Goed nieuws! Na een intensief auditproces ontving Eshgro op 1 maart de ISAE 3000A type 2 assurance rapportage over kalenderjaar 2021. Naast de private cloud dienstverlening op het HPE platform, is ditmaal ook de dienstverlening op Microsoft Azure via het Smarter 365 platform getoetst door externe auditors. Hierbij werd beoordeeld of de interne beheersing van de door klanten aan Eshgro uitbestede IT processen adequaat is. Eshgro heeft de audit glansrijk doorstaan en voldoet daarmee aan de strengste internationale auditeisen voor IT-beheerders. Hierdoor kun je er als klant op vertrouwen dat jouw data in een veilige omgeving wordt verwerkt.
Waarom een assurance opdracht?
Door de transitie naar de cloud verschuift de rol van een IT-dienstverlener steeds meer naar een service provider die organisaties ontzorgt op het gebied van serverbeheer en IT. Wanneer je jouw IT-processen uitbesteed aan een externe partij, blijf je zelf echter verantwoordelijk voor zaken als de verwerking van persoonsgegevens, de beveiliging van data, encryptie en de rechtmatige toegang tot applicaties. Het is daarom belangrijk inzichtelijk te hebben hoe een IT-partij deze processen beheerst en omgaat met anti-fraude, informatiebeveiliging en risicomanagement. Dat kan door het laten uitvoeren van een ISAE 3000A assurance opdracht. Hierbij toetst een externe auditor of de interne beheersing van de aan de service provider uitbestede IT-processen adequaat is.
Lees ook: Wat is een assurance rapportage?
Hoe zit het bij Eshgro?
Eshgro beschikt over verschillende certificaten en assurance rapportages. Vanuit zijn rol als Compliance Officer ziet Maik van de Graaf er dagelijks op toe dat Eshgro werkt in overeenstemming met wet- en regelgeving en doelstellingen uit deze certificeringen en assurance-opdrachten. Met het behalen van de ISAE 3000A type 2 verklaring, is Eshgro nu in het bezit van twee ISAE 3000A type 2 rapportages. Deze zijn van toepassing op verschillende onderdelen van onze dienstverlening en hebben beide een eigen scope:
- Dienstverlening op Microsoft Azure: Dit betreft de beheerorganisatie voor de public cloud dienstverlening op het Microsoft Azure platform via ons Smarter 365 platform.
- Dienstverlening op het HPE platform: Dit betreft de beheerorganisatie voor de private cloud dienstverlening die Eshgro aanbiedt op het HPE platform in Nederlandse datacenters.
Bij die beheerorganisatie kun je denken aan zaken als het proces voor changes, het proces voor incidenten, de opvolging van security meldingen en het onderhoud van apparatuur door middel van bijvoorbeeld patches en updates. Allemaal belangrijke zaken om de kwaliteit, veiligheid en continuïteit van onze dienstverlening voor jou als klant te waarborgen.
Audit op Microsoft Azure is uniek
Dat een IT-dienstverlener een ISAE 3000A type 2 rapportage heeft, met als scope de dienstverlening op Microsoft Azure, is uniek. Op het eerste oog lijkt het zelfs overbodig. Microsoft laat haar dienstverlening op het Azure platform ook toetsen en is in het bezit van een SOC rapportage en ISO certificaat. Dit betreft echter alleen de dienstverlening die Microsoft zelf verricht op het Azure platform. Hierbij kun je denken aan de beveiliging van hardware in de datacenters van Microsoft, het proces van toegangsbeveiliging tot deze datacenters, maar ook het onderhoud van hardware of proces van vervanging wanneer hardware kapot gaat. Al deze processen staan los van Eshgro en de diensten die je als klant bij ons afneemt.
De dienstverlening van Eshgro bestaat hoofdzakelijk uit het implementeren, configureren, beheren en onderhouden van de diverse Microsoft Azure toepassingen via ons eigen Smarter 365 platform. En juist het implementeren, configureren, beheren en onderhouden van deze toepassingen voor klanten zorgt voor de beschikbaarheid, integriteit en vertrouwelijkheid van data. Oftewel, elke IT-dienstverlener die Microsoft Azure diensten implementeert, configureert, beheert en/of onderhoud zou een ISAE 3000A type 2 assurance moeten kunnen voorleggen aan haar klanten. Vaak worden klanten, puur uit onwetendheid, afgewimpeld met de opmerking: “Microsoft heeft talloze certificaten en assurances, kijk maar…”. Maar wanneer deze certificaten en assurances niet toezien op de scope die ertoe doet, namelijk de werkzaamheden die een IT-dienstverlener voor jou verricht, dan hebben deze certificaten en assurance slechts beperkte waarde.
Omdat wij veiligheid en compliance wel ontzettend belangrijk vinden, hebben we onze dienstverlening op het Microsoft Azure platform laten toetsen door een externe auditor. Het doel hiervan is om te controleren of dat wat je als klant bij ons afneemt, ook daadwerkelijk correct is geconfigureerd. Simpel gezegd: wanneer je als klant bij Eshgro functionele diensten afneemt die draaien op Microsoft Azure, vertalen we deze wensen naar techniek en richten dat vervolgens voor je in. Hiervoor gebruiken we ons Smarter 365 platform, wat hierbij in de scope van de assurance opdracht is meegenomen.
Extra stap: privacy assurance
Tijdens de ISAE 3000A type 2 audit is tevens getoetst of Eshgro de AVG-verordening naleeft. Hiervoor gebruiken we het Privacy Control Framework (PCF) dat kort na de invoering van de AVG door NOREA is gepubliceerd. Het PCF is opgesteld door een werkgroep binnen NOREA, bestaande uit onder andere specialisten op het vlak van informatiebeveiliging, technisch specialisten, (externe) registeraccountants en juristen. Het framework bevat vooropgestelde doelstelling en noemt voorbeeldmaatregelen om hieraan te voldoen. Dit geeft IT-auditors een richtlijn om te toetsen of Eshgro voldoet aan de normen voor privacy en de verwerking van persoonsgegevens. Met behulp van het NOREA Privacy Control Framework leeft Eshgro de verplichtingen uit de AVG na en maken wij dit aantoonbaar binnen een ISAE 3000A type 2 assurance rapport. Immers, de klant blijft zelf verantwoordelijk voor alle data die ze heeft uitbesteed aan een verwerker, in dit geval aan Eshgro.
Jouw data is veilig
Omdat data in de cloud niet tastbaar is, net als sommige processen daaromheen, heerst er nog weleens scepticisme rondom de overstap naar de cloud. De servers waarop jouw bedrijfsdata staat, zijn namelijk niet zichtbaar. De twijfels die de uitbesteding van IT-processen met zich meebrengt begrijpen we bij Eshgro goed. Daarom laten we onze dienstverlening auditen. Dit helpt ons om de kwaliteit, veiligheid en continuïteit van onze diensten te waarborgen en jou om aan wet- en regelgeving te voldoen. Zo kun jij erop vertrouwen dat jouw data in een veilige omgeving wordt verwerkt en kun je jouw IT-processen met een gerust hart uitbesteden.
Meer weten?
Meer weten?Ben je klant bij Eshgro en wil je de ISAE 3000A type 2 rapportage inzien? Of heb je vragen naar aanleiding van dit nieuwsbericht? Neem dan gerust contact op door te mailen naar legal@eshgro.com. Onze compliance Officer Maik van der Graaf helpt je graag verder.
