PAQT.com zet volgende stap in certificering en betrouwbaarheid met ISAE 3402 Type I verklaring
Leestijd 3 min
De opdrachtgevers van PAQT kunnen erop vertrouwen dat we de lat zo hoog mogelijk leggen als het gaat om de betrouwbaarheid, beschikbaarheid en veiligheid van hun bedrijfskritische applicatie.
Al jaren is PAQT daarom ISO 9001, ISO 27001 en NEN 7510 gecertificeerd. Telkens bekijken we hoe we die lat nóg wat hoger kunnen leggen. Vanaf deze zomer mogen we daar een nieuwe mijlpaal aan toevoegen: het behalen van de ISAE 3402 Type I verklaring. Wat houdt deze verklaring in? We spreken met de drie hoofdrolspelers van de audit over wat dit betekent voor PAQT, haar opdrachtgevers, partners, maar ook eigen werknemers.
“De factor mens is ontzettend belangrijk”
Germa Versteijnen is Head of People bij PAQT, en dus betrokken bij alle facetten van het wel en wee van onze collega’s. Van onboarding tot offboarding. Wat betekent deze verklaring op het gebied van ‘People’? “De ISO en NEN-certificering gaat vooral over security, procedures en richtlijnen. Maar als je alleen maar procedures hebt en het niet embed in je organisatie, heb je er eigenlijk niet zo veel aan. Het gaat dus vanuit People ook heel erg over hoe je het communiceert: de mensen er bekend mee maken. Zij zijn diegene die het moeten uitvoeren en navolgen. Anders kun je wel stellen dat het slechts een loze procedure is. De auditor heeft dus goed gekeken naar de uitvoering. De nadruk ligt daarbij op communicatie en hoe zich dat bijvoorbeeld uit in de diverse overlegstructuren. Niet alleen dat we die structuren hebben, maar je zult ook moeten laten zien dat je het écht bespreekt in die overleggen, zoals het MT-overleg. En niet alleen dat het besproken is, maar ook dat er acties uit zijn voortgekomen.”
Standaard onderdeel van de onboarding van nieuwe medewerkers bij PAQT is de VOG-verklaring. “Naast interne communicatie, zorgt Team People er onder andere ook voor dat hier capabele mensen werken. Zo mag een nieuwe medewerker geen verleden hebben met security incidenten. Hoe borgen we nou vanuit ons werving en selectieproces dat we de kwaliteit die we beloven, ook echt kunnen leveren. Tijdens de werving is er bijvoorbeeld een opdracht. Hoe zorg je ervoor dat die opdrachten ook écht structureel en uniform beoordeeld worden. En hoe zorg je ervoor dat je niet tóch iemand aanneemt in tijden van een krappe arbeidsmarkt, die je anders niet had aangenomen vanwege onvoldoende ervaring of vaardigheden. Blijf je dan vasthouden aan je standaarden en procedures? Dat zijn beloftes die we doen, maar dankzij deze verklaring ook een assurance dat het ook daadwerkelijk gebeurt. Het gaat echt in totaal om vele bewijsstukken.”
“Indirect horen we van nieuwe collega’s ook vaak dat ze merken dat hier alles goed geregeld is. Daar ligt natuurlijk de basis. De kwaliteit ligt echt hoog en daar wordt niet aan getornd. Daarin shortcuts nemen is echt uit den boze.”
De verklaring is een nulmeting, maar biedt ook perspectief voor de toekomst: “Het maakt ons ook weer scherper naar de toekomst toe. Kunnen we ergens een nóg hoger niveau halen? Stel je geeft iemand mondeling feedback op een opdracht, dan gaan we nu kijken of we dat ook schriftelijk kunnen doen. Iets schriftelijk vastleggen zorgt er namelijk voor dat je weer iets uniformer te werk gaat.”
Net als met de ISO en NEN-certificering, zet zo’n audit ons zelf ook op scherp. “Iemand van buiten de organisatie, kijkt naar binnen en geeft feedback over hoe je het nóg beter kan doen. Zo voorkom je dat je oogkleppen ontwikkelt omdat je iets al heel lang, op dezelfde manier doet.”
“Indirect horen we van nieuwe collega’s ook vaak dat ze merken dat hier alles goed geregeld is. Daar ligt natuurlijk de basis. De kwaliteit ligt echt hoog en daar wordt niet aan getornd. Daarin shortcuts nemen is echt uit den boze.”
“Wij willen de sterkste schakel in de softwareketen van onze opdrachtgevers zijn”
Maurits Dijkgraaf is Business Strategist & Director: “Onze opdrachtgevers vertrouwen ons hun bedrijfskritische applicaties toe. Die moeten zeker zijn dat het in goede handen is. In de vele applicaties die bij ons in beheer zijn, gaan echt ongelofelijk veel gevoelige persoonsgegevens en financiële data ‘over de lijn’. Het is echter niet alleen informatiebeveiliging, maar de verklaring zegt ook iets over bedrijfscontinuïteit, mensen, techniek en processen. Zo controleert de verklaring bijvoorbeeld ook de contracten met onze leveranciers. Doen zij ook wat we met hen hebben afgesproken?”
