ALGEMEEN BELEID

Security

Security

Beveiliging van persoonsgegevens en bedrijfsgevoelige informatie kan sinds een aantal jaren rekenen op groeiende aandacht van overheden en leveranciers. Het grote aantal meldingen van datalekken, de forse toename van slachtoffers van identiteitsfraude en de voortdurende dreiging van cyberaanvallen laten zien dat die aandacht terecht is.

Als leverancier van softwareproducten en -diensten en als bewerker heeft Centric in de afgelopen jaren maatregelen getroffen voor de beveiliging van gevoelige gegevens. Bestaande en nieuwe wet- en regelgeving vereisen steeds weer nieuwe maatregelen in onze producten en diensten.

  • De Algemene Verordening Gegevensbescherming (AVG) van de EU (GDPR)
  • De Europese eIDAS-verordening voor elektronische identificatie
  • Eenduidige Normatiek Single Information Audit (ENSIA) met als doel om het verantwoordingsproces over informatieveiligheid bij gemeenten verder te professionaliseren
  • Normenkader 2.0 van het DigiD Beveiligingsassessment

Ook wordt van organisaties gevraagd om meer transparant te zijn over de mate waarin zij aan beveiligingseisen voldoen. In dit hoofdstuk leest u welke maatregelen Centric neemt om u in staat te stellen invulling te geven aan deze verantwoordelijkheid.

 

Ontwikkeling van veilige software

De basis voor security ligt bij de ontwikkeling van veilige software. Centric gebruikt hiervoor de methode en normenkaders van Secure Software Development (SSD) van het Centrum Informatiebeveiliging en Privacybescherming (CIP). Als kennispartner van het CIP draagt Centric daarnaast actief bij aan kennisopbouw om de informatievoorziening van organisaties veilig te krijgen en te houden. Met de methode Grip op SSD geven wij klanten meer inzicht in onze werkwijze voor het ontwikkelen van veilige software.

Centric heeft een team van ethical hackers (het Red Team) die structureel security audits en pentesten uitvoeren op de softwareproducten en diensten. Bij het testen wordt onder andere gebruik gemaakt van de SSD-normenkaders, de Top 10 Application Security Risks van OWAP en de NCSC ICT-Beveiligingsrichtlijnen voor Webapplicaties.

 

Assurance-verklaringen

Overheidsorganisaties besteden steeds meer dienstverlening uit en nemen software af uit de cloud. Om te kunnen voldoen aan de vereiste transparantie over informatiebeveiliging vragen zij aan hun leveranciers om garanties te geven in de vorm van assurance-verklaringen. Centric heeft meerdere vormen van verklaringen afgestemd op de dienstverlening:

  • DigiD-assessments
    Logius vereist een jaarlijks ICT-beveiligingsassessment voor applicaties die DigiD gebruiken. Voor deze assessment heeft Logius een norm opgesteld afgeleid van de NCSC ICT-Beveiligingsrichtlijnen voor webapplicaties. De toetsing moet worden uitgevoerd door een Register EDP-auditor.

    Voor de betreffende applicaties laat Centric jaarlijks een externe auditor een assessment uitvoeren voor het applicatiegedeelte en het hostingsgedeelte van de norm. De Third Party Mededeling (TPM) die we aan onze klanten ter beschikking stellen voorziet in een audit op de meeste normen. Een klein gedeelte betreft een audit op bijvoorbeeld het securitybeleid van de klant. Onze TPM kan samen met het gedeelte van de klant bij Logius ter verificatie worden aangeboden.

  • Certificering clouddiensten
    Centric IT Outsourcing Services heeft voor de levering van (cloud)diensten een informatiebeveiligingsbeleid opgesteld en geïmplementeerd conform de beveiligingsnorm ISO 27001. De beheeractiviteiten die worden uitgevoerd voor clouddiensten zijn dan ook volgens deze norm gecertificeerd.

    Op basis van jaarlijkse risicobeoordelingen, audits, wijzigingen in wet- en regelgeving en business requirements scherpen we ons informatiebeveiligingsbeleid waar nodig aan.

