Beveiligingsbeleid Perflectie

2017

1. Introductie

Binnen Perflectie wordt zeer veel waarde gehecht aan de bescherming van persoons-gegevens. Dit uit zich in de naleving van de privacy wet- en regelgeving. Naast deze vastgestelde regels hanteert de IT- en Ontwikkelafdeling een set eigen procedures om de veiligheid van de persoonsgegevens en de stabiliteit van de applicatie te waarborgen.

2.      Technische documentatie
Ter ondersteuning van de ontwikkeling van Perflectie wordt er gebruik gemaakt van diverse technische documenten, zoals bijvoorbeeld schema’s, diagrammen en ‘wireframes’.

Deze documenten worden beschikbaar gesteld aan de ontwikkelaars en het IT management via de dienst Google Drive en/of de Source Control server.

Technische documentatie bevat verder geen gevoelige informatie.

3.      Server
Perflectie draait op een Virtual Private Server van TransIP[1]. Het beheer van de server is in handen van de server administrator van Perflectie. Medewerkers van TransIP hebben geen toegang tot de operationele zijde van Perflectie.

Perflectie behoudt het recht om medewerkers van TransIP toegang tot de server te verlenen indien zij dit nodig acht vanuit een technische behoefte.

3.1          Programmatuur
De server draait op Windows Server 2012 met uiterst geringe features. Vrijwel alle programmatuur is onderdeel van het Microsoft server platform, zoals Internet Information Manager en Server Manager.

3.2          Updates
De server wordt automatisch voorzien van de laatste updates.

3.3          Datacentrum
Het datacentrum is in handen van The Datacenter Group te Amsterdam. Het datacentrum heeft 24/7 on-site bewaking, biometrische identificatie en een HD CCTV netwerk. Het datacentrum is ISO 9001, ISO 27001 en ISO 14001 gecertificeerd. Daarmee zijn kwaliteitsmanagement, beveiliging en milieumanagement optimaal gewaarborgd.

3.4          Toegankelijkheid
Het datacentrum is onbereikbaar voor onbevoegden. De server is via een Remote Desktop verbinding beschikbaar voor de server administrator en – in het geval van deployment – voor de in-house ontwikkelaars van Perflectie.

4.      OTAP
Perflectie maakt gebruik van de een Ontwikkel-, Test- en Productie omgeving. Elk van deze omgevingen draait op een aparte server.

5.      Database
Perflectie maakt gebruik van een instantie van SQL Server 2012 Express. De database server wordt niet gebruikt voor andere applicaties en/of doeleinden. Naast de Perflectie applicatie database host de server tevens de Perflectie error logging database.

5.1          Toegankelijkheid
De database server wordt beheerd door de server administrator. Naast de server administrator heeft de database administrator volledige toegang tot de database server. De ontwikkelaars van Perflectie hebben uitsluitend leesrechten op de productie database.

5.2          Back-up
Er wordt elke dag om 01:00 een back-up gemaakt van de productie-, test- en error logging databases.

De back-ups worden veilig opgeslagen op één of meerdere externe dragers, zoals externe schijven en beveiligde Cloud Storage diensten.

6.      Applicatie

6.1          Logging

Perflectie hanteert een strict error logging beleid. De logs worden opgeslagen in een aparte SQL database en bevatten geen persoonlijke informatie.

6.2          Encryptie

Perflectie maakt gebruik van de encryptie en hashing functionaliteit van het ontwikkelplatform.

Op het moment van schrijven bestaat het hashing algoritme uit een SHA1[2] versleutelde “key” welke is gegenereerd door een PBKDF2[3] functie.

Alle wachtwoorden worden versleuteld middels deze methode.

6.3          Foutafhandeling

Het ontwikkelteam doet er alles aan om fouten in de applicatie op te vangen en af te handelen. Mocht er toch onverhoopt een fout de eindgebruiker bereiken, dan treedt er een mechanisme in werking die de technische details van de desbetreffende fout verbergt.

Deze details zijn achteraf op te halen door ontwikkelaars van Perflectie.

6.4          Tokens

Perflectie maakt geen gebruik van cookies, maar van de opslag functionaliteit van de browser om zogenaamde “Access Tokens”[4] op te slaan. Deze tokens zijn versleuteld en bevatten geen gevoelige informatie zoals wachtwoorden.

De client (browser) logt in op de autorisatie server. Als de gegevens correct zijn dan verschaft de autorisatie server een Access Token welke kan worden gebruikt om te communiceren met de Resource Server.

Een token wordt met elke request meegestuurd in de request-header. De resource server ontvangt de code in de token en controleert de token voordat er toegang wordt verleend tot afgeschermde onderdelen.

6.5          Authorizatie

De  Access Token in sectie 6.4 bestaat uit een serie ‘Claims’. Perflectie maakt namelijk gebruik van een Claims-based Identity model. Een claim kan bijvoorbeeld een rol binnen Perflectie zijn.

6.6          Rollen

Een gebruiker van Perflectie krijgt op basis van zijn of haar rol toegang tot afgeschermde delen van de applicatie. Er worden geen rechten gekoppeld aan individuele gebruikers. Hiermee voorkomt Perflectie dat één gebruiker ongemerkt meer rechten ontvangt dan zijn of haar bevoegdheid voorschrijft.

7.      Broncode

De broncode van Perflectie bestaat deels uit maatwerk en deels uit voorgeprogrammeerde code van het applicatie framework, welke de basis vormt van de Perflectie applicatie.

Perflectie maakt in de back-end gebruik van ASP.NET MVC en Web API van Microsoft.

7.1          Git

Perflectie maakt gebruik van een versiebeheer systeem genaamd Git. Git is een gedistribueerde versiebeheersysteem, waarbij – in tegenstelling tot andere versiebeheer systemen – niet slechts de wijzigingen worden gedownload van de server, maar juist een complete kopie van de broncode (de ‘repository’), inclusief alle wijzigingen van alle teamleden.

Op deze manier is de code altijd veilig, want bij het uitvallen van één systeem kan één van de andere systemen de distributie zonder dataverlies herstellen.

7.2          Cloud

De Git repository van Perflectie wordt gehuisvest door de Team Foundation Server van Microsoft in de cloud.

7.3          Toegankelijkheid

De Git repository is alleen toegankelijk voor de ontwikkelaars van Perflectie. Er is per ontwikkelaar een account nodig met de bijbehorende lees- en schrijfrechten.

8.      Continuïteitsplanning

Er kan altijd iets mis gaan met de server, maar in tegenstelling tot vroegere tijden, is het tegenwoordig vrij eenvoudig om de ‘downtime’ te beperken en de data van de applicatie veilig te stellen.

8.1          Disaster Recovery

Perflectie heeft een efficiënt ‘rampenplan’ op de plank liggen. Bij ernstig falen van de server kan Perflectie binnen zeer korte  tijd weer in de lucht zijn.

Het platform kan in de regel binnen de tijdspan van 1 uur weer volledig operationeel zijn. Bij deze berekening wordt uitgegaan van het correct functioneren van de diensten van de domein registrar en volledige toegang tot de DNS van Perflectie.nl. Mocht deze toegang niet kunnen worden verleend, dan zal Perflectie tijdelijk worden opgezet onder een andere domeinnaam totdat de domein registrar weer toegang kan verlenen tot de DNS van Perflectie.nl.

[1] https://www.transip.nl

[2] http://en.wikipedia.org/wiki/SHA-1

[3] http://en.wikipedia.org/wiki/PBKDF2

[4] http://tools.ietf.org/html/draft-ietf-oauth-v2-bearer-04

checklist

Download nu het gratis 'Actieplan voor deelnemers'

In het actieplan zitten de 5 elementen verwerkt die Runkeeper gebruikt om mensen te stimuleren.

Als je jouw deelnemers dit actieplan gedurende de training laat invullen, vergroot je de kans enorm dat ze hun persoonlijke doel halen.  

icon-certificaat-2

Informatie aanvragen

Leuk dat je interesse hebt in de certificering van Perflectie. We doen je graag een aanbod op maat.

Als je hieronder je gegevens achterlaat, nemen we binnen 2 werkdagen contact met je op.

Bedankt voor je aanvraag! We nemen binnen 2 werkdagen contact met je op.

checklist

Download GRATIS het overzicht van 78 gedragingen

Per gedraging is bepaald hoe goed het te ontwikkelen is. Kies voor je training zoveel mogelijk makkelijk ontwikkelbaar gedrag dat past bij het onderwerp van de training. Zo maak je nog meer impact als trainer.

package

Download nu GRATIS de Toolbox Veranderen in de praktijk

 

Ontvang 6 dagen lang de beste E-books, templates en werkvormen om continu leren te stimuleren.

Gefeliciteerd! Je ontvangt binnen enkele minuten de eerste tool in je mailbox.

Stretch assignment

Download nu GRATIS de starters guide ‘In 7 stappen naar effectieve stretch assignments’

 

Met dit stappenplan zet je mensen op een positieve manier aan tot leren