Security & Availability Policy Blue10

Deze Security & Availability Policy is voor het laatst aangepast op 24 juli 2018.

Veiligheid is het bestaansrecht van Blue10 en staat hierom als hoogst op de agenda. Blue10 heeft beveiligingsmaatregelen getroffen om zo veiligheid te kunnen beheersen. Daarnaast monitort Blue10 constant haar processen om er zo alles aan te doen om ten allen tijden haar Blue10 dienst beschikbaar te laten zijn voor haar klanten.

Product
Blue10 is een Cloud oplossing voor het digitaal verwerken van boekingsdocumenten, zoals inkoopfacturen, verkoopfacturen, bonnetjes, etc. Verder te noemen: de Blue10 dienst. Klanten kunnen online inloggen in hun eigen Blue10 omgeving waarna ze via de Blue10 dienst eenvoudig facturen kunnen boeken in het boekhoudsysteem. De Blue10 dienst kan afgenomen worden in drie varianten: Blue10 – Scan & Herken, Blue10 – MKB en Blue10 – Enterprise. Wanneer de klant gebruik maakt van Blue10 – MKB of Blue10 – Enterprise heeft de klant de beschikking over een online goedkeurflow, waarmee facturen door één of meer medewerkers digitaal gecontroleerd en geaccordeerd kunnen worden. Wanneer een factuur het gehele proces in de Blue10 dienst heeft doorlopen, is deze altijd en overal beschikbaar in het digitale archief.

Integratie boekhoudsysteem

Online boekhoudsysteem
Vanuit Blue10 omgeving wordt een directe koppeling gemaakt naar het boekhoudsysteem. Hierbij steunt Blue10 op de veilige methodes die het online boekhoudsysteem biedt.

Lokaal boekhoudsysteem
In combinatie met een lokaal boekhoudsysteem wordt er een cloudconnector geïnstalleerd op de server van de klant. De communicatie tussen cloudconnector en backend vindt altijd plaats via HTTPS (TLS1.0 en hoger). De cloudconnector maakt alleen een uitgaande verbinding met Blue10 en vereist daarom geen openstaande poorten in de firewall van de klant. De cloudconnector maakt gebruik van een auto-update service om de cloudconnector up-to-date te houden.

Verwerkte data
Tussen Blue10 en het boeksysteem vind een set aan vooraf gedefinieerde taken plaats. Taken die Blue10 uit kan voeren richting het boekhoudsysteem zijn bijvoorbeeld: het boeken van facturen, het blokkeren en deblokkeren van facturen voor betaling en het ophalen van stamgegevens. Stamgegevens zijn o.a.: leveranciersnamen, leveranciersnummers, BTW-nummers en IBAN-nummers. Deze gegevens worden door de Blue10 dienst gebruikt om een leverancier van een factuur te herkennen en de factuur in de Blue10 dienst op deze leverancier vast te leggen. Andere stamgegevens die uitgewisseld worden, zijn stamgegevens die nodig zijn om een factuur te boeken in het boekhoudsysteem. Dit betreft o.a.: betaalcondities, grootboekrekeningen en BTW-codes.

Op het moment dat een factuur geboekt is in het boekhoudsysteem, wordt het boekstuknummer, een vervaldatum, de geboekte factuurregels en uiteindelijk de betaaldatum overgehaald naar de Blue10 dienst.

Datacenter en hosting
Blue10 host haar cloud oplossing op de public cloud van Microsoft, Azure, waarbij Blue10 zoveel mogelijk gebruik maken van de PaaS (Platform as a Service) diensten van Azure. Hierbij wordt de beveiliging op infrastructuurniveau geregeld door Azure, waardoor de kans op configuratiefouten en andere beveiligingsrisico’s sterk verkleind wordt. De Azure locatie waarop Blue10 is gehost is West-Europa (Amsterdam). Zie voor meer informatie over de beveiligingsmaatregelen van Microsoft Azure: https://www.microsoft.com/en-us/trustcenter/cloudservices/azure.

Back-up
Alle databases draaien op het SQL Azure platform. Dit platform biedt ingebouwde redundantie, back up en restore mogelijkheden. Deze backups worden ieder kwartier gemaakt en worden 35 dagen bewaard.

Voor opslag van bestanden wordt gebruik gemaakt van Azure Blob Storage. Deze dienst biedt onbeperkte schaalbaarheid en ingebouwde redundantie. De Blob wordt dagelijks geback-upt naar een ander storage account.

Gebruikersbeheer
Blue10 biedt meerdere authenticatiemethodes aan gebruikers voor het inloggen in de Blue10 dienst. Standaard kan gebruik gemaakt worden van een combinatie van gebruikersnaam en wachtwoord. Dit wachtwoord dient minimaal 8 tekens te bevatten. Na tien mislukte logins wordt het account geblokkeerd. Wachtwoorden worden veilig, onomkeerbaar gehashed en opgeslagen.

Blue10 ondersteunt ook Single Sign-on (SSO) via Google, Microsoft account, Azure AD en Exact Online.

Blue10 heeft door het ter beschikking stellen van bovenstaande authenticatiemogelijkheden alle stappen genomen die binnen haar macht liggen om ongeautoriseerde toegang tot de Blue10 dienst te voorkomen. De daadwerkelijke toegang van gebruikers tot de omgeving van de klant wordt beheerd door de klant zelf. De klant is zelf verantwoordelijk voor het beheren van haar eigen (gebruikers-)accounts, zoals het aanmaken van nieuwe medewerkers, het verwijderen van oud-medewerkers en het wijzigen van toegang, gebruikersrollen of andere gebruikersinstellingen binnen de Blue10 dienst.

Monitoren van key processen
De volgende key processen binnen de Blue10 dienst worden continu gemonitord:

  • Beschikbaarheid infrastructuur
  • Gemiddelde reactietijd website
  • Reactietijd van een login-request
  • Doorlooptijd per pagina van binnenkomst tot conversie;
  • Doorlooptijd van het OCR proces per pagina
  • Reactietijden tussen de Blue10 dienst en de verschillende boekhoudsystemen

Continuïteitsbewaking
Voor de beheersing van calamiteiten heeft Blue10 een continuïteitsplan opgesteld, aan de hand waarvan gehandeld kan worden om het getroffen bedrijfsproces weer zo snel als mogelijk up-and-running te krijgen.