Moet u reageren op de toenemende due diligence-regelgeving? Bekijk ons nieuwste e-boek.
Nu bekijken
Nieuw onderzoek van Bain & Company legt verband tussen ESG en financiële prestaties
Nu bekijken

Kwaliteit, veiligheid, privacy en naleving

Het doel van EcoVadis is "om alle bedrijven naar een duurzame wereld te leiden", en de vier kerndoelen van EcoVadis:

  1. Onafhankelijke, betrouwbare en bruikbare duurzaamheidsbeoordelingen en inzichten leveren door uitmuntende methodologie.
  2. Zoveel mogelijk bedrijven in staat stellen hun bedrijfspraktijken voortdurend te verbeteren en bij te dragen tot een regeneratieve en rechtvaardige economie.
  3. Een inclusieve leeromgeving creëren voor onze mensen, zinvol werk leveren en toekomstige generaties van duurzaamheidsbeoefenaars mondiger maken.
  4. Collectieve maatregelen binnen ons ecosysteem bevorderen om de overgang naar een duurzame wereld te versnellen.

EcoVadis heeft een kwaliteitsmanagementsysteem (QMS) ontwikkeld dat voldoet aan de ISO 9001-certificering. We streven actief naar betere kwaliteit door middel van een procesmanagementsysteem dat elke medewerker in staat stelt zijn werk gelijk goed te doen en in het vervolg weer in een veilige en stimulerende werkomgeving. Het wordt ondersteund door ons op maat gemaakte en zelf ontwikkelde IT-platform dat medewerkers door het hele proces begeleidt. We zetten ons voortdurend in om de processen continu te verbeteren door ons te laten adviseren door gespecialiseerde instanties zoals onze methodologiecommissie.

  • Trainingsprogramma's voor medewerkers
    • Q&IS-trainingsprogramma's voor alle nieuwe medewerkers tijdens de onboardingperiode met quizzen en vereiste minimumscores om de doeltreffendheid te controleren, plus verplichte jaarlijkse bijscholing voor alle medewerkers, gevolgd door quizzen.
  • Corrigerende en preventieve maatregelen
    • Continue verbetering met de identificatie van verbeterpunten om afwijkingen te elimineren of herhaling te voorkomen. Een voorbeeld hiervan is het gebruik van de Quality tool voor het opsporen van non-conformiteiten en het geven van feedback via het evaluatieproces.
  • Incidentbeheerproces
    • Klachten van klanten en leveranciers en interne problemen worden gemeld, geregistreerd en beheerd via een Incident Management Platform. Alle incidenten worden regelmatig door de betrokken partijen bekeken en binnen een bepaalde termijn opgelost.
  • Interne audit
    • Het interne auditprogramma wordt over een periode van 3 jaar uitgevoerd, waarbij tweemaal per jaar informatiebeveiligingsaudits worden uitgevoerd en alle interne processen minimaal eenmaal per jaar een kwaliteitsaudit ondergaan. De auditresultaten worden geëvalueerd en besproken tijdens onze halfjaarlijkse Management Review.

EcoVadis levert holistische duurzaamheidsbeoordelingen van bedrijven, geleverd via een wereldwijd cloud-gebaseerd SaaS-platform gehost in Microsoft Azure - een van de meest vertrouwde cloud hosting providers.

We verbinden ons ertoe het hoogste niveau van informatiebeveiliging te bieden en voortdurend te verbeteren om de gegevens van alle belanghebbenden te beschermen in een veranderend landschap van bedreigingen voor de informatiebeveiliging. Daarom heeft EcoVadis een Information Security Management System (ISMS) opgezet dat regelmatig door onafhankelijke derden wordt gecontroleerd op naleving van ISO/IEC 27001 (raadpleeg het certificaat en verklaring van toepasselijkheid).

Ons ISMS stelt ons in staat de informatiebeveiliging in onze bedrijfsprocessen en -diensten systematisch te beheren en te handhaven en de nodige beveiligingsmaatregelen te bepalen en toe te passen op basis van onze risicobeoordeling.

Ons informatiebeveiligingsbeleid wordt regelmatig herzien en bijgewerkt om te bevestigen dat de inhoud actueel en accuraat blijft en nog steeds overeenstemt met de nalevingseisen en de beste praktijken in de sector die op ons van toepassing zijn.

We hebben een toegewijd, intern team dat verantwoordelijk is voor het ontwikkelen, onderhouden en bewaken van informatiebeveiliging. Binnen onze organisatie worden wereldwijd prioriteiten gesteld om te zorgen voor één samenhangende visie op de bescherming van onze activa.