Onze opdrachtgevers hebben steeds vaker belangrijke software in een keten. En wij willen de sterkste schakel in die softwareketen zijn. De klanten van onze opdrachtgevers vragen ook wie er achter de techniek zit. Dan is een ISO 27001 certificering natuurlijk heel mooi, maar met deze verklaring kunnen onze opdrachtgevers bewijzen dat hun techpartner ook echt zo werkt als dat ze zeggen. Steeds meer grote bedrijven wereldwijd willen dit standaard inzien. Het feit dat wij dit hebben legt de weg open voor onze opdrachtgevers om nóg grotere en strategisch nóg belangrijkere klanten aan te trekken.”
“Als je dus als PAQT het hoogste niveau wilt kunnen dienen, zul je ook het hoogste niveau van controle moeten eisen. Het behalen van deze verklaring, is het bewijs dat we de allerhoogste standaard die we nastreven, ook daadwerkelijk behalen.”
“We vinden dat het altijd goed is een externe te laten kijken naar je bedrijf. Dat deden we al dankzij de jaarlijks terugkerende ISO-certificering, maar nu ook met deze verklaring. Het houdt ons scherp. Ik ben blij het fundament van het bedrijf nog meer te verstevigen. De klik en de gunfactor is belangrijk met opdrachtgevers, maar dit rapport laat zien dat een goed gevoel ook écht zo is. Deze verklaring is de hoogste standaard die je kan hebben op dit vlak. In onze markt heeft vrijwel niemand dit.”
“Als je dus als PAQT het hoogste niveau wilt kunnen dienen, zul je ook het hoogste niveau van controle moeten eisen. Het behalen van deze verklaring, is het bewijs dat we de allerhoogste standaard die we nastreven, ook daadwerkelijk behalen.”
“Procedures zijn weinig waard zonder ze ook echt uit te voeren”
“Wat betreft Team Tech zijn Access Management, Vulnerability Scans, Backups en Capacity Management interessant om uit te lichten”, aldus Arlon Antonius, Software Architect binnen PAQT. Een mooi voorbeeld is Backups. Eén van onze procedures is bijvoorbeeld dat we elke 3 maanden een backup test uitvoeren. Vanuit de ISO-certificering is het hebben van zo’n proces verplicht. Binnen de ISAE 3402 Type 1 verklaring, komt daar een vervolgvraag op: ‘hoe heb je dat dan gewaarborgd?’ Maar ook: ‘hoe weet je dan zeker dat het goed gaat?’ Afgesproken is dat we geïnformeerd worden door onze hosting partner wanneer iets fout zou gaan. En voor deze verklaring moet exact dáár dus bewijs voor worden aangeleverd. Er wordt niet alleen heel streng naar onszelf gekeken, maar ook of onze leveranciers hun werkzaamheden op de afgesproken manier voor ons uitvoeren.”
“Je merkt écht dat iemand met kennis van Tech ons heeft doorgelicht. Iemand die ook scherpe vervolgvragen stelt. Denk bijvoorbeeld aan toegang tot de server (onderdeel van Access Management). Als je stelt dat alleen medewerkers van PAQT toegang hebben, is dat vrij vaag. Je wilt dat alleen specifieke collega’s toekennen met een onderbouwde reden. Ook dat tonen we aan in dit rapport.”
"Het heet niet voor niks een assurance rapport: je geeft de zekerheid dat wat we beloven, controleerbaar ook écht doen. In plaats van alleen maar vertellen erover."
“Datzelfde geldt voor onder andere Vulnerability Scans en Capacity Management:
- Met Vulnerability Scans voer je vóór iedere software implementatie een test uit om kwetsbaarheden te ontdekken en op te lossen.
- Met Capacity Management zorgen we ervoor dat een applicatie altijd voldoende capaciteit heeft om te performen.
Onze auditor heeft van beide procedures bewijsstukken opgevraagd om aan te tonen dat we dit de afgelopen periode ook telkens hebben uitgevoerd. Dat zijn prachtige procedures waarmee je de kwaliteit van de software hoog houdt, maar die zijn weinig waard zonder het ook écht uit te voeren. Het heet daarom niet voor niks een assurance rapport: je geeft de zekerheid dat wat we beloven, controleerbaar ook echt doen. In plaats van alleen maar vertellen erover.”
Kies voor zekerheid
Verzeker je van kwaliteit en duurzaamheid. Wij maken het makkelijk voor je.
Neem contact op
Je bereikt me het snelst door te bellen naar 06 43 09 10 30
Vul je het formulier hiernaast in, dan reageer ik uiterlijk de eerstvolgende werkdag.
Een bericht via mail of LinkedIn kan natuurlijk ook.
Tot binnenkort!
