Veiligheid van uw gegevens

Reflex Online neemt dit zeer serieus. We laten jaarlijks door een externe partij zogenaamde penetratietesten uitvoeren om te waarborgen dat derden niet bij uw data kunnen. Daarnaast sluiten wij met u een verwerkersovereenkomst (inclusief datalek protocol) waarin de afspraken zijn vastgelegd betreffende onze omgang met uw data.

Vanaf 25 mei 2018 is de Wet bescherming persoonsgegevens (Wbp) vervangen voor de Algemene Verordening Gegevensbescherming (AVG). De AVG heeft betrekking op alle bedrijven in Europa die persoonsgegevens (adres, telefoonnummer, geboortedatum etc.) verwerken.

Met de nieuwe wet krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacyrechten. Het is belangrijk dat u transparant bent over de wijze waarop u persoonsgegevens verwerkt.


Verwerkersovereenkomsten

Wanneer er gebruik wordt gemaakt van reserverings-en of afsprakensoftware is een verwerkersovereenkomst nodig. Wij zijn een verwerker en u kunt aangeven hoe wij moeten om gaan met uw data / persoonsgegevens.
U kunt de verwerkersovereenkomst aanvragen en invullen en getekend mailen naar uw accountmanager. Wij zullen de overeenkomst ook tekenen en per mail terugsturen.


Onze veiligheidsmaatregelen

  • Alle berichten worden versleuteld verstuurd middels een SSL versleuteling.
  • Jaarlijkse penetratietesten op onze software door een onafhankelijk bureau.


Windows Azure en Patriot Act

De veiligheid van uw data is de reden dat wij onze applicaties hosten bij Windows Azure van Microsoft. Zij zijn volledig ISO gecertificeerd en voldoen aan alle veiligheidseisen. Wij hebben, in het kader van de Patriot Act een contract met hen afgesloten dat waarborgt dat alle data binnen Europe blijven. Een uitgebreide beschrijving van de wijze waarop Windows Azure de veiligheid van uw data waarborgt, is beschreven in deze whitepaper.


4 Criteria

Voor een online afspraken- en reserveringssysteem is het van het grootste belang dat de gegevens van uw klanten optimaal worden beveiligd. Aan de hand van vijf criteria geven wij aan hoe Reflex-Online heeft gewaarborgd dat uw gegevens en die van uw klanten veilig zijn.


Netwerk

Het netwerk maakt communicatie met de webapplicatie mogelijk. Onjuist geconfigureerde firewalls, onjuist of onvoldoende gesegmenteerde netwerken en kwetsbare DNS-configuraties kunnen er bijvoorbeeld toe leiden dat een webapplicatie niet meer beschikbaar is of succesvol wordt aangevallen. 

Al het verkeer van en naar Reflex-Online is beveiligd d.m.v. Transport Layer Security, TLS. (Zie http://nl.wikipedia.org/wiki/Secure_Sockets_Layer). Daarnaast is de data ook fysiek gescheiden van de applicatie die er bewerkingen op doet. De applicatie en de database zijn gescheiden door een firewall met een zeer strikt IP-adresbereik. Dit betekent dat het netwerktechnisch gesproken, niet mogelijk is om de database van buitenaf direct te benaderen.


Platform

Als patches ontbreken, bestaat de mogelijkheid dat aanvallers kwetsbaarheden in een besturingssysteem kunnen misbruiken om toegang te krijgen tot een webapplicatie. Ook het gebruik van onveilige beheermechanismen (zoals FTP en Telnet) of onjuiste configuratie van het platform kan ertoe leiden dat aanvallers onrechtmatige toegang tot een systeem verkrijgen. 

Reflex-Online heeft zeer bewust gekozen voor de hosting van haar applicaties bij Microsoft. De Reflex-Online applicaties draaien op het Windows Azure-platform. Dit platform wordt onderhouden door specialisten van Microsoft. Zij dragen zorg voor het up-to-date houden van alle standaard software componenten (zoals het besturingssysteem, web-servers en .Net-framework). Het up-to date houden van de software is een strak geautomatiseerd proces. Reflex-Online bouwt voort op deze componenten.


Applicatie

Kwetsbaarheden in webapplicaties doen zich vaak voor op applicatieniveau. Bekende voorbeelden daarvan zijn SQL injection en Cross-Site Scripting (XSS). Kwetsbaarheden ontstaan vaak door een gebrek aan beveiligingsbewustzijn bij ontwikkelaars. Ook gebruiken zij lang niet altijd veilige programmeertechnieken. Tenslotte voeren ontwikkelaars vaak onvoldoende controles uit op de invoer van gebruikers en de uitvoer die daar weer op gebaseerd is. 

Om XSS en/of SQl injection aanvallen te weren, worden alle waardes die worden ontvangen, eerst gecontroleerd voordat ze verwerkt worden op inhoud. Mocht de inhoud kwetsbaar blijken, dan wordt de verwerking stopgezet en wordt verbinding met de externe, mogelijk kwaadaardige partij, afgebroken.


Identiteit- en toegangsbeheer

Veel webapplicaties vereisen authenticatie van eindgebruikers en beperken op basis van autorisatiemechanismen de toegang tot onderdelen van de website. Een zwak authenticatiemechanisme kan ertoe leiden dat ongeautoriseerde personen toegang verkrijgen tot de webapplicatie. Dit geldt ook voor sessiemanagement dat niet correct geïmplementeerd is. Een ander mogelijk probleem is dat bezoekers door bijvoorbeeld het aanpassen van een URL toegang krijgen tot de gegevens van andere personen. Reflex-Online maakt gebruik van de standaard sessiemanagement die wordt aangeboden door Microsoft. Reflex-Online controleert daarnaast op verschillende momenten, in verschillende lagen, of de verbonden gebruiker toegang mag hebben tot de informatie die hij of zij wil inzien of bewerken.


Vertrouwelijkheid en onweerlegbaarheid

De vertrouwelijkheid van gegevens komt in het geding wanneer een webapplicatie, gegevens niet versleutelt. Als gegevens bij het opslaan of versturen niet versleuteld worden, is de kans aanwezig dat aanvallers deze data onderscheppen of onttrekken aan databases via bijvoorbeeld SQLinjectieaanvallen. Door de data versleuteld uit te wisselen met de servers van Reflex-Online, is het onmogelijk om data tussentijds te onderscheppen. Enkel de ontvanger (de browser) en de afzender(server) weten berichten om te zetten naar hun oorspronkelijke formaat. Het Windows Azure-platform inspecteert de communicatie van en naar de servers toe. Wanneer hier iets verdachts wordt gedetecteerd, een DOS-aanval bijvoorbeeld, wordt dit automatisch ondervangen. Daarnaast gaat Reflex-Online zeer nauwkeurig om met de data die van anderen ontvangen wordt. Reflex-Online is zich bewust van kwaadaardige aanvallen en probeert deze in een vroeg stadium te detecteren en te blokkeren.