Veiligheid van uw gegevens


“De Wet bescherming persoonsgegevens bepaalt dat u met persoonsgegevens van uw klanten en werknemers zorgvuldig moet omgaan. Dat doet u onder andere door deze gegevens te beveiligen tegen verlies of diefstal. Ook moet u uw klanten en werknemers informeren over wat er met hun gegevens gebeurt.” Bron website Rijksoverheid.

Reflex Online neemt dit zeer serieus. We laten jaarlijks door een externe partij zogenaamde penetratietesten uitvoeren om te waarborgen dat derden niet bij uw data kunnen. Daarnaast sluiten wij met u een bewerkersovereenkomst (inclusief datalek protocol) waarin de afspraken zijn vastgelegd betreffende onze omgang met uw data.

Windows Azure

De veiligheid van uw data is de reden dat wij onze applicaties hosten bij Windows Azure van Microsoft. Zij zijn volledig ISO gecertificeerd en voldoen aan alle veiligheidseisen. Wij hebben, in het kader van de Patriot Act,  een contract met hen afgesloten dat waarborgt dat alle dat binnen Europe blijven.

5 Criteria

Voor een online afspraken systeem is het van het grootste belang dat de gegevens van uw klanten optimaal worden beveiligd. Aan de hand van vijf criteria geven wij aan hoe Reflex-Online heeft gewaarborgd dat uw gegevens en die van uw klanten veilig zijn.

Netwerk

Het netwerk maakt communicatie met de webapplicatie mogelijk. Onjuist geconfigureerde firewalls, onjuist of onvoldoende gesegmenteerde netwerken en kwetsbare DNS-configuraties kunnen er bijvoorbeeld toe leiden dat een webapplicatie niet meer beschikbaar is of succesvol wordt aangevallen.

Al het verkeer van en naar Reflex-Online is beveiligd d.m.v. Transport Layer Security, TLS. (Zie http://nl.wikipedia.org/wiki/Secure_Sockets_Layer). Daarnaast is de data ook fysiek gescheiden van de applicatie die er bewerkingen op doet. De applicatie en de database zijn gescheiden door een firewall met een zeer strikte IP-adresbereik. Dit betekent dat het netwerktechnisch gesproken, niet mogelijk is om de database van buitenaf direct te benaderen.

Platform

Als patches ontbreken, bestaat de mogelijkheid dat aanvallers kwetsbaarheden in een besturingssysteem kunnen misbruiken om toegang te krijgen tot een webapplicatie. Ook het gebruik van onveilige beheermechanismen (zoals FTP en Telnet) of onjuiste configuratie van het platform kan ertoe leiden dat aanvallers onrechtmatige toegang tot een systeem verkrijgen.

Reflex-Online heeft zeer bewust gekozen voor de hosting van haar applicaties bij Microsoft. De Reflex-Online applicaties draaien op het Windows Azure-platform. Dit platform wordt onderhouden door specialisten van Microsoft. Zij dragen zorg voor het up-to-date houden van alle standaard software componenten (zoals het besturingssysteem, web-servers en .Net-framework). Het up-to date houden van de software is een strak geautomatiseerd proces. Reflex-Online bouwt voort op deze componenten.
VIR 2007 compliant. Het VIR2007 is een voorschrift, een beleidsstuk welke het normenkader omschrijft waarbinnen de Nederlandse overheid wil werken als het gaat om informatiebeveiliging. De ISO17799 is opgenomen binnen de VIR2007 ( compliant zijn met de ISO17799, is de basis voor het informatie- beveiligingsbeleid van de rijksoverheid). 

Applicatie

Kwetsbaarheden in webapplicaties doen zich vaak voor op applicatieniveau. Bekende voorbeelden daarvan zijn SQL injection en Cross-Site Scripting (XSS). Kwetsbaarheden ontstaan vaak door een gebrek aan beveiligingsbewustzijn bij ontwikkelaars. Ook gebruiken zij lang niet altijd veilige programmeertechnieken. Tenslotte voeren ontwikkelaars vaak onvoldoende controles uit op de invoer van gebruikers en de uitvoer die daar weer op gebaseerd is.

Om XSS en/of SQl injection aanvallen te weren, worden alle waardes die worden ontvangen, eerst gecontroleerd voordat ze verwerkt worden op inhoud. Mocht de inhoud kwetsbaar blijken, dan wordt de verwerking stopgezet en wordt verbinding met de externe, mogelijk kwaadaardige partij, afgebroken.

Identiteit- en toegangsbeheer

Veel webapplicaties vereisen authenticatie van eindgebruikers en beperken op basis van autorisatiemechanismen de toegang tot onderdelen van de website. Een zwak authenticatiemechanisme kan ertoe leiden dat ongeautoriseerde personen toegang verkrijgen tot de webapplicatie. Dit geldt ook voor sessiemanagement dat niet correct geïmplementeerd is. Een ander mogelijk probleem is dat bezoekers door bijvoorbeeld het aanpassen van een URL toegang krijgen tot de gegevens van andere personen. Reflex-Online maakt gebruik van de standaard sessiemanagement die wordt aangeboden door Microsoft. Reflex-Online controleert daarnaast op verschillende momenten, in verschillende lagen, of de verbonden gebruiker toegang mag hebben tot de informatie die hij of zij wil inzien of bewerken.

Vertrouwelijkheid en onweerlegbaarheid

De vertrouwelijkheid van gegevens komt in het geding wanneer een webapplicatie, gegevens niet versleutelt. Als gegevens bij het opslaan of versturen niet versleuteld worden, is de kans aanwezig dat aanvallers deze data onderscheppen of onttrekken aan databases via bijvoorbeeld SQLinjectieaanvallen. Door de data versleuteld uit te wisselen met de servers van Reflex-Online, is het onmogelijk om data tussentijds te onderscheppen. Enkel de ontvanger (de browser) en de afzender(server) weten berichten om te zetten naar hun oorspronkelijke formaat. Het Windows Azure-platform inspecteert de communicatie van en naar de servers toe. Wanneer hier iets verdachts wordt gedetecteerd, een DOS-aanval bijvoorbeeld, wordt dit automatisch ondervangen. Daarnaast gaat Reflex-Online zeer nauwkeurig om met de data die van anderen ontvangen wordt. Reflex-Online is zich bewust van kwaadaardige aanvallen en probeert deze in een vroeg stadium te detecteren en te blokkeren.

Wij hosten bij Windows Azure

Zij voldoen aan de hoogste veiligheidseisen. Een uitgebreide beschrijving van de wijze waarop Windows Azure de veiligheid van uw dat waarborgt is beschreven in deze whitepaper. Wij hebben met contractueel afgestemd dat de gegevens binnen de Europese Unie blijven. Dit in verband met de Patriot Act.