Kinsta heeft altijd hard gewerkt om de veiligheid van ons hostingplatform en de websites van onze klanten te waarborgen. Of het nu gaat om het beschermen van accountgegevens, het bieden van tools om externe DDoS-aanvallen te voorkomen, het detecteren en opschonen van malware of het waarschuwen van website-eigenaren voor kwetsbaarheden in WordPress plugins, informatiebeveiliging is een van onze sterke punten.

Maar hostingbedrijven kunnen dat gemakkelijk beweren. Het bewijzen is de uitdaging.

De beste manier om zulke beweringen te bewijzen is om informatiebeveiligingspraktijken en -beleid te ontwikkelen die voldoen aan algemeen erkende normen en vervolgens de naleving van deze normen te laten bevestigen door onafhankelijke experts.

Dat is hoe Kinsta in 2023 voor het eerst voldeed aan de criteria voor System and Organization Controls 2 (SOC 2) vertrouwensdiensten, ontwikkeld door de Association of International Certified Professional Accountants (AICPA).

Vervolgens ontvingen we in augustus 2024, na een volledig jaar SOC 2-controle, certificering voor gegevensbeveiliging en privacycontroles die zijn gespecificeerd door de International Standards Organization (ISO) en de International Electrotechnical Commission (IEC).

Dit artikel gaat over Kinsta’s ISO/IEC certificering onder de norm ISO 27001 en twee van de uitbreidingen, ISO 27017 en ISO 27018.

Wat is ISO 27001?

Erik Van Dijk, hoofd IT van Kinsta, leidde het project om de ISO 27001 certificering te behalen en geeft aan dat het “de gouden standaard” is voor naleving van beveiligingsstandaarden.

ISO 27001 specificeert de controles die nodig zijn om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie in een organisatie te waarborgen. Dit betekent het volgende:

  • Vertrouwelijkheid – Ervoor zorgen dat alleen bevoegde personen toegang hebben tot informatie.
  • Integriteit – Ervoor zorgen dat alleen bevoegde personen informatie kunnen wijzigen.
  • Beschikbaarheid – Ervoor zorgen dat informatie toegankelijk is voor bevoegde personen wanneer dat nodig is.

Volgens Van Dijk definieert ISO 27001 de eisen voor de verschillende onderdelen van een Information Security Management System (ISMS). Maar dat systeem bestaat niet alleen uit hardware en software. Naast dergelijke technologische controles omvat het ISMS organisatorische, mensgerelateerde en fysieke controles:

  • Organisatorische controles – Het definiëren van regels die gevolgd moeten worden en het gedrag dat verwacht wordt van gebruikers, apparatuur, software en systemen.
  • Mensgerelateerde controles – Het verschaffen van kennis, opleiding, vaardigheden of ervaring aan mensen in de organisatie zodat ze hun werk veilig kunnen uitvoeren.
  • Fysieke controles – Voorzieningen zoals toegangskaarten voor datacenters, bewakingscamera’s en sensoren voor inbraakdetectie.

Wat zijn ISO 27017 en 27018?

Van Dijk zei dat ISO 27017 en 27018 certificeerbare uitbreidingen zijn op ISO 27001 en bijzonder relevant zijn voor Kinsta omdat ze beide van toepassing zijn op cloud computing-omgevingen.

ISO 27017 schrijft beveiligingscontroles en implementatierichtlijnen voor cloud computing-omgevingen voor. Deze controles zijn van toepassing op taken zoals:

  • Behandeling van klantactiva na beëindiging van het contract.
  • Scheiding van virtuele omgevingen van klanten.
  • Monitoring door de klant van activiteiten in een cloud computing-omgeving.

ISO 27018 richt zich op de bescherming van persoonlijk identificeerbare informatie in cloudomgevingen. Deze controles richten zich op zaken als:

  • Transparantie in het rapporteren van de geografische locatie van de opslag van klantgegevens.
  • Beperkingen op het gebruik van klantgegevens zonder toestemming.
  • Veilige methoden voor het retourneren, overdragen en veilig verwijderen van persoonlijke gegevens.

Kinsta’s tijdlijn voor ISO-certificering

Het jaar na het behalen van SOC 2 compliance was druk voor het security compliance team, vooral voor Van Dijk, die tegelijkertijd studeerde voor en zijn Certified Information Systems Security Professional (CISSP) titel behaalde.

De eerste SOC 2-aanwijzing in 2023 volgde op een auditperiode van drie maanden en was van toepassing op de fundamentele vertrouwensdienst Security. Dat project veranderde in voortdurende controle met jaarlijkse rapportage en werd uitgebreid met de beschikbaarheids- en vertrouwelijkheidscriteria van SOC 2.

Ondertussen waren we al bezig met ISO 27001. Van Dijk zei dat zijn uitgebreide onderzoek naar ISO 27001 vereisten rond november 2023 begon.

“ISO 27001 is erg documentatief en procesmatig,” zei hij. “Het bevat nog steeds een aantal technische controles, maar het hele uitgangspunt van het framework is het implementeren van een beheersysteem voor informatiebeveiliging en het bijbehorende beleid en de bijbehorende procedures.”

Van Dijk zei dat een gap-analyse aangaf dat het SOC 2 project al ongeveer 40% van het werk had opgeleverd dat gedaan moest worden voor de ISO certificeringen. Dus toen een bedrijfsoverschrijdend team in december 2023 samenkwam, kon het snel beginnen met het uploaden van statusinformatie naar Vanta, het platform dat was gekozen om te helpen bij het verzamelen van bewijsmateriaal.

Het team creëerde 13 nieuwe ISMS beleidsregels en verfijnde enkele bestaande beleidsregels die waren ontwikkeld voor SOC 2. In maart 2024 deed het team een beroep op het cloudbeveiligingsbedrijf Rhymetec voor een interne audit die hielp bepalen welk werk nog nodig was.

Later verzorgde BARR Advisory de onafhankelijke audit die verifieerde of Kinsta in aanmerking kwam voor de ISO-certificeringen.

“We kregen voortdurend lof van onze auditors over hoe georganiseerd en voorbereid we waren,” zei Van Dijk.

De voordelen van ISO 27001 certificering

Kinsta’s ISO 27001 certificering (en SOC 2 compliance) benadrukt onze toewijding aan informatiebeveiliging. We zullen het vertrouwen van onze klanten blijven verdienen terwijl we regelmatig audits ondergaan om de voortdurende naleving en effectiviteit van ons ISMS te bevestigen en onze certificeringsstatus te behouden.

Veel potentiële klanten vertellen ons dat hun hostingprovider ISO 27001 gecertificeerd moet zijn. We zijn er trots op dat we aan deze behoefte kunnen voldoen en verwelkomen hen bij Kinsta.

Onze ISO-certificeringen laten zien dat we de beveiliging hebben om de bedrijfsmiddelen van klanten te beschermen en risico’s te beperken met behulp van best practices.

Samenvatting

Kinsta heeft een sterke geschiedenis in het beschermen van klantgegevens. De nieuwe ISO-certificeringen bevestigen en breiden uit op de beveiligingen die zijn gevalideerd door ons werk om SOC 2-compliant te worden.

We zijn toegewijd aan het beschermen van websites van klanten. Onze ISO-gecertificeerde informatiebeveiligingsprocedures weerspiegelen onze investering in het verdienen van het vertrouwen van de klant.

Bezoek Kinsta’s Trust Center voor informatie over de voortdurende inspanningen van het bedrijf op het gebied van naleving.

Ben je nog geen klant? En goed begin is het halve werk, kies daarom voor onze veilige infrastructuur. Vind nu de beste webhostingoplossing voor jouw bedrijf!

Steve Bonisteel Kinsta

Steve Bonisteel is Technical Editor bij Kinsta. Hij begon zijn schrijverscarrière als verslaggever en achtervolgde ambulances en brandweerwagens. Sinds eind jaren negentig schrijft hij over internetgerelateerde technologie.