Bedrijfsnaam logo Purfaction
Inloggen
Boek een demo

Veiligheid

Purfaction zet veiligheid voorop

Beleid, procedures en controles om gevoelige gegevens systematisch te beheren en beschermen

Inkoop- en contractdata bevatten gevoelige informatie over leveranciers, bedragen, contractafspraken en soms ook persoonsgegevens. Dan wil je zeker weten dat je platform en dataverwerker veilig met die gegevens omgaan.

Purfaction werkt met een ISO-27001-gecertificeerd Information Security Management System (ISMS), speciaal ingericht voor publieke- en zorgorganisaties. 

Geborgd via ISO-27001

Gecertificeerd ISMS met aantoonbare processen voor risicobeheersing, incidentafhandeling, wijzigingen en leveranciersmanagement.

Aansluiting op GIBIT, ARBIT, AIVG en AVG

Ingericht op de eisen en inkoopvoorwaarden van gemeenten en zorginstellingen, inclusief verwerkersafspraken en exit-mogelijkheden.

Sterke technische beveiliging

Standaard 2FA, autorisatie volgens least-privilege, encryptie van data in transit én at rest, plus logging en security-monitoring.

Continu getest en verbeterd

Kwetsbaarheidsscans en onafhankelijke pentests, met beperkte bevindingen die via een vast wijzigingsproces worden opgelost.

Privacy by design & by default

Een Data Protection Impact Assesment (DPIA) waar nodig. Dataminimalisatie, bewaartermijnen en verwerkersovereenkomsten leggen we vast in het ISMS.

Geen concessies aan veiligheid, privacy en compliance

Informatiebeveiliging is bij Purfaction geen bijzaak, maar een vast onderdeel van hoe we onze SaaS-oplossing ontwerpen, bouwen en beheren. Van gemeenten en waterschappen tot zorg- en onderwijsinstellingen, onze klanten vertrouwen ons hun kritieke processen en gevoelige gegevens toe.

Als organisatie willen we dat je veilig kunt sturen op je inkoopdata, zonder concessies aan veiligheid, privacy en compliance. Daarom zien we beveiliging als een gezamenlijke verantwoordelijkheid van ontwikkelaars, beheerders én gebruikers; techniek, processen en gedrag hangen bij ons nauw samen.

Ontworpen voor publieke organisaties

Purfaction sluit aan op de governance en compliance-kaders die in de publieke sector gangbaar zijn. Zo past Purfaction binnen bestaande inkoopvoorwaarden en IT-eisen, zonder dat je losse uitzonderingen hoeft te regelen.

Voor gemeenten sluiten we aan op de GIBIT: met aandacht voor beschikbaarheid, continuïteit, exit-mogelijkheden en informatiebeveiliging.

Voor rijksoverheidsorganisaties en ZBO's sluiten we aan op ARBIT, inclusief afspraken over informatiebeveiliging, beschikbaarheid, continuïteit, exit-mogelijkheden en verwerkersrollen.

Voor zorginstellingen volgen we de Algemene Inkoopvoorwaarden Gezondheidszorg (AIVG) en de ICT-module, inclusief specifieke eisen rond informatiebeveiliging in de zorg.

ISO-27001 als stevig fundament

Ons ISMS is gecertificeerd volgens ISO-27001, de internationale standaard voor informatiebeveiliging. Dat betekent dat:

  • Processen voor beveiliging, toegang, logging, back-ups en continuïteit aantoonbaar op orde zijn.
  • Audits bevestigen dat het managementsysteem goed is ingericht, onderhouden wordt en voldoet
    aan wet- en regelgeving en contractuele verplichtingen.
  • Managementbetrokkenheid, duidelijke documentatie en een onafhankelijk ingericht ISMS zorgen voor continue verbetering.

Technische security: 2FA, encryptie en monitoring

Toegang tot Purfaction is standaard extra beschermd met twee-factor-authenticatie (2FA). Gebruikersrechten worden ingericht volgens het least-privilege-principe, zodat iedereen alleen ziet wat nodig is voor zijn of haar werk.

Gegevens worden versleuteld tijdens transport én in opslag, volgens best practices voor cloud- en SaaS-omgevingen.

Beveiligingsgebeurtenissen worden gelogd vs bijgehouden en waar mogelijk gekoppeld aan geautomatiseerde security-monitoring, zodat afwijkende patronen snel kunnen worden gesignaleerd.

Continu testen: geautomatiseerde scans en pentests

Beveiliging is een continu proces. Purfaction voert periodiek geautomatiseerde kwetsbaarheidsscans uit op de dashboards en achterliggende omgeving. Recente scans lieten nul bevindingen zien in alle niveaus (urgent, high, medium, low), wat betekent dat er op dat moment geen bekende kwetsbaarhedenzijn aangetroffen.

Daarnaast laten we de omgeving regelmatig toetsen via onafhankelijke penetratietesten. Daarbij zijn geenurgente of high-risk bevindingen aangetroffen; de beperkte medium- en low-bevindingen worden via hetreguliere change-proces opgelost.

Privacy en AVG

Purfaction verwerkt persoonsgegevens conform volgens de AVG en sectorspecifieke richtlijnen. Met elke klant sluiten we een verwerkersovereenkomst waarin we vastleggen welke gegevens wordenverwerkt, voor welke doelen en met welke beveiligingsmaatregelen.

In het ISMS onderhouden we een verwerkingsregister, voeren we waar nodig DPIA's uit en borgen weafspraken over bewaartermijnen, dataminimalisatie en rechten van betrokkenen. Voor zorgklantensluiten onze maatregelen aan bij de kaders voor informatiebeveiliging in de zorg.

Zekerheid voor bestuur, IT en audit

Voor bestuurders, controllers en CISO/IT-afdelingen is de vraag "Is dit veilig en compliant?” minstens zo belangrijk als “Wat levert het op?”. Met een ISO-27001-gecertificeerd platform kun je aantonen dat inkoop- en contractdata professioneel en gecontroleerd worden verwerkt. Dat verkleint risico's, versnelt interne goedkeuring en geeft rust bij audits en accountantscontroles.

Contact opnemen