U bent hier

30.07.2021
| Blog
| Informatiebeveiliging

Customer Case: Alloq

ISAE 3402 assurance verklaring als bewijs voor veilige IT-diensten

VI Company helpt organisaties in de financiële markt met technische consultancy, het ontwerpen en realiseren van bedrijfskritische websites en applicaties en het hosten en onderhouden daarvan. In 2021 heeft VI Company een nieuwe SaaS-oplossing op de markt gebracht, namelijk Alloq. Alloq ondersteunt het volledige allocatiemanagementproces voor institutioneel vermogensbeheer, zoals pensioenfondsen en verzekeraars. De oprichters van Alloq vinden het belangrijk dat het risicomanagement van de beheersbare processen goed is geborgd en riepen daarom de hulp van DEKRA in. Samen ontwikkelden zij een ISAE 3402 assurance verklaring en in 2020 overhandigde DEKRA deze aan VI Company. We vroegen Tim Oskam (co-founder VI Company) en Roland van der Geer (Security Officer VI Company) waarom de ISAE 3402 en ISO 27001 zo belangrijk zijn voor Alloq.

alloq

Veiligheid van financiële gegevens

VI Company bracht de applicatie Alloq op de markt in samenwerking met een grote pensioenuitvoerder in Nederland als ‘launching customer’ en strategisch partner KPMG. Als eerste afnemer van Alloq ondersteunde deze pensioenuitvoerder bij het lanceren van de softwareoplossing. Alloq ondersteunt het hele spectrum van cash-allocaties en capital call management tot rebalancing en simulaties. Bedrijfskritische software dus, die essentieel is voor de continuïteit van de bedrijfsprocessen. Gezien de aard van de SaaS-oplossing, is het van belang dat het risicomanagement van de processen goed is geborgd, zeker als het gaat om financiële gegevens. ‘’We moeten de veiligheid van gegevens van onze klanten garanderen,’’ legt Oskam uit. Om die veiligheid te borgen is Alloq ISO 27001 gecertificeerd.

ISO 27001

Met het ISO 27001-certificaat, de internationale norm voor informatiebeveiliging, toont VI Company al aan dat zij voldoen aan de eisen van een Information Security Management Systeem. Dit certificaat ontving VI Company in 2018 van DEKRA. Oskam: ‘’Het ISO 27001 traject met DEKRA verliep erg professioneel. Daarnaast beschikt DEKRA al over de security controls die nodig waren voor de ISAE 3402. Het was daarom een logische keuze om weer voor DEKRA te kiezen.’’

ISAE 3402 als aanvulling op ISO 27001

Naast de ISO-certificeringen ontstond er vanuit klanten van Alloq vraag naar een ISAE 3402 verklaring, omdat deze door het borgen van risicomanagement van processen nog meer garantie op veiligheid biedt. Van der Geer: ‘’We vinden het belangrijk dat ons product voldoet aan de gestelde standaarden en dat deze ook vakkundig zijn getoetst.’’ De ISAE 3402 verklaring is een belangrijke aanvulling op het ISO-certificaat van Alloq. Deze verklaring is namelijk veel uitgebreider (gemeten over een periode van minimaal 6 maanden), kent een toetsingskader en Alloq kan het certificaat onbeperkt inzetten voor externe accountants. Om deze redenen besloot VI Company om naast ISO 27001 ook een ISAE 3402 assurance verklaring te behalen.

ISAE 3402 voor outsourcende IT-organisaties

ISAE 3402 staat voor International Standard on Assurance Engagements. DEKRA voerde een ISAE-audit uit waaruit een assurance verklaring volgde. In deze verklaring is het risicomanagement van de beheersbare processen van VI Company opgenomen. Het uiteindelijke rapport toont aan dat Alloq de betreffende processen naar behoren heeft ingericht in opzet, bestaan en werking. Een mooie bevestiging dat Alloq hiermee de informatiebeveiliging borgt!

Alloq & DEKRA slaan de handen ineen

In het voorjaar van 2020 begon het ISAE-traject met een aantal voorgesprekken tussen DEKRA en Alloq. De externe IT-auditor was ook vanaf het begin betrokken. ‘’De IT-auditor was zeer vakkundig en hield zich keurig aan de gedragsregels van de NOREA, de beroepsorganisatie van IT-Auditors. Dit gaf ons veel vertrouwen’’, zegt Van der Geer.

Na de voorgesprekken is de roadmap en het raamwerk voor de ISAE 3402 bepaald. Alloq heeft dit raamwerk tussentijds getoetst bij haar launching customer om er zeker van te zijn dat het voldoet aan de gewenste standaarden. Van der Geer legt uit: ‘’Onze launching customer toetste tussentijds het raamwerk van de opgestelde ISAE 3402 standaarden. Door de waardevolle feedback konden we het raamwerk verder aanscherpen.’’ In het half jaar daarna heeft Alloq in een dossier alle bewijslast voor de ISAE 3402 verklaring verzameld.

Tot slot werd dit dossier in december 2020 getoetst bij de IT-auditor en de tweede IT-auditor van DEKRA. Dit was de laatste fase van het ISAE-traject. ‘’De resultaten waren louter positief en daarmee hebben we de ISAE 3402 assurance verklaring succesvol behaald’’, vertelt Van der Geer trots.

‘’DEKRA heeft kritisch en vakkundig geaudit. Ze staan altijd open voor een andere invalshoek, waardoor de communicatie soepel en respectvol verloopt. DEKRA staat wat ons betreft in de top drie van Certificerende Instellingen van Nederland.’’

Meer weten over ISAE 3402?

Werkt u bij een IT-outsourcende organisatie en wilt u meer weten over een ISAE 3402 assurance verklaring? Neem contact op met via salesaudit.nl@dekra.com of lees meer informatie over een ISAE 3402 verklaring.

Neem contact op

Gerelateerde berichten

alloq
30.07.2021
Informatiebeveiliging
Informatiebeveiliging
07.03.2020
Informatiebeveiliging, NEN 7510, ISO
Medmij
15.04.2019
Zorg, Informatiebeveiliging, NEN 7510
Daan Brinkhuis 's Heerenloo
25.01.2019
Case, Informatiebeveiliging, Zorg
ISO 27001 AVG
10.09.2018
AVG, Assessment, Informatiebeveiliging, ISO 27001
AVG 'millennium bug'
26.07.2018
AVG, Assessment, Informatiebeveiliging