Hoe wij ervoor zorgen dat jouw data veilig is

Volledig gescheiden omgevingen

• Microsoft Azure resource groepen: Voor iedere klant creëren we een aparte resource groep in Azure. Dit zorgt voor een volledig geïsoleerde omgeving waarin jouw gegevens worden beheerd.
• Werkruimtes Power BI: Door het gebruik van aparte werkruimtes binnen Power BI garanderen we dat jouw data compleet gescheiden blijft van andere klanten.
• Aparte SQL Server(s) en database(s): Binnen de geïsoleerde resource groep wordt een aparte Azure SQL Server met database opgezet waar jouw data veilig wordt opgeslagen en getransformeerd.
• Scheiding opslag en presentatie: Door het gebruik van Power BI Embedded zorgen we voor een duidelijke scheiding tussen data-opslag en presentatie, wat de beveiliging verder verbetert.

Toegang

• Interne toegang: Toegang tot resource groepen en werkruimtes is intern beperkt tot medewerkers die specifiek aan jouw project werken. Vanzelfsprekend kunnen TapTarget medewerkers alleen toegang krijgen i.c.m. multifactor authenticatie.
• Centraal wachtwoordbeheer: We hanteren een bedrijfsspecifieke Azure Key Vault in de geïsoleerde resource groep voor het beheer van wachtwoorden, waardoor deze altijd veilig zijn en alleen toegankelijk voor de personen die deze daadwerkelijk nodig hebben.
• Firewall SQL Server: In de firewall brengen we IP restricties aan om toegang tot de gegevens te beperken tot specifieke IP-adressen.

Veilige data integratie

• Azure Data Factory verbinding: We gebruiken Azure Data Factory om veilig verbinding te maken met jouw on-premise data via een Integration Runtime. Mocht je meer willen leren over de integration runtime kan dat hier.
• Uitgaande verbinding: Vanaf klant omgeving hoeft alleen uitgaande poort 1433 open te staan voor een verbinding naar het data warehouse, en dan alleen voor een set van specifieke IP-adressen.
• API IP-restricties: Als klant zijnde kun je een IP-restrictie opleggen om toegang tot een API te beperken tot een IP adres van TapTarget.

Portal

• IP-restricties: Binnen het portal kun je zelf IP-restricties opleggen zodat jouw gebruikers alleen in kunnen loggen vanaf een set aan IP-adressen.
• Standaard twee-factor authenticatie (2FA): Je kunt gebruik maken van je eigen Microsoft Azure AD identity provider, wil je dit niet dan is standaard 2FA een vereiste.
• Dagelijks verplicht inloggen: Gebruikers moeten iedere dag opnieuw inloggen.
• Rol gebaseerde rechten: Verschillende rollen en rechten kunnen door de klant zelf worden beheerd, zodat je de controle houdt over wie toegang heeft tot welke data.

Data privacy

• Geen persoonsgevoelige informatie: Standaard verwerken wij geen gevoelige persoonsgegevens, zoals BSN-nummers.

Continuïteit

• GIT broncodebeheer: Voor het beheren van de broncode gebruiken we GIT, hierdoor wordt de structuur behouden en zijn wijzigingen altijd traceerbaar.
• Point-in-Time restore: Het datawarehouse heeft een 7-daagse point-in-time restore, wat inhoudt dat we het datawarehouse kunnen herstellen naar een willekeurige tijd binnen zeven dagen.
• Soft delete portal: Verwijderde gegevens in het portal kunnen hersteld worden dankzij een soft-delete functie.
• Delete lock op resource groep: Resource groepen zijn beschermd tegen onbedoeld verwijderen dankzij delete locks. Hierdoor is er bij elke verwijdering een vier ogen principe.

Data toegang en prestaties

• Leesrechten: Bij het ophalen van data hebben we slechts leesrechten nodig.
• Nachtelijke refresh: Data wordt standaard ’s nachts opgehaald om de belasting op jouw systemen te minimaliseren.
• Minimale kopie: We halen alleen de gegevens op die nodig zijn, om de impact zo klein mogelijk te houden.
• 1-op-1 kopie: Tijdens het kopiëren wordt de ruwe data zonder transformaties opgehaald waardoor de performance impact op het systeem minimaal is.