ISO 27001 en databeveiliging: zo gaat Captain om met jouw retaildata

Wat is ISO 27001 en waarom is het relevant voor jouw data?

ISO 27001 is de internationaal erkende norm voor informatiebeveiliging. De standaard stelt eisen aan het opzetten, implementeren, onderhouden en verbeteren van een Information Security Management System, ook wel ISMS genoemd. Het helpt organisaties om risico's te beheersen en de vertrouwelijkheid, beschikbaarheid en integriteit van data te waarborgen.

Voor leveranciers en retailers die data delen via een platform als Captain, is ISO 27001 certificering een concreet signaal: de beveiliging praktijken zijn getoetst door een externe, geaccrediteerde partij. Niet op basis van zelfverklaring, maar op basis van audit. Dat maakt het verschil tussen een leverancier die zegt dat data veilig is en een leverancier die dat kan aantonen.

ISO 27001 is geen statisch certificaat. Het vereist continue verbetering en periodieke heraudit. Dat betekent dat de beveiliging niet eenmalig wordt ingericht en daarna vergeten, maar structureel wordt bewaakt en bijgehouden.

‍

Jouw data blijft van jou. Altijd.

Captain is geen data eigenaar. We zijn een verwerkingslaag.

We verbinden retailers, data providers en leveranciers, maar de data die door ons platform stroomt blijft altijd van de partij die haar heeft aangeleverd. We verwerken data namens de klant, voor één doel: inzichten genereren voor de klant die de licentie heeft. Nooit voor iets anders. Nooit gedeeld met andere klanten. Nooit ingezet buiten de afgesproken scope.

Dit onderscheid is fundamenteel. Een platform dat data van meerdere leveranciers verwerkt, heeft de verantwoordelijkheid om te zorgen dat die data strikt gescheiden blijft. Bij Captain is cross cliënt toegang architecturaal onmogelijk. Elke klant heeft een volledig gescheiden omgeving. Wat er in jouw omgeving staat, is voor niemand anders zichtbaar of toegankelijk.

‍

Niet elke databron is gelijk: zo gaan we om met compliance-vereisten

Verschillende data providers hanteren verschillende voorwaarden, en Captain past zich daarop aan. Dat is geen compromis, dat is hoe het hoort.

Databronnen met strikte compliance-vereisten

Voor databronnen waarbij de data provider specifieke eisen stelt aan opslag en verwerking, geldt het volgende: de data wordt opgeslagen in de eigen cloud-omgeving van de klant. Captain verwerkt die data onderweg, maar slaat hem nooit op in onze eigen infrastructuur. De klant bepaalt waar zijn data staat, in welke regio en op welke omgeving. Captain fungeert als verwerkingslaag, niet als opslaglocatie.

Standaard databronnen

Voor standaard databronnen, zoals retailer POS data uit platforms als SIS of 7EVEN, of ex-factory data van de leverancier zelf, kan data op Captain's eigen beveiligde servers staan, tenzij de klant of data provider iets anders vereist. Ook hier geldt zonder uitzondering: de data is van de klant en wordt alleen gebruikt voor de afgesproken doelen.

‍

Toegang: strikt en volledig traceerbaar

Binnen Captain heeft niemand zomaar toegang tot klantdata. Ook onze eigen medewerkers niet. Toegang wordt verleend op basis van rol en noodzaak, en altijd tijdelijk. Zodra de noodzaak vervalt, vervalt de toegang.

Technisch is dit geborgd via multi-factor authenticatie, strikte rolgebaseerde toegangscontrole en volledige audit logging. Elke actie op klantdata wordt gelogd. Wie heeft wanneer wat gezien of gedaan? Dat is altijd te reconstrueren. Niet als papieren exercitie, maar als werkend onderdeel van de beveiligingsinfrastructuur.

‍

AI in Captain: een query interface, geen dataopslag

Captain bevat AI-functionaliteit, waaronder een assistent waarmee gebruikers in gewone taal vragen kunnen stellen over hun data. We zijn volledig transparant over hoe dat werkt.

De AI leest data op het moment dat een vraag gesteld wordt, en verder niets. Data wordt nooit gebruikt om modellen te trainen, niet door Captain en niet door een derde partij. We werken met een zero data retention configuratie: na afloop van een query wordt er niets opgeslagen of gelogd buiten de eigen klantomgeving. De AI is een interface op jouw data, geen extractie mechanisme.

Dit is een bewuste architectuurkeuze. De waarde van AI in categorie management zit in het vermogen om snel de juiste inzichten te vinden in grote hoeveelheden data. Niet in het hergebruiken van die data voor andere doeleinden. Dat onderscheid borgen we technisch, niet alleen in beleid.

‍

De technische basis: Azure, EU-servers en end-to-end versleuteling

Captain draait volledig op Microsoft Azure, op servers binnen de Europese Unie. Dat betekent dat data onder Europese wetgeving valt, inclusief de AVG. Er is geen sprake van dataoverdracht naar servers buiten de EU, tenzij de klant daar expliciet voor kiest en dat contractueel is vastgelegd.

Alle data, in rust en in transit, is versleuteld. Dat geldt voor data die wordt opgeslagen in de Captain-omgeving en voor data die tussen systemen wordt uitgewisseld. Versleuteling is geen optionele laag maar een basisvereiste van de infrastructuur.

ISO 27001-certificering is de externe toetsing van al het bovenstaande. Het certificaat bevestigt dat onze beveiligings praktijken niet alleen zijn ingericht maar ook worden nageleefd en continu worden verbeterd. Dat is de garantie die wij kunnen geven aan elke leverancier, retailer en data provider die via Captain samenwerkt.

‍

Waarom databeveiliging de voorwaarde is voor betere samenwerking

Leveranciers en retailers die écht samenwerken, groeien sneller. Betere adviezen leiden tot sterkere categorieën, en sterkere categorieën zijn goed voor beide kanten van de tafel. Dat is precies waar Captain voor gebouwd is. Maar die samenwerking werkt alleen als alle partijen weten dat hun data veilig is.

Een retailer die zijn POS-data deelt, moet erop kunnen vertrouwen dat die data niet bij een concurrent terecht komt. Een data provider die licenties verstrekt, moet weten dat zijn data correct wordt gebruikt. En een leverancier die inzichten ontvangt, moet weten dat die inzichten gebaseerd zijn op betrouwbare en correct verwerkte data.

ISO 27001 certificering is de manier waarop we dat vertrouwen aantonen. Niet als marketingboodschap, maar als extern getoetste standaard. Dat is het fundament waarop de samenwerking tussen leveranciers en retailers via Captain is gebouwd.

‍

Vragen over databeveiliging? Neem contact op.

Wil je meer weten over hoe Captain omgaat met jouw specifieke databronnen, compliance vereisten of beveiligingsarchitectuur? Vraag een strategisch gesprek aan waarin we meteen praktische antwoorden kunnen geven op jouw situatie.