Bij EcoVadis beseffen we dat het verhogen van het bewustzijn met betrekking tot bedreigingen voor de informatiebeveiliging een continu proces is. Onze werknemers worden regelmatig getraind in de beste praktijken op het gebied van IT en informatiebeveiliging en in overeenstemming met de IT-beveiligingsnormen van EcoVadis, en in de manier waarop IT-systemen op een veilige manier moeten worden gebruikt.

We houden een nauwkeurige en actuele inventaris bij van de activa die verband houden met de geleverde dienst en delen informatie in op basis van wettelijke vereisten, waarde, kritisch karakter en gevoeligheid voor ongeoorloofde openbaarmaking of wijziging.

Azure is een multi-tenant dienst, er is een logische afscheiding van kracht die gegevens tussen klanten isoleert.

Toegangsrechten en privileges tot informatiesystemen en netwerkdomeinen van EcoVadis moeten worden toegewezen op basis van de specifieke vereisten van de functie van een gebruiker (RBAC), wij volgen de principes van need-to-know en least privilege.

Onze klanten beheren hun toegang onafhankelijk: de beheerder van het klantenplatform kan naar behoefte gebruikers aanmaken en deactiveren. Het platform is toegankelijk met gebruikersnaam en wachtwoord. We bieden ook een Single Sign-on (SSO) verificatiemogelijkheid voor bedrijven die hierom vragen. U kunt contact opnemen met uw gebruikelijke commerciële contactpersoon voor meer informatie.

Gegevens worden gecodeerd (in rust en in transit) met behulp van door de industrie goedgekeurde coderingsalgoritmen en -methoden. We volgen de beste praktijken in de sector om geheimen in onze omgeving veilig op te slaan en te beheren.

 

Onze platforms worden gehost in Microsoft Azure datacenters in de EU. Volgens een model van gedeelde verantwoordelijkheid in de cloud, fysieke beveiligingscontroles vallen onder de verplichting van Microsoft. Meer informatie over de controles kunnen hier gevonden worden.

We zorgen ervoor dat veranderingen in de organisatie, bedrijfsprocessen, informatieverwerkingsfaciliteiten en systemen die van invloed zijn op de informatiebeveiliging worden gecontroleerd. We hebben bewakings- en detectietechnologie en -processen geïmplementeerd om kwetsbaarheden voor malware of andere veiligheidsrelevante incidenten binnen onze infrastructuur te identificeren, te voorkomen en te beheren. De beste security hardening-praktijken worden gevolgd, zoals CIS (Center for Internet Security) voor besturingssystemen en Microsoft Azure hardening guides voor clouddiensten.

De netwerktoegang tot interne services en servers is beperkt en beveiligd. We hebben een firewall voor webtoepassingen ingesteld (bekijk gegevens hier) en gebruiken Azure Front Door – een moderne cloud content delivery network (CDN)-dienst die hoge prestaties, schaalbaarheid en veilige gebruikerservaringen levert.

We maken gebruik van in de sector geldende normen om veiligheid in te bouwen voor onze systemen/softwareontwikkelingscyclus (SDLC). Het is gewaarborgd dat nieuwe ontwikkelingen deugdelijke test- en validatieprocessen ondergaan voordat ze live gaan. Ontwikkelings-, test- en operationele omgevingen zijn gescheiden.

We hebben informatiebeveiligingsvereisten opgesteld voor leveranciers die toegang hebben tot de informatie van de organisatie, deze verwerken, opslaan, communiceren of IT-infrastructuurcomponenten leveren. We voeren ook risicobeoordelingen uit op het gebied van cyberbeveiliging en gegevensbeveiliging van leveranciers met toegang tot ons netwerk, gegevens of andere gevoelige informatie.

We werken voortdurend aan het leveren van zeer veilige diensten aan onze klanten, maar incidenten zijn een onvermijdelijke realiteit die zorgvuldig moet worden beheerd. Bij EcoVadis worden passende maatregelen genomen om te zorgen voor een consistente en effectieve aanpak van het beheer van informatiebeveiligingsincidenten. Ons proces voor het beheer van beveiligingsincidenten omvat, maar is niet beperkt tot: kennisgeving aan de klant, het bijhouden van schriftelijke procedures die moeten worden gevolgd in geval van een beveiligingsincident en het leveren van alle redelijke inspanningen om de gevolgen ervan te beperken.

