De Amsterdam IaaS-provider 3W Infra heeft het certificaat ISO/IEC 27001 en PCI DSS Compliance behaald. Het bedrijf is respectievelijk gecertificeerd voor ‘Information Security Management’ en de ‘Payment Card Industry Data Security Standard’. Channelweb spreekt met Roy Premchand, managing director van 3W Infra, over de prestatie.
Welke status of certificaat is behaald en wat kan de organisatie hiermee?
‘Wij hebben in een keer zowel ISO 27001:2013 als PCI-DSS (Payment Card Industry Data Security Standard) behaald. Daarmee is onafhankelijk vastgesteld dat de informatiebeveiliging en het informatiemanagement bij 3W infra op enterprise-niveau is geregeld. PCI-DSS toont daarnaast aan dat ook financiële gegevens en de afhandeling ervan bij ons in goede handen is. Het is niet goedkoop om dergelijke certificeringen te behalen, maar wij verwachten dat het een positief effect zal hebben op het soort klanten dat voor ons als IaaS-provider kiest. Wij bedienen bijvoorbeeld internationale cloud services providers en partijen binnen de wereldwijde gaming industrie. We denken dat de enterprise-level accreditaties ook nieuwe klanten met veeleisende it-infrastructuren zal aanspreken, zoals financiële instellingen, overheden en organisaties binnen de gezondheidszorg.’
Welke inspanningen zijn er verricht om deze certificering te behalen? Door wie of welk team in het bijzonder?
‘Onafhankelijk it audit bureau Noordbeek is voor beide certificeringen middels interviews in eerste instantie begonnen met het inventariseren van onze specifieke scope. Vervolgens hebben zij vastgesteld aan welke richtlijnen wij als IaaS-provider moeten voldoen en welke processen en maatregelen bij ons goed ingeregeld moeten zijn. Daarnaast gaat er veel werk zitten in het opstellen van rapportages met betrekking tot processen, verantwoordelijkheden en managementprocedures. Daar heb ik zelf als managing director een grote bijdrage aan geleverd, maar er is bijvoorbeeld ook veel input gegeven door onze engineering teams. De uiteindelijke audit voor ISO 27001 als PCI-DSS vindt plaats op basis van de toegestuurde documenten en een fysieke controle van geregelde procedures. Een dagdeel lang worden alle processen en procedures gecheckt. Je moet dus laten zien dat wat je beschreven hebt ook daadwerkelijk klopt. Veel zaken waren bij ons management-technisch al op orde, sommige dingen hebben we aangepast. Er zijn bijvoorbeeld extra camera’s opgehangen en er worden aanvullende sloten bijgeplaatst.’
Hoe profiteren reseller en/of eindklant van deze certificering of status?
‘CSP’s, systems integrators, MSP’s en ISP’s kunnen dankzij onze ISO 27001:2013 en PCI-DSS certificeringen aan hun eindklanten end-to-end garanties bieden als het gaat om een enterprise-niveau inrichting van hun it-infrastructuren. Dergelijke certificeringen worden door organisaties binnen finance, overheid en gezondheidszorg vaak als harde eis gesteld. In dat geval mag je alleen meedoen met offertetrajecten wanneer je deze certificaten kunt overleggen. Met de certificeringen zijn wij als IaaS-provider dus in staat om channel-partners klanten te laten bedienen die hoge eisen stellen aan hun it-infrastructuren. Daarmee kun je je als channel partner dus beter onderscheiden in de markt, terwijl het marge-technisch vaak ook interessant is om een hoger marktsegment te bedienen.’
Hoelang is de certificering geldig en wat moet er worden gedaan om deze te behouden?
‘Onze ISO 27001:2013 certificering is drie jaar geldig, de PCI-DSS certificering is één jaar geldig. Voor beide certificeringen geldt evenwel dat we jaarlijks de it audit moeten doorlopen om te laten checken of alle processen en managementprocedures nog steeds op hetzelfde kwaliteitsniveau zijn ingeregeld.’
Welke aanvullende certificeringen willen jullie nog behalen?
‘Wij bieden onze klanten een datacenter-neutrale ‘remote hands’-engineering service aan in Frankfurt, Amsterdam en Londen, op locaties met een grote concentratie aan datacenters. Veel van deze klanten bevinden zich wereldwijd en zijn niet in de positie om even over te vliegen om onze organisatieprocedures te checken. Ten behoeve van deze dienstverlening zouden wij graag onze accreditaties in de toekomst willen uitbreiden met SSAE 16, een certificering die zich meer generiek richt op een servicesorganisatie en in dit geval dus de interne controlemechanismen van 3W Infra als engineering service provider.’
3W Infra is een IaaS hosting provider die in 2014 is opgericht. Het bedrijf is gevestigd in Amsterdam en richt zich op het leveren van IaaS in zijn puurste vorm. Klanten kunnen bij 3W Infra terecht voor onder andere dedicated servers, colocatie, ip-transit en klantsupport.’
