De beveiliging van het MijnKennis platform
Al jouw gegevens zijn veilig op het digitaal klantportal van MijnKennis
Al jouw gegevens delen via een online platform? Logisch dat je wilt weten of jouw gegevens wel veilig zijn en goed beveiligd. Hieronder lees je een uitvoerig artikel waarin wordt uitgelegd welke beveiligingsmaatregelen.
Welke beveiligingsmaatregelen komen kijken bij het verwerken van jouw gegevens?
Er zijn meerdere beveiligingsmaatregelen genomen om jouw gegevens te beschermen tegen lekken, verlies en diefstal. Tenslotte zorgen onze development en deployment processen en software features voor een hoge mate van beveiliging in overeenstemming met de Algemene Verordening Gegevensbescherming.
De specs van de beveiliging
Mijn Kantoor wordt gehost op Amazon Web Services (AWS), een platform dat een streng beveiligingsprogramma onderhoudt en beschikt over een zeer goede infrastructuur.
- Netwerk beveiliging. AWS biedt services om de privacy en het beheer van netwerktoegang te vergroten.
- Voorraadbeheer en configuratiebeheer. De tools die door AWS worden aangeboden, voldoen aan de normen en best practices van de hosting industrie.
- Hyper moderne data centers. AWS data centers zijn gebouwd met een innovatief architectuur en ontwikkelingsproces.
- AWS voegt een beveiliging slag toe aan uw gegevens met verschillende encryptiesfuncties, zoals EBS, S3, Glacier, Oracle RDS, SQL Server RDS en Redshift.
- Mijn Kantoor implementeert AWS-toegangscontroles voor back-ups, die beleid voor gebruikerstoegang definiëren, afdwingen en beheren.
- Netwerk monitoring en bescherming. AWS heeft geautomatiseerde systemen die de AWS-omgeving van Mijn Kantoor controleren op ongewone of ongeautoriseerde activiteiten.
De gegevens die zijn opgeslagen in de AWS-datacenters zijn ondergebracht in onopvallende faciliteiten en hebben de volgende kenmerken om gegevens zo veilig mogelijk te houden:
- Gecontroleerde fysieke toegang. Toegang wordt gecontroleerd door videobewaking, inbraakdetectiesystemen, professioneel beveiligingspersoneel en twee-factor-authenticatie.
- Branddetectie en -onderdrukking. Automatische apparatuur voor branddetectie en -onderdrukking.
- Elektrische energiesystemen zijn overal aanwezig en worden 24 uur per dag, 7 dagen per week onderhouden.
- Klimaat en temperatuur. Klimaat en temperatuur worden constant gecontroleerd.
- Preventief onderhoud en onderhoud van elektrische, mechanische en ‘life support’ systemen.
- AWS Compliance Programma
AWS heeft een compliance-programma geïmplementeerd om de beveiliging en gegevensbescherming in de cloud te handhaven. Dit zijn de beveiligingscertificeringen die gelden voor Mijn Kantoor:
- Amazon web services
- C5
- Cyber Essentials Plus
- DoD SRG
- FedRAMP
- FIPS
- ISO 9001
- ISO 27001
- ISO 27017
- ISO 27018
- PCI DSS Level 1
Lees meer over AWS-certificeringen op de AWS-website: Cloud Computing Services – Amazon Web Services (AWS) .
Applicatie Infrastructuur
De applicatie infrastructuur van ons digitaal klantplatform is geïnstalleerd op Kubernetes. Kubernetes is een open-source container-orkestratiesysteem voor het automatiseren van applicatie-implementatie, schaling en beheer. Het werd oorspronkelijk ontworpen door Google en wordt nu beheerd door de Cloud Native Computing Foundation. De infrastructuur voor het MijnKennis platform wordt geleverd en beheerd door Osso BV.
De infrastructuur en het operationeel beheer wordt in lijn met het ISMS (Information Security Management System) van OSSO B.V. uitgevoerd en valt binnen de scope van haar ISO27001:2013 en NEN7510:2017 certificering.
- Ingericht voor hoge beschikbaarheid (high availability by design)
- Dienst verdeeld over meerdere datacenters
- 24/7 storingsdienst (bereikbaar voor meldingen en opvolging meldingen uit monitoringsystemen)
- Backup & herstel (nieuwe omgeving en volledig herstel van backups binnen 4 uur mogelijk)
- Infrastructuur is geschikt om hoge piekbelasting te handelen.
- Bescherming tegen DDoS middels directe aansluiting op de NaWaS (Nationale Wasstraat tegen DDoS-aanvallen)
- Toegang tot de infrastructuur en data is persoonsgebonden, herleidbaar en beperkt tot wat nodig is voor uitvoering van de werkzaamheden.
- Toegang tot infrastructuur management componenten vereist multi-factor authenticatie.
- Logs met toegang, wijzigingen en (beveiligingsgerelateerde) gebeurtenissen worden verwerkt en opgeslagen voor operationeel beheer en audit doeleinden.
- Geautomatiseerde scans op kwetsbaarheden (CVE vulnerability scans software images).
- Beveiliging van communicatie. Gebruik van encryptie en volgen van best practices. HTTPS, TLS
Backups
Het MijnKennis klantportaal heeft meerdere omgevingen voor back-ups om gegevens te beschermen tegen verlies of verwijdering. Platform.sh-back-ups bestaan uit snapshots die op Platform.sh-servers zijn opgeslagen. We bewaren 4 backups voor de laatste dag, 7 backups voor de laatste week en 12 backups voor het laatste jaar. Het bestaat uit alle bestanden (iedere dag), sourcecode (continue) en de database (iedere 6 uur). Data back-ups worden off-site opgeslagen in een extern datacenter. Alle back-ups bevatten de gegevens die nodig zijn om de site te herstellen naar een willekeurige hostingprovider.
Daarnaast is er een geautomatiseerd proces dat kopieën van alle installaties maakt, opslaat en encrypt. Dit biedt extra zekerheid dat geen informatie verloren gaat en dat back-ups snel hersteld kunnen worden. Back-ups worden off-site opgeslagen op de locatie AWS S3 EU Frankfurt. Elke klant heeft zijn eigen omgeving en de toegang tot de back-ups is strikt gereguleerd.
Bescherming van klantgegevens
Ons klantportaal heeft een gebruikersgericht ontwerp, waarin privacy van gebruikers en keuzevrijheid voorop staan. We zijn ons bewust van de Algemene Verordering Gegevensbescherming die van kracht is.
Onze beveiligingsprocessen
Er zijn tal van beveiligingsprocessen om te zorgen dat elk project en de bijbehorende gegevens worden beveiligd. Deze werkwijzen worden hieronder samengevat.
- Beperkte toegang tot gegevens
Er is beperkte toegang tot de productiegegevens en slechts een paar, specifieke personen kunnen updates uitvoeren. Toegang tot het platform wordt alleen met behulp van beveiligde verbindingen uitgevoerd. - De rollen die zijn toegekend aan medewerkers kennen verschillende beperkingen. De admin-beheerder kan bijvoorbeeld niet door iemand anders worden aangepast. Normale gebruikers hebben geen toegang tot sitebeheerfuncties (bijvoorbeeld gebruikers bekijken, bewerken of verwijderen). En sitebeheerders hebben alleen toegang tot strikt noodzakelijke functies.
Logische toegangsbeveiliging gebruikers
Een user verkrijgt toegang tot de applicatie middels logische toegangsbeveiliging . Elke user meldt zich aan met een eigen username en password, waarbij tevens gebruik kan worden gemaakt van 2factor authenticatie. Elke user heeft een profiel dat op basis van een autorisatietabel rechten kan worden toegekend. Een user heeft alleen toegang tot die onderdelen van de data waarvoor rechten zijn toegekend.
Code Reviews
Onze leverancier van ons platform voert ‘peer reviews’ van code uit. Dat zorgt ervoor dat er geen code wordt geïmplementeerd, voordat er ten minste één andere persoon naar heeft gekeken. Bovendien zijn er geautomatiseerde reviews die systematisch controleren op veelvoorkomende beveiligingsproblemen, en ook een proces dat de toevoeging van afhankelijkheden van code met bekende beveiligingsproblemen voorkomt.
HTTPS-verbindingen
Er wordt gebruikt gemaakt van HTTPS-verbindingen voor toegang tot de applicatie.
Wachtwoordbeveiliging
Administratieve accounts gebruiken alleen sterke wachtwoorden en zijn alleen beschikbaar voor een beperkt aantal personen.