We verbinden ons ertoe ervoor te zorgen dat de informatieverwerkingsfaciliteiten worden uitgevoerd met voldoende redundantie om aan de beschikbaarheidseisen te voldoen (zie de uptime-rapportage van ons platform waar de prestaties, beschikbaarheid en werkelijke gebruikerservaring van de dienstverlening voortdurend worden gecontroleerd).

Back-ups worden regelmatig uitgevoerd en getest in overeenstemming met het vastgestelde back-upbeleid.

Om ons een vollediger beeld te geven van de naleving van onze informatiebeveiliging, voeren wij verschillende soorten audits en technische beoordelingen uit:

– Beoordelingen van infrastructuur

– Beoordelingen van code (SAST: Static Application Security Testing, SCA: Software Composition Analysis)

– penetratietests van webtoepassingen (deze worden ten minste eenmaal per jaar uitgevoerd door een extern bedrijf)

– Beheer van de externe positie

– Interne risicobeoordelingen

– Audits voor ISO 27001 certificering

 

We hebben verschillende standaard vragenlijsten ingevuld. De resultaten kunnen op aanvraag worden gedeeld

  • Cybervadis
  • CyberGRX
  • SecurityScorecard:

  • Whistic

Microsoft Azure certificaten zijn beschikbaar in de Service Trust Portal.

Kennisgeving vereist door licentiegevers van open source bibliotheken of componenten met betrekking tot een van de toepasselijke diensten. Soms bevat de EcoVadis-oplossing open source bibliotheken, of is daarvan afhankelijk. Om te voldoen aan de licentievereisten van open source bibliotheken en het morele recht van de licentiehouder, vindt u hieronder een lijst van open source software die wordt gebruikt om onze producten te bouwen - u wordt erop gewezen dat alle informatie hier "as is" wordt verstrekt en onderhevig kan zijn aan een wijziging door de licentiehouder:

 

Naam component/projectLicentie
ActiveUp.NetLGPL 2.1 *
AjaxControlToolkitBSD 3
BootstrapMIT
ClosedXMLMIT
DocumentFormat.OpenXmlMIT
Editor_pluginLGPL 2.0 *
EPPlusLGPL 2.1 *
HighchartsCC BY NC 3.0
ICSharpCodeMIT
IonicZlib
jQuery.dataTablesMIT
jQuery.easingMIT
jQuery.easyMIT
jQuery.formMIT
jQuery.linqMIT
jQuery.multiselectMIT
jQuery.perfect-scrollbar-with-mousewheelMIT
jQuery.scrollToMIT
jQuery.slimMIT
jQuery.tipTipMIT
jQuery.validate.unobtrusiveApache 2.0
jQuery.validateMIT
jQueryMIT
KnockoutMIT
LINQMicrosoft Public
ModernizrMIT
NewtonsoftMIT
PayPal .NET SDKSDK LICENTIE
NinjectApache 2.0
NLogBSD 3
NPOIApache 2.0
PrototypeMIT
wkhtmltoimageLGPL 3.0 *
wkhtmltopdfLGPL 3.0 *
wkhtmltoxLGPL 3.0 *

* De applicatie is dynamisch gekoppeld aan de LGPL-licentie, waardoor de eigen code eigendom kan blijven.

EcoVadis is van mening dat de AVG een belangrijke stap is om de gegevensbescherming van de persoonsgegevens van EU-burgers te versterken en te harmoniseren. Als gegevensbeheerder voor de geleverde beoordelingdiensten verbindt Ecovadis zich ertoe de AVG en, voor zover van toepassing, de internationale regelgeving inzake gegevensbescherming na te leven en de beste praktijken in te voeren.

Ecovadis maakt gebruik van de ISO 27001-norm, waarvoor we gecertificeerd zijn, als framework en integreert aspecten van de bescherming van persoonsgegevens in het managementsysteem. We gebruiken het ISO 27701-framework om te voldoen aan de vereisten van de AVG. Onze praktijken inzake gegevensbescherming en de naleving ervan worden bevestigd door een audit van een derde partij.

Voor de gegevensverwerking buiten de EU hebben wij met onze dochterondernemingen modelcontractbepalingen opgesteld.

We selecteren onze dienstverleners (verwerkers) altijd zorgvuldig en we verplichten verwerkers gegevensbeschermingsovereenkomsten en modelcontractbepalingen of bindende bedrijfsvoorschriften aan te gaan in geval van verwerking buiten de EER-regio om voor ons te kunnen werken. We streven er altijd naar om abonnementen met dienstverleners te kiezen om gegevens te laten hosten op servers in Europa. We gebruiken de volgende gegevensverwerkers om onze dienst te verlenen:

 

Juridische entiteitAdresDoelAanvullende informatie over beveiliging
ZenDesk1019 Market Street,
San Francisco, CA 94103 VS		Help Centerhttps://www.zendesk.com/product/zendesk-security/
SFDC2 Henry Adams St,
San Francisco, CA 94103 VS		CRM en klantenservicehttps://trust.salesforce.com/
Microsoft AzureMicrosoft Campus,
Redmond, WA 98052 VS		Hosting van het platform voor duurzaamheidsbeoordelinghttps://azure.microsoft.com/en-us/overview/trusted-cloud/
Google1600 Amphitheatre Parkway
Mountain View, CA 94043 VS		Communicatie met de klanthttps://cloud.google.com/security/
Selligent20 Place des Vins de France,75012 Parijs FRANKRIJKCommunicatie met de klanthttps://www.selligent.com/general-data-protection-regulation
DoceboLimited
6th floor, 48
Gracechurch
Street, Londen –
VK		E-learningplatformhttps://www.docebo.com/company/compliance-security/
Pendo150 Fayetteville St
#140027601
Raleigh NC, VS		Platformanalysehttps://www.pendo.io/data-privacy-security/
Productboard612 Howard
streetCA 94105
San Francisco CA,
VS		Productbeheerhttps://www.productboard.com/product/security/
Aircall11 Rue Saint
Georges, 75009
Parijs, FRANKRIJK		Gespreksopnamehttps://aircall.io/security/

 

We vertrouwen op de aanbevelingen over aanvullende maatregelen van de Franse gegevensbeschermingsautoriteit CNIL en het Europees Comité voor gegevensbescherming met betrekking tot de mogelijkheden om gegevens naar de Verenigde Staten over te dragen op basis van SCC's (of BCR).

Meer informatie vindt u in onze verklaring inzake gegevensbescherming

EcoVadis verbindt zich ertoe alle toepasselijke wetten en voorschriften na te leven die van toepassing zijn op een exploitant van online diensten voor algemene doeleinden, met inbegrip van, maar niet beperkt tot, de wetten van Frankrijk en de Verenigde Staten van Amerika, wat betreft haar eigen exploitatielocaties voor de diensten.

Beperkingen ten aanzien van bestemmingen

Rekening houdend met de algemene bedrijfsrisico's zijn de producten en diensten van Ecovadis niet beschikbaar voor export, herexport, overdracht en/of gebruik in de volgende landen/regio's (onder voorbehoud van wijziging zonder voorafgaande kennisgeving):

  • de regio's Krim, Donetsk en Luhansk
  • Cuba
  • Iran
  • Noord-Korea
  • Syrië

Bovendien zijn transacties met of in verband met bepaalde bestemmingen die een verhoogd risico op exportcontrole of sancties met zich meebrengen, onderworpen aan verscherpte zorgvuldigheidseisen.

Beperkingen ten aanzien van eindgebruikers

De producten en diensten van EcoVadis zijn niet beschikbaar voor entiteiten en personen met wie transacties verboden zijn volgens de toepasselijke exportcontrole- en sanctiewetgeving, met inbegrip van de entiteiten en personen die op de toepasselijke lijsten van gesanctioneerde partijen staan (bijv. de sanctielijst van de Europese Unie, SDN-lijsten (Specially Designated Nationals) van de VS, OFAC, sancties van de Veiligheidsraad van de Verenigde Naties, lokale lijsten waar EcoVadis aanwezig is).

Beperkingen ten aanzien van eindgebruik

De diensten van EcoVadis mogen niet worden gebruikt voor doeleinden die door de toepasselijke exportwetten verboden zijn, met inbegrip van, maar niet beperkt tot, de ontwikkeling, het ontwerp, de fabricage of productie van nucleaire, chemische of biologische massavernietigingswapens.

Deze webpagina is uitsluitend bedoeld voor informatieve doeleinden en bevat geen juridisch advies.

Bekijk het uptime-report van ons platform

Heeft u nog vragen? Neem contact met ons op!

Als u vragen heeft met betrekking tot informatiebeveiliging bij EcoVadis - neem dan contact op met uw contactpersoon of bezoek ons Help Center: support.ecovadis.com.