ISMS-Scope
Dit document definieert de reikwijdte van het Information Security Management System (ISMS) voor ISMS Copilot, geëxploiteerd door Better ISMS (Frankrijk). Het identificeert de grenzen en toepasbaarheid van het ISMS, rekening houdend met onze organisatorische context, belanghebbenden en raakvlakken met externe diensten.
Dit scope-document volgt ISO 27001:2022 Clausule 4.3 en wordt jaarlijks beoordeeld of wanneer er significante wijzigingen optreden in onze diensten, integraties of organisatiestructuur.
Organisatie
Veld | Waarde |
|---|---|
Juridische Entiteit | Better ISMS |
Jurisdictie | Frankrijk (EU) |
Product | ISMS Copilot — AI-gestuurde compliance-assistent |
Bedrijfsmodel | B2B SaaS (op basis van abonnementen) |
Gebruikers | ~800 (voornamelijk gevestigd in de EU, wereldwijd beschikbaar) |
ISMS Scope-verklaring
Het ISMS is van toepassing op de ontwikkeling, exploitatie en het beheer van het ISMS Copilot-platform — een in de cloud gehoste, AI-gestuurde SaaS-applicatie die organisaties ondersteunt bij de naleving van managementsystemen voor informatiebeveiliging.
Applicaties en Diensten binnen de Scope
Component | Technologie | Hosting |
|---|---|---|
Frontend webapplicatie | React, TypeScript, Vite | Vercel (wereldwijd CDN) |
Backend chatdienst | Deno, TypeScript | Fly.io (regio CDG, Parijs) |
Database en authenticatie | PostgreSQL, Supabase Auth | Supabase Cloud (EU — Frankfurt) |
Bestandsopslag | S3-compatibel | Supabase Storage (EU — Frankfurt) |
Edge-functies | Deno | Supabase Edge |
Integraties van Derden binnen de Scope
Integratie | Doel | Scope-dekking |
|---|---|---|
Anthropic (Claude) | Standaard AI-chatprovider | Datastromen, sleutelbeheer, monitoring van providers |
OpenAI (GPT-4.1) | Documentdetectie | Datastromen, sleutelbeheer |
xAI (Grok) | Documentformattering | Datastromen, sleutelbeheer |
Mistral AI | Advanced Data Protection-modus | Datastromen, sleutelbeheer, ZDR-verificatie |
Google (Gemini) | Alternatieve AI-chatprovider | Datastromen, sleutelbeheer |
Stripe | Betalingsverwerking | Webhook-beveiliging, abonnementsbeheer |
ConvertAPI | Bestandsconversie (PDF, DOCX, XLSX) | Datastromen, bestandsverwerking |
SendGrid | E-mails met beveiligingswaarschuwingen | Aflevering van waarschuwingen |
Gegevens binnen de Scope
Gegevenscategorie | Binnen Scope |
|---|---|
Chatberichten van gebruikers en AI-antwoorden | Ja |
Geüploade bestanden en geëxtraheerde inhoud | Ja |
Gebruikersaccount- en authenticatiegegevens | Ja |
Metadata voor abonnementen en facturering | Ja |
Gebruikersinstellingen en werkruimte-instructies | Ja |
Tokenverbruik en gebruiksgegevens | Ja |
Applicatielogs en foutrapporten | Ja |
Processen binnen de Scope
Proces | Binnen Scope |
|---|---|
Levenscyclus van softwareontwikkeling (SDLC) | Ja |
Wijzigingsbeheer en implementatie | Ja |
Incidentdetectie, respons en herstel | Ja |
Risicobeoordeling en -behandeling | Ja |
Toegangsbeheer en beoordeling | Ja |
Vulnerability management | Ja |
Leveranciersbeheer | Ja |
Gegevensbescherming en privacy | Ja |
Bedrijfscontinuïteit en herstel na calamiteiten | Ja |
Monitoring- en Ontwikkelingstools binnen de Scope
Tool | Doel | Scope-dekking |
|---|---|---|
Sentry | Foutopsporing (frontend + backend) | PII-opschoning, log-hygiëne |
PostHog | Productanalyse | Dataminimalisatie |
BetterStack | Uptime-monitoring, statuspagina | Configuratie van waarschuwingen |
GitHub | Broncode, CI/CD-pipelines | Toegangscontrole, beheer van geheimen, pipeline-beveiliging |
Vercel CI/CD | Frontend-implementatie | Implementatiebeveiliging |
Uitsluitingen van de Scope
Uitsluiting | Rechtvaardiging |
|---|---|
Fysieke kantoorinfrastructuur | Team werkt volledig op afstand; geen fysiek kantoor om te beveiligen |
Persoonlijke apparaten van werknemers | BYOD-omgeving; beveiligingscontroles bevinden zich op de applicatie- en platformlaag, niet op het eindpunt |
Beveiliging aan de klantzijde | Klantomgevingen, eindpunten en interne netwerken vallen buiten de controle van ISMS Copilot |
Interne activiteiten van derden | Interne beveiliging van leveranciers wordt beheerst door hun eigen certificeringen (SOC 2, ISO 27001) en ons leveranciersbeheersbeleid |
Marketingwebsite | Statische marketingsite op aparte infrastructuur; geen verwerking van gebruikersgegevens |
ISMS-grensdiafgram
De ISMS-grens omvat het beheer van interfaces met externe entiteiten:
Eindgebruikers maken via browsers verbinding met de Frontend (Vercel), die communiceert met Supabase (DB/Auth/Storage/Edge Functions) en de Fly.io Chat Service
Fly.io Chat Service communiceert met AI Providers (Anthropic, OpenAI, xAI, Mistral, Gemini) and de Supabase DB
Stripe en ConvertAPI worden benaderd via Supabase Edge Functions
GitHub Actions beheert de CI/CD-pipeline
Sentry, PostHog, en BetterStack bieden monitoring en observeerbaarheid
Alle opgeslagen data (data at rest) bevindt zich binnen EU-infrastructuur (Frankfurt). De backend chatdienst draait in Parijs (CDG). API-oproepen aan AI-providers kunnen via eindpunten buiten de EU verlopen, wat is gedocumenteerd in onze Transfer Impact Assessment.
Toepasbare Standaarden en Frameworks
Standaard | Toepassingsgebied |
|---|---|
ISO/IEC 27001:2022 | Volledig ISMS — alle clausules en toepasbare Annex A-beheersmaatregelen |
ISO/IEC 42001:2023 | AI Management System — van toepassing op AI-componenten |
AVG (GDPR) | Alle verwerkingsactiviteiten van persoonsgegevens |
SOC 2 | Trust Services Criteria — Veiligheid, Beschikbaarheid, Vertrouwelijkheid |
Nederlandse/Franse wetgeving inzake gegevensbescherming | Nationale AVG-implementatie |
Beoordeling van de Scope
Dit scope-document wordt jaarlijks beoordeeld, wanneer nieuwe diensten of integraties worden toegevoegd, wanneer de organisatiestructuur verandert, bij het betreden van nieuwe markten of jurisdicties, en naar aanleiding van bevindingen uit de managementbeoordeling. Wijzigingen aan de ISMS-scope vereisen goedkeuring van de CEO en leiden tot een herziening van de Verklaring van Toepasselijkheid, de risicobeoordeling en getroffen beleidsregels.