Heb je een bedrijfs-WISP die je volgt?

Yellowfin onderhoudt een bijgewerkte bedrijfs-WISP (die de veilige werking van het bedrijf definieert) en andere SOP-documenten die het personeel moet volgen.

Welke externe accreditaties heeft het bedrijf?

Yellowfin heeft het volgende

• UK Cyber Essentials 2018 (vereist om digitale diensten te verkopen aan de Britse overheid)
• UK Cyber Essentials 2019
• UK Cyber Essentials 2020
• Bereikt SOC2 Type 2 in 2021

Heeft uw bedrijf een of meer personen aangewezen om het informatiebeveiligingsprogramma uit te voeren en te beheren (bijv. hoofd informatiebeveiliging, directeur/manager, andere)?

Bedrijfsbeveiliging valt onder de verantwoordelijkheid van het kantoor van de COO. Het operationeel team beheert alle beveiligingskwesties van de organisatie.

Heeft Yellowfin richtlijnen voor het harden van de beveiliging van computer- en netwerkinfrastructuurapparaten?

Het WISP van Yellowfin en andere interne documenten definiëren de aanpak om het ecosysteem te harden tegen invloed van buitenaf of ongeautoriseerde toegang. Yellowfin heeft een ISO-functionaris die functioneert om regelmatig externe grenzen te testen en kwetsbaarheidstests uit te voeren op netwerkcomponenten en alle endpoints. De ISO-functionaris gebruikt scantools die in de branche gebruikelijk zijn om problemen te ontdekken en deze op te lossen of te beperken.

Heeft Yellowfin firewalls om de bedrijfsgrenzen te beschermen?

Yellowfin beschermt alle bedrijfsgrenzen met Cisco 5515-X of 5545-X firewalls; Yellowfin gebruikt ook interne Cisco 5515-X firewalls op interne grenzen om bedrijfsgeheimen en IP te beschermen.

Heeft Yellowfin endpointbeveiliging?

Yellowfin beschermt alle eindpunten en serviceplatforms met Bitdefender Cloud Protection. Deze technologie wordt geïnstalleerd als client op Windows, Linux en Apple; het wordt gecontroleerd en bewaakt door het cloudportaal. Bitdefender Cloud biedt elke client een lokale firewall, antivirus, antimalware, anticrypto, web/e-mailbescherming en bestandsbescherming.

Heeft Yellowfin een wachtwoordbeleid?

Yellowfin gebruikt wachtwoorden met een hoge entropie op alle servers en externe serviceplatforms. Hoge entropie betekent 20 tekens of meer. Onze standaard is 32 tekens.
De SOP voor interne medewerkers definieert het wachtwoordbeleid en de frequentie waarmee wachtwoorden gerecycled moeten worden.

Heeft Yellowfin een beleid voor gebruikerstoegang voor creatie en goedkeuring?

Yellowfin gebruikt OKTA SSO technologie om een enkel toegangspunt te bieden voor alle bedrijfsapplicaties. Personeel heeft een enkele login en alle toegewezen web-toegankelijke applicaties zijn beschikbaar via het OKTA-portaal. Wanneer het personeel aan boord komt, worden hun toegangsplatforms toegewezen en wanneer het personeel van boord gaat, worden hun platformen ingetrokken.
Voor GUI-apps en apparatuur waarvoor credentials nodig zijn, worden deze uitgegeven en ingetrokken door het Operations-team.

Wie is verantwoordelijk voor het verlenen van toegang tot IT-systeembronnen?

Het Operations-team, dat werkt onder het kantoor van de COO, is verantwoordelijk voor de toegang tot IT-systemen.

Voldoet Yellowfin aan standaarden als HiPPA, PCI en beschermt het alle PII/KYC-gegevens van klanten?

• Yellowfin is een pure softwareleverancier en host geen gegevens van klanten. ISO-medewerkers van de klant zijn verantwoordelijk voor de veilige hosting en het beheer van de Yellowfin-software.
• Yellowfin host geen HiPPA-gegevens en heeft er ook geen toegang toe.
• Yellowfin host geen creditcardgegevens en heeft hier ook geen toegang toe.
• Yellowfin host geen klantgegevens en heeft dus geen PII of KYC gegevens.
• Yellowfin heeft geen toegang tot klantgegevens voor ondersteunende activiteiten.

Is Yellowfin GDPR-compliant?

Yellowfin slaat alleen klant- en leadinformatie op die aan Yellowfin is verstrekt door die belanghebbenden. Yellowfin slaat geen informatie op die gevoelig is voor PII zoals DOB. Alle GDPR in aanmerking komende informatie wordt verstrekt door de lead contactpersonen of de account contactpersonen en is informatie van openbaar niveau. Yellowfin zal de informatie van een persoon op verzoek verwijderen uit alle actieve systemen in overeenstemming met de GDPR-regels en zal alleen de minimale informatie bewaren om de integriteit van onze boekhouding en facturering systemen te handhaven.
Yellowfin is ook een aangemeld lid van US Privacy Shield.

Beschrijf uw processen en plannen voor noodherstel en/of bedrijfscontinuïteit. Vermeld ook hoe lang deze al bestaan binnen uw bedrijf en geef een kopie van uw meest recente testoefening.

Yellowfin heeft een gedocumenteerd DRR-, pandemie- en continuïteitsplan; de documenten zijn geschreven om flexibel te zijn voor elk mogelijk scenario dat van invloed is op de normale bedrijfsvoering.
De meest recente test van het plan zou de COVID-19-crisis zijn; waardoor burgers op hun plaats of thuis moesten schuilen. Yellowfin voerde het plan uit en stelde WFH-praktijken vast om een transparante overgang van WIO naar WFH mogelijk te maken zonder verlies van productiviteit. Yellowfin’s gevestigde infrastructuur en beveiliging maakte deze naadloze overgang mogelijk.

