nalevingsprogramma's
  • Onafhankelijke penetratietests en kwetsbaarheidsanalyses

15. Implementatie van cloud- en lokale agents

15.1 Jitterbit Cloud is ontworpen met sterke beveiligingsmaatregelen die standaard zijn ingeschakeld.

15.2 Lokale agentimplementatieopties stellen klanten in staat gevoelige gegevens binnen hun eigen omgeving te verwerken.

16. Gegevenscodering

16.1 Clientgegevens in rust worden versleuteld met behulp van de industriestandaard AES-versleutelingsalgoritmen.

16.2 Clientgegevens tijdens de overdracht worden beschermd met behulp van beveiligde communicatieprotocollen zoals TLS.

17. Beveiligingsmaatregelen voor kunstmatige intelligentie

17.1 Jitterbit past extra beveiligingsmaatregelen toe op AI-gestuurde functies en systemen.

17.2 AI-modellen, -configuraties en -datasets zijn beveiligd met toegangscontrole en beschermd tegen ongeoorloofde wijziging of extractie.

17.3 AI-gerelateerde gegevens worden geclassificeerd en verwerkt in overeenstemming met de Jitterbit-normen voor gegevensbescherming.

17.4 AI-systemen worden gemonitord op beveiliging, integriteit en operationele afwijkingen.

17.5 De ​​governancepraktijken voor AI sluiten aan bij opkomende standaarden, waaronder ISO 42001, en leggen de nadruk op menselijk toezicht, verantwoording en verantwoord gebruik.

17.6 AI-systemen gebruiken geen klantgegevens om de LLM-modellen te trainen.

17.7 AI-agenten en autonome workflows
Jitterbit AI-agenten en autonome workflows werken binnen vastgestelde kaders om veilig, controleerbaar en verantwoord gedrag te garanderen. Klanten blijven de gegevensbeheerders en behouden de flexibiliteit om hun eigen Large Language Models (LLM's) of voorkeurs-AI-providers te gebruiken via het connectiviteitsframework van Jitterbit. AI-agenten zijn onderworpen aan strikte identiteits-, authenticatie- en autorisatiecontroles, waarbij de machtigingen beperkt zijn tot de minimaal vereiste acties. Alle agentactiviteiten worden geregistreerd, gemonitord en zijn controleerbaar. AI-agenten mogen geen toegang krijgen tot, verwerken of doorsluizen van klantgegevens, behalve voor expliciet geautoriseerde gebruiksscenario's. Geautomatiseerde acties die door AI-agenten worden uitgevoerd, zijn ontworpen onder menselijk toezicht, met goedkeuringspunten waar nodig en fail-safe mechanismen om onbedoelde of schadelijke gevolgen te voorkomen. AI-agenten worden continu geëvalueerd op beveiliging, gegevensintegriteit en naleving van de Jitterbit-normen voor AI-governance, gegevensbescherming en risicobeheer.

18. Model van gedeelde verantwoordelijkheid

Beveiliging is een gedeelde verantwoordelijkheid van Jitterbit en haar klanten. Hoewel Jitterbit robuuste platformbeveiligingsmaatregelen implementeert, zijn klanten verantwoordelijk voor:

  • Gebruikerstoegang en inloggegevens beheren
  • Beveiligingsfuncties configureren binnen hun accounts
  • Het beheren van hun eigen strategieën voor gegevensback-up en -herstel.

Vragen hebben? We zijn hier om te helpen.

Contact