Certificeringen voor Beveiliging en Naleving:

Aangezien Billtrust een cloud service provider (CSP) is waarmee klanten hun producten en diensten uitbesteden, voeren we jaarlijks een SSAE 18 SOC 1 Type 2 en SOC 2 Type 2 audit uit.  Onze audits worden uitgevoerd door een geaccrediteerde, onafhankelijke derde.

Een SOC 1-audit evalueert de effectiviteit van de interne controles van een CSP die van invloed zijn op de financiële rapporten van een klant die de cloudservices van de provider gebruikt. De Statement on Standards for Attestation Engagements (SSAE 18) is de norm waaronder de audit wordt uitgevoerd en vormt de basis van het SOC 1-rapport.

Een SOC 2-audit meet de effectiviteit van het systeem van een CSP, gebaseerd op de AICPA Trust Service Criteria. Een attestopdracht onder atteststandaarden (AT) sectie 101 vormt de basis van het SOC 2-rapport.  Billtrust neemt op zijn minst Beveiliging, Vertrouwelijkheid en Beschikbaarheid op in de SOC 2-audit.

Billtrust is een organisatie met sterke waarden, zoals op het gebied van verantwoordelijkheid en integriteit. Onze gedragscode bevat algemene richtlijnen voor zakendoen volgens de hoogste ethische normen.

Billtrust zet zich in voor een omgeving waarin open, eerlijke communicatie het uitgangspunt en niet de uitzondering is. We willen dat je je op je gemak voelt als je je manager of personeelszaken benadert in gevallen waarin je denkt dat ons beleid of onze normen zijn overtreden.

In situaties waarin je je niet op je gemak voelt of waarin je liever een anonieme melding doet, kun je gebruikmaken van deze hotline, die wordt gehost door de externe hotlineprovider EthicsPoint. Je kunt hier niet alleen melding maken van overtredingen zoals beschreven in onze gedragscode, maar ook om advies vragen en positieve suggesties doen.

De informatie die je verstrekt, wordt als je daarvoor kiest vertrouwelijk en anoniem door EthicsPoint naar ons doorgestuurd. We garanderen je dat er naar je opmerkingen geluisterd wordt.

Zie de veelgestelde vragen over EthicsPoint voor meer informatie.

Een melding doen

Je kunt op een van de volgende twee manieren een melding doen:

• Klik hier om een melding te doen
OF
• Bel vanuit de Verenigde Staten, Guam, Puerto Rico en Canada gratis naar 844-629-2890

Na het voltooien van je melding ontvang je een unieke code, die 'Report key' (meldcode) genoemd wordt. Noteer je meldcode en wachtwoord en bewaar ze op een veilige plaats. Na 5 tot 6 werkdagen kun je met je meldcode en wachtwoord controleren of je feedback of vragen over je melding hebt gekregen.

De Payment Card Industry (PCI) Data Security Standards (DSS) is een wereldwijde informatiebeveiligingsstandaard die is ontworpen om fraude te voorkomen door meer controle over creditcardgegevens. Organisaties van elke omvang moeten de PCI DSS-normen volgen als ze betaalkaarten accepteren van de vijf belangrijkste creditcardmerken: Visa, MasterCard, American Express, Discover en het Japan Credit Bureau (JCB). Naleving van PCI DSS is vereist voor elke organisatie die betalings- en kaarthoudergegevens opslaat, verwerkt of verzendt.

Billtrust voltooit jaarlijks een PCI DSS-beoordeling met behulp van een goedgekeurde Qualified Security Assessor (QSA). De beoordeling wordt afgesloten met een Attestation of Compliance (AoC) en Report on Compliance (RoC) uitgegeven door de QSA. De effectieve periode voor naleving is prospectief en begint na het slagen voor de audit en het ontvangen van de AoC van de beoordelaar, en eindigt een jaar na de datum waarop de AoC is ondertekend. Billtrust is gecertificeerd als compliant onder PCI DSS versie 3.2.1 op Service Provider Niveau 1.

Klanten die gebruik maken van de producten en diensten van Billtrust, met PCI-naleving, hebben aanzienlijk minder werk, kosten en inspanningen bij hun eigen PCI-nalevingscontrole.

Billtrust is een compatibele dienstverlener op lijsten met door VISA goedgekeurde dienstverleners.

De Health Insurance Portability and Accountability Act (HIPAA) is een Amerikaanse gezondheidswet die eisen stelt aan het gebruik, de openbaarmaking en de bescherming van individueel identificeerbare gezondheidsinformatie. Het is van toepassing op bepaalde gedekte instanties — dokterspraktijken, ziekenhuizen, zorgverzekeraars en andere zorgbedrijven — met toegang tot de beschermde gezondheidsinformatie (PHI) van patiënten, evenals op zakenpartners, zoals cloudservice- en IT-providers die namens zulke instanties de PHI verwerken. (De meeste gedekte entiteiten voeren functies zoals claims of gegevensverwerking niet zelf uit; ze vertrouwen op zakenpartners om dit te doen.)

Billtrust is een zakenpartner voor enige klanten die gedekte entiteiten zijn.

