Lees het interview van CEO Tijmen de Gelder met Funda over het inzetten van woningdata
Sluiten X

Security statement

 

 

Beveiliging bij Altum AI

Bij Altum AI staat de beveiliging van onze systemen, data en die van onze klanten voorop. Wij zetten ons in om onze infrastructuur te beschermen door middel van robuuste beveiligingsmaatregelen en zorgen voor naleving van industriestandaarden en regelgeving, met name voor onze klanten in sectoren zoals banken en verzekeringen, waar beveiliging en gegevensprivacy essentieel zijn.

Uitgebreide beveiligingsaanpak

Onze beveiligingspraktijken zijn ontworpen om te voldoen aan de vereisten van verschillende regelgevingen, waaronder de Digital Operational Resilience Act (DORA), de Algemene Verordening Gegevensbescherming (AVG), de Wet Financieel Toezicht (Wft), NIS2, en de EBA Guidelines on Outsourcing Arrangements. We zijn momenteel bezig met het behalen van ISO 27001-certificering, met een verwachte voltooiingsdatum in Q2 2025. Deze certificering helpt ons te voldoen aan verschillende Europese regelgevingen en toont onze inzet voor de beste beveiligingspraktijken.

Gegevensbeveiliging en cloudinfrastructuur

Onze gehele infrastructuur wordt gehost op Azure, Google Cloud Platform (GCP) en Amazon Web Services (AWS), waarbij we gebruik maken van hun geavanceerde beveiligingsmaatregelen om onze systemen en gegevens te beschermen. Deze cloudproviders bieden aanzienlijke beveiligingsfuncties, zoals versleuteling van gegevens in rust en tijdens transport, firewalls, inbraakdetectiesystemen, en naleving van belangrijke industriestandaarden zoals ISO 27001 en ISO 27018.

Alle gegevens die via onze REST API's worden verzonden, zijn versleuteld met HTTPS, en we houden ons strikt aan het principe van minimaal noodzakelijke toegang door middel van AWS Identity and Access Management (IAM). Elke klant ontvangt unieke toegangsinformatie en we gebruiken role-based access control (RBAC) om interne rechten te beheren. Onze authenticatieprocedures omvatten multi-factor authenticatie (MFA) voor alle gebruikers, waardoor meerdere lagen van verificatie de toegang tot onze systemen beveiligen.

Ons Authenticatie- en Autorisatiebeleid beschrijft onze aanpak van toegangsbeheer, inclusief strikte wachtwoordbeleid, levenscyclusbeheer van gebruikersreferenties, beveiliging van API-sleutels en regelmatige audits. Gebruikersreferenties worden beschermd door sterke wachtwoorden, gehashte en gezouten opslag, en regelmatige rotatie. API-sleutels worden uitgegeven voor klantapplicaties, gemonitord op anomalieën en regelmatig geroteerd om de veiligheid te waarborgen.

 

Incidentbeheer en respons

We hanteren een proactieve benadering van incidentbeheer zoals beschreven in onze Service Level Agreement (SLA). We garanderen een reactietijd van 30 minuten voor urgente kwesties en streven naar herstel binnen 4 uur voor incidenten die de beschikbaarheid van de dienstverlening beïnvloeden. Onze incidentresponsworkflow omvat identificatie, insluiting, verwijdering en herstel, met duidelijke communicatieprotocollen om getroffen partijen te informeren zoals wettelijk vereist.

 

Onze incidentbeheerpraktijken omvatten ook doorlopende training voor alle medewerkers om beveiligingsproblemen te herkennen en te melden. Regelmatige interne en externe audits worden uitgevoerd om onze beveiligingsmaatregelen te beoordelen, en klanten worden aangemoedigd hun eigen audits uit te voeren voor extra transparantie.

Continu monitoring en bedreigingsdetectie

We gebruiken AWS CloudTrail om alle activiteiten met betrekking tot klanttoegang te loggen en te monitoren, waardoor transparantie en verantwoording worden gewaarborgd. Daarnaast zijn we van plan om Security Information and Event Management (SIEM)-oplossingen te implementeren, zoals Azure Sentinel of AWS Security Hub, om realtime inzicht te bieden in mogelijke bedreigingen. Deze systemen helpen ons beveiligingsgebeurtenissen in onze cloudinfrastructuur te detecteren, analyseren en erop te reageren.

Beveiligingsbewustzijn van medewerkers

Beveiligingsbewustzijn is een belangrijk onderdeel van onze cultuur bij Altum AI. We organiseren interne trainingssessies over onderwerpen zoals phishingpreventie, veilig gegevensbeheer en interne beveiligingsprotocollen. Deze sessies worden jaarlijks gehouden en aangevuld met doorlopende bewustwordingsprogramma's om ervoor te zorgen dat ons team op de hoogte blijft van de nieuwste beveiligingspraktijken en bedreigingen. Alle medewerkers zijn gebonden aan strikte geheimhoudingsverklaringen en krijgen begeleiding over het belang van het beschermen van gevoelige gegevens.