Heeft Yellowfin een beleid of richtlijnen voor externe toegang van derden?

We geven derden geen toegang tot productiesystemen; intern personeel beheert alle productie- en ontwikkelingszaken

Moeten Yellowfin’s werknemers geheimhoudingsverklaringen ondertekenen?

Alle medewerkers bij indiensttreding zijn verplicht om een NDA te ondertekenen die onbeperkte en intellectuele eigendomsrechten beschermt. Dit beschermt Yellowfin en haar klanten; Met betrekking tot klanten voorkomt het dat het personeelslid vertrouwelijke informatie vrijgeeft die zij kunnen verkrijgen tijdens hun werkzaamheden als vertegenwoordiger van Yellowfin in samenwerking met klanten.

Zijn Yellowfin werknemers onderworpen aan strafrechtelijke controles en referentiechecks?

Yellowfin voert geen strafrechtelijke controles uit op werknemers; Yellowfin voert geen veiligheidsonderzoeken uit op werknemers. Werknemers worden onderworpen aan referentiechecks bij de beoordeling van tewerkstelling en ondertekenen NDA en andere bedrijfsovereenkomsten voor de bescherming van bedrijfsgeheimen, IP en klantinformatie.

Heeft Yellowfin een ethische code?

Yellowfin heeft een bedrijfsbrede ethische code beschikbaar voor alle medewerkers. Dit omvat alle normen van eerlijkheid en fair play in het werken met klanten.
Het document kan ter inzage worden gegeven bij ondertekening van een NDA.

Voldoet Yellowfin-software aan alle toepasselijke Amerikaanse federale en staatsvereisten en voorschriften?

De Yellowfin-applicatie heeft robuuste beveiligingscontroles en een granulaire toestemmingsregeling om aan alle eisen of voorschriften te voldoen. Als bedrijf voldoen we aan alle relevante voorschriften.

Maakt Yellowfin gebruik van industrie-standaard back-up methoden?

Yellowfin maakt 3.2.1 back-ups van kernsystemen, gegevens en informatie. Yellowfin offsites back-ups naar AZURE en AWS cloud dagelijks, het verminderen van PIT verliezen.
Back-ups zijn versleuteld voor de veiligheid over openbare kabel.

Hebt u controlemechanismen om cyberstoringen van uw netwerken te voorkomen en uiteindelijk uw vermogen om gecontracteerde producten of diensten te leveren (bedrijfscontinuïteit)?

Yellowfin heeft een gediversifieerde set van IT-mogelijkheden over, AWS, Involta DC, HQ en regionale kantoren. Dit zorgt voor een hoge mate van flexibiliteit en ingebouwde redundantie. Yellowfin beschermt alle eindpunten met Bitdefender cloud endpoint protection. Yellowfin beschermt alle buitengrenzen met Cisco 55X5-X Firewalls. Yellowfin beschermt binnen IP activa met Cisco 55X5-X Firewalls. Yellowfin maakt 3.2.1 back-ups van de belangrijkste activa. Yellowfin heeft een toegewijde beveiligingsmedewerker in dienst die regelmatig interne en externe interfaces scant op kwetsbaarheden en de oplossing ervan beheert.

Gebruikt Yellowfin open source software onder de dekmantel en welke stappen worden er genomen om ervoor te zorgen dat de open source geen veiligheidslekken creëert?

Yellowfin gebruikt een aantal open-source bibliotheken binnen de Yellowfin codebase. Yellowfin gebruikt alleen open-source bibliotheken die vrij zijn van CopyLeft of Proprietary licenties. Yellowfin maakt gebruik van industriële tools zoals SonarCube en SonaType om de Yellowfin code base te scannen op beveiligingsproblemen, bugs en problemen, open-source kwetsbaarheden, open source bugs. Yellowfin heeft een toegewijde IS. consultant in dienst die full-time werkt aan de detectie en correctie van de veiligheid van de Yellowfin code. Dit omvat ook het beheer van open source licenties om naleving te waarborgen.

Welke sleutelgrootte gebruikt Yellowfin voor cryptografieprocessen?

Yellowfin kiest een beschikbaar algoritme afhankelijk van de ondersteuning van de JVM. Het zal deze in volgorde proberen: AES, 3DES, BlowFish, DES. Yellowfin gebruikt de standaard sleutelgrootte voor het gekozen algoritme.

Hoe slaat Yellowfin product wachtwoorden op?

Yellowfin gebruikt het bCrypt-algoritme om het wachtwoord in platte tekst te hashen en de hash op te slaan in de controledatabase; Yellowfin gebruikt ook CRC en andere anti-tampermechanismen om ervoor te zorgen dat het hash-wachtwoord niet kan worden gewijzigd of vervangen.

Wordt TLS standaard gebruikt voor communicatie tussen de bron en de bestemming?

Ja. Yellowfin’s interne Tomcat-instantie ondersteunt TLS 1.2.

Heeft Yellowfin een SOC2-beoordeling?

De SOC-rapporten (Service Organization Controls) van het American Institute of Certified Public Accountants (AICPA) geven zekerheid over controleomgevingen met betrekking tot het ophalen, opslaan, verwerken en overdragen van gegevens. De rapporten hebben betrekking op algemene IT-controles en controles op de beschikbaarheid, vertrouwelijkheid en beveiliging van klantgegevens.

Yellowfin heeft een succesvolle SOC2 type 2 beoordeling afgerond. Het rapport is beschikbaar op aanvraag bij het Yellowfin Sales team op voorwaarde van een ondertekende NDA.