    Voor klanten die hierom vragen biedt Centric IT Outsourcing een ISAE 3402 type 2-verklaring. ISAE 3402 is een standaard voor de rapportage over uitbestede processen. Doordat bedrijven steeds meer en vaker processen uitbesteden, is ook de vraag naar de beheersing van die uitbesteding toegenomen. Een ISAE 3402-rapport geeft zekerheid dat de uitbestede processen condorm de afspraken worden uitgevoerd. Daarnaast waarborgt ISAE 3402 dat de verwerking in de jaarrekening goed is.

 

  • Verwerkersovereenkomst
    De AVG schrijft voor dat bij verwerking van persoonsgegevens door een verwerker (in dit geval Centric) de afspraken en maatregelen om een veilige verwerking te garanderen worden vastgelegd in een verwerkersovereenkomst. Centric heeft  samen met de Gebruikersvereniging Centric en de Informatiebeveiligingsdienst (IBD) een standaard verwerkersovereenkomst opgesteld. Deze overeenkomst is al veelvuldig gebruikt voor de dienstverlening aan klanten.

  • Applicatie assurance-verklaringen
    Applicaties die gebruik maken van DigiD kennen een jaarlijkse beveiligingsassessment waarbij een TPM wordt afgegeven. Ook voor applicaties die DigiD niet gebruiken, maar waarin wel gevoelige gegevens worden verwerkt is er behoefte aan een assurance-verklaring. Samen met de GV Centric onderzoeken we de mogelijkheid om voor deze applicaties een gezamenlijke audit te laten uitvoeren resulterend in een assurance-verklaring. Het voornemen is om in 2018 een audit op de Suite4Sociale Regie te laten uitvoeren.

 

Beveiliging van databases

De beveiliging van persoonsgegevens en bedrijfsgevoelige gegevens in databases vereist extra maatregelen om ongeoorloofd gebruik (buiten de reguliere applicaties om) te voorkomen. Centric hanteert richtlijnen en best practices voor de beveiliging van databases. Deze richtlijnen betreffen onder andere een wachtwoordbeleid en het intrekken van onnodige rechten en toegang. Met de uitrol van Oracle 12c zijn de volgende aanvullende diensten en producten beschikbaar:

 

  • Transparent Data Encryptie
    Met Oracle Transparent Data Encryptie (TDE) versleutelt u in één keer een complete database. Transparent verwijst hierbij naar het feit dat deze vorm van encryptie transparant is voor de applicatie die de database gebruikt. Met TDE wordt diefstal van complete databases waardeloos.

  • Oracle-database-securitycheck
    Met de Oracle-database-securitycheck kunt u zelf periodiek controleren of uw databases aan de richtlijnen voldoen.

  • Oracle-passwordcheck en Oracle-passwordpolicies
    Met de Oracle-passwordcheck signaleert u eenvoudig of uw medewerkers zwakke of veel voorkomende wachtwoorden gebruiken. Om te zorgen dat uw medewerkers geen nieuwe zwakke wachtwoorden meer aanmaken, biedt Centric een service voor het genereren van profielen met wachtwoordpolicies. Deze profielen koppelt u in de Oracle-database aan gebruikers om het gebruik van sterke wachtwoorden af te dwingen.

  • Database Security Guard
    Database Security Guard monitort 24 uur per dag de toegang tot de databases van uw Centric-applicaties. De Security Guard registreert alle handelingen op de data in de databases. Zo is dus altijd precies inzichtelijk wie welke data benadert en waar en wanneer dat gebeurt. Iedere poging tot misbruik van data - bewust of onbewust - wordt door de Security Guard gesignaleerd, geblokkeerd en geregistreerd.

 

Dienstverlening

Naast de hierboven beschreven maatregelen biedt Centric meerdere diensten die u in staat stellen te voldoen aan de beveiligingseisen:

  • ondersteuning bij Privacy & Risk Impact Assessments
  • security audits en pentesten op uw omgeving
  • ondersteuning bij de security- en passwordchecks op uw Oracle-databases
  • HelloMe: een SaaS-dienst voor het centraal beheren van uw digitale identiteiten, Single Sign On voor uw applicaties, strikter wachtwoordbeleid en het door gebruikers zelf resetten van wachtwoorden