 

Vertrouwen en transparantie richting klanten

Wij geloven in het handhaven van een hoog niveau van transparantie richting onze klanten. We geven gedetailleerde antwoorden op due diligence vragenlijsten en moedigen onze klanten aan hun eigen audits van onze systemen uit te voeren. Ons Authenticatie- en Autorisatiebeleid en andere relevante documenten worden regelmatig herzien en bijgewerkt om te zorgen voor afstemming met de veranderende regelgeving.

Voor klanten in gereguleerde sectoren voldoen we ook aan de eisen voor Business Continuity en Disaster Recovery (BCDR). Door gebruik te maken van de infrastructuur van AWS, houden we gegevensredundantie aan in meerdere beschikbaarheidszones binnen de EU, met een Recovery Point Objective (RPO) van 1 uur en een Recovery Time Objective (RTO) van 4 uur.

 

Onze beveiligingsvisie

Beveiliging is niet alleen een vinkje voor naleving; het is een voortdurende inzet voor onze klanten en belanghebbenden. Door te investeren in sterke technische en organisatorische beveiligingsmaatregelen, het nastreven van ISO 27001-certificering en het handhaven van een cultuur van beveiligingsbewustzijn, streeft Altum AI ernaar een leider te zijn in veilig gegevensbeheer en een betrouwbare partner voor onze klanten in de meest veeleisende sectoren.

 

 


 

Security at Altum AI

At Altum AI, the security of our systems, data, and our clients' data is of paramount importance. We are committed to safeguarding our infrastructure through robust security measures, ensuring compliance with industry standards and regulatory requirements, particularly for our clients in sectors like banking and insurance, where security and data privacy are critical.

 

Comprehensive security approach

Our security practices are designed to meet the requirements of numerous regulations, including the Digital Operational Resilience Act (DORA), General Data Protection Regulation (GDPR), Wet Financieel Toezicht (Wft), NIS2, and the EBA Guidelines on Outsourcing Arrangements. We are currently in the process of obtaining ISO 27001 certification, with an expected completion date of Q2 2025. This certification will help ensure our compliance with various European regulations and demonstrates our dedication to security best practices.

 

Data security and cloud infrastructure

Our entire infrastructure is hosted on Azure, Google Cloud Platform (GCP), and Amazon Web Services (AWS), taking advantage of their advanced security measures to protect our systems and data. These cloud providers offer significant security features, including encryption at rest and in transit, firewalls, intrusion detection systems, and compliance with key industry standards such as ISO 27001 and ISO 27018.

All data transmitted via our REST APIs is encrypted using HTTPS, and we strictly adhere to the principle of least privilege through AWS Identity and Access Management (IAM). Each client receives unique access credentials, and we use role-based access control (RBAC) to govern internal permissions. Our authentication procedures include multi-factor authentication (MFA) for all users, ensuring multiple layers of verification to secure access to our systems.

Our Authentication and Authorization Policy outlines our approach to access management, including strict password policies, lifecycle management of user credentials, API key security, and regular audits. User credentials are protected through strong passwords, hashed and salted storage, and regular rotation. API keys are issued for client applications, monitored for anomalies, and rotated regularly to ensure security.

 

Incident management and response

We maintain a proactive approach to incident management as outlined in our Service Level Agreement (SLA). We guarantee a response time of 30 minutes for urgent issues and work towards recovery within 4 hours for incidents affecting service availability. Our incident response workflow includes identification, containment, eradication, and recovery, with clear communication protocols to notify affected parties as required by law.

Our incident management practices also incorporate ongoing training for all employees to recognize and report security issues. Regular internal and third-party audits are conducted to assess our security measures, and clients are welcome to conduct their own audits for added transparency.

 

Continuous monitoring and threat detection

We use AWS CloudTrail to log and monitor all activities related to client access, ensuring transparency and accountability. Additionally, we plan to implement Security Information and Event Management (SIEM) solutions, such as Azure Sentinel or AWS Security Hub, to provide real-time insights into potential threats. These systems will help us detect, analyze, and respond to security events across our cloud infrastructure.

 

Employee security awareness

Security awareness is a key part of our culture at Altum AI. We conduct in-house training sessions covering topics such as phishing prevention, safe data handling, and internal security protocols. These sessions are held annually and are supplemented with ongoing awareness programs to ensure our team stays informed about the latest security best practices and threats. All employees are bound by strict confidentiality agreements and receive guidance on the importance of protecting sensitive data.

 

Customer trust and transparency

We believe in maintaining a high level of transparency with our customers. We provide detailed responses to due diligence questionnaires and encourage our clients to conduct their own audits of our systems. Our Authentication and Authorization Policy and other relevant documents are reviewed and updated regularly to ensure alignment with evolving regulatory standards.

For clients in regulated sectors, we also comply with requirements for Business Continuity and Disaster Recovery (BCDR). Leveraging AWS’s infrastructure, we maintain data redundancy across multiple availability zones within the EU, with a Recovery Point Objective (RPO) of 1 hour and a Recovery Time Objective (RTO) of 4 hours.

Our security vision

Security is not just a checkbox for compliance; it is an ongoing commitment to our customers and stakeholders. By investing in strong technical and organizational security measures, pursuing ISO 27001 certification, and maintaining a culture of security awareness, Altum AI strives to be a leader in secure data management and a trusted partner to our clients in the most demanding industries.