Begin juni heeft Praclox de audit voor de jaarlijkse ISO 27001-audit met goed gevolg doorlopen. In deze audit zijn ook de ontwikkel- en ondersteuningsprocessen van Praclox onder de loep genomen. Hiervoor is een ISAE 3402 type II-verklaring afgegeven.
ISO 27001
De ISO 27001-certificering ziet toe op informatiebeveiliging. In 2019 heeft Praclox deze audit voor het eerst met goed gevolg doorlopen. Ieder jaar wordt deze vervolgens herhaald. Dit jaar heeft in voorbereiding op de audit een penetratietest plaatsgevonden, waarbij de beveiliging van het systeem van Praclox bekeken is. In deze penetratietest is voor het eerst de beveiliging van ons online-platform OthoOnline meegenomen, zodat u zekerheid heeft dat uw data niet voor onbevoegde partijen toegankelijk is. Uiteraard waren de bevindingen hiervan positief.
ISAE 3402
Waarom deze verklaring?
De ISAE 3402-verklaring geeft inzicht in de kwaliteit van de dienstverlening van organisaties. Zijn de processen binnen een organisatie vastgelegd, en voert de organisatie deze processen uit als vastgelegd? Dit is van belang voor processen die uitbesteed worden aan service-organisaties. In een eerdere nieuwsbrief hebben wij gemeld dat Praclox naar onze mening niet hiervoor in aanmerking zou komen, aangezien het ontwikkelen van software niet een 'core-process' is wat door onze klanten aan ons is uitbesteed. We hebben echter gemerkt dat steeds meer opdrachtgevers van onze klanten belang stellen in een additionele zekerheid op het vlak van de automatisering. Daarnaast vragen accountants steeds vaker naar deze verklaring. Vandaar dat wij dit traject zijn ingegaan.
De reikwijdte van de verklaring
Een organisatie die een ISAE 3402-verklaring wenst te verkrijgen kan zelf de reikwijdte (scope) daarvan bepalen. Het is dus altijd zaak om deze scope goed te bekijken. Vallen de zaken die u belangrijk vindt wel onder de scope van de verklaring? Bij een aanbieder van clouddiensten of SaaS-software - wat Praclox allebei niet doet - zijn dat bijvoorbeeld de processen rond het technisch beheer. Bij Praclox is de reikwijdte 'de dienstverlening via OthoMatic-onderhoud en maatwerk-onderhoud'. Hiermee zijn wij de enige credit management softwareleverancier die het verlenen van diensten aan klanten en het realiseren van software-aanpassingen gedekt heeft met een ISAE 3402-verklaring. U kunt er dus van op aan dat wij deze processen zorgvuldig uitvoeren.
Type I versus type II
Een type I-verklaring ziet toe op het borgen van processen. Zijn de processen goed beschreven, zijn de systemen beschikbaar om voor registratie te zorgen en zijn rapportages daarop mogelijk? Het is daarmee een moment-opname.
Een type II-verklaring kijkt een stap verder, deze waarborgt dat de beschreven processen uitgevoerd worden zoals deze zijn vastgelegd. Hiervoor wordt een geheel tijdsvak (meestal een jaar) bekeken door de auditoren en over die periode wordt de verklaring afgegeven.
Veelal verkrijgt een organisatie allereerst de type I-verklaring en kan vervolgens pas een jaar later de type II-verklaring bemachtigen. De processen bij Praclox waren echter dusdanig op orde, dat we in één keer naar een type II-verklaring zijn gegaan. Uiteraard vervult ons dat met enige trots. De huidige verklaring is afgegeven voor de periode van 1 juni 2019 t/m 31 mei 2020.
De rapportage
Indien u ten behoeve van uw klanten, een tender of de accountant een kopie van het rapport vereist, kunt u contact opnemen met Erik Gimbergh.