De HIPAA-regelgeving vereist dat gedekte entiteiten en hun zakenpartners — dat wil zeggen Billtrust, bij dienstverlening aan gedekte entiteiten — contracten aangaan om ervoor te zorgen dat de zakenpartners de PHI adequaat beschermen. Zulke contracten, Business Associate Agreements (BAA's) genaamd, verduidelijken en beperken hoe de zakenpartner met de PHI kan omgaan, en stellen vast dat elke partij zich houdt aan de beveiligings- en privacybepalingen die zijn uiteengezet in HIPAA en de HITECH-wet. Momenteel is er echter geen officiële certificering voor naleving van de HIPAA- of HITECH-wet, maar Billtrust ondergaat jaarlijks een risicobeoordeling.

NACHA is de trustee van het ACH-netwerk en beheert de ontwikkeling, administratie en regels voor het betalingsnetwerk dat financiële instellingen in de VS universeel met elkaar verbindt. Het netwerk, dat geld en informatie rechtstreeks van de ene bankrekening naar de andere verplaatst, ondersteunt meer dan 90 procent van de de totale waarde van alle elektronische betalingen in de VS NACHA vergemakkelijkt de uitbreiding en diversificatie van elektronische betalingen, door directe storting en directe betaling via ACH-transacties te ondersteunen, inclusief ACH-krediet- en debetbetalingen; terugkerende en eenmalige betalingen; overheids-, consumenten- en zakelijke transacties; internationale betalingen; en betalingen plus betalingsgerelateerde informatie. De NACHA Operating Rules & Guidelines is een jaarlijkse publicatie van NACHA — The Electronic Payments Association.

Billtrust verwerkt ACH-betalingen namens onze klanten als zowel een externe dienstverlener als een externe afzender. Daarom voert Billtrust jaarlijks een onafhankelijke, externe audit uit van onze ACH-activiteiten, zoals vereist door de ACH-bedrijfsregels.

Billtrust voert jaarlijks een risicoanalyse uit voor Bedrijfscontinuïteit en Noodherstel. Onze plannen zijn gebaseerd op de NFPA1600-norm voor beheer van rampen/noodgevallen en bedrijfscontinuïteit/continuïteit van activiteiten (editie 2022).

Billtrust heeft ook een pandemieplan dat jaarlijks wordt getest en met succes is geïmplementeerd tijdens de coronacrisis.  Meer dan 90% van het personeelsbestand van Billtrust vervulde met succes onze zakelijke functies en rollen terwijl ze op afstand werkten. Billtrust blijft dit hanteren als een doorlopende bedrijfsstrategie.

Billtrust onderhoudt een gedocumenteerd anti-witwasprogramma (AML) dat is ontworpen om te voldoen aan de contractuele verplichtingen met sponsorbanken. Het doel van ons AML-programma is om het algemene kader vast te stellen voor de strijd tegen het witwassen van geld, terrorisme, corruptie en andere financiële misdaden, om het witwassen van geld en de financiering van terrorisme te voorkomen, en om hiertoe toegewijd personeel op te leiden in juridische en interne procedures. AML staat ook bekend als Know Your Customer (KYC), Customer Due Diligence (CDD) of Customer Identification Program (CIP).

Billtrust voldoet aan het EU-US Data Privacy Framework ('EU-US DPF'), de aanvulling van het VK op het EU-VS DPF en het Swiss-US Data Privacy Framework ('Swiss-US DPF') zoals vastgesteld door het Amerikaanse ministerie van Economische Zaken. We hebben aan het Amerikaanse ministerie van Economische Zaken verklaard dat we voldoen aan de beginselen van het EU-US Data Privacy Framework voor de verwerking van persoonsgegevens die we ontvangen uit de Europese Unie op basis van het EU-US DPF en uit het Verenigd Koninkrijk (inclusief Gibraltar) op basis van de aanvulling van het VK op het EU-US DPF. We hebben ook aan het Amerikaanse ministerie van Economische Zaken verklaard dat we voldoen aan de beginselen van het Swiss-US Data Privacy Framework voor de verwerking van Persoonsgegevens die we ontvangen uit Zwitserland op basis van het Swiss-US DPF (gezamenlijk de 'DPF-beginselen').

Ga voor meer informatie over het DPF en om onze certificering te bekijken naar https://www.dataprivacyframework.gov/.

ISO/IEC 27001:2013 is een beveiligingsnorm waarin best practices voor beveiligingsbeheer en beveiligingscontroles via een Information Security Management System (ISMS) formeel gespecificeerd zijn. Deze formele specificatie bepaalt de vereisten voor het implementeren, bewaken, onderhouden en continu verbeteren van een ISMS. Certificering volgens ISO/IEC 27001:2013 helpt Billtrust Collections (iController) en Order2Cash te voldoen aan tal van wet- en regelgeving met betrekking tot informatiebeveiliging. Deze certificering wordt uitgevoerd door onafhankelijke, externe auditors. Onze naleving van deze norm is het bewijs van onze toewijding aan informatiebeveiliging om de binnen onze organisatie verwerkte gegevens en informatie te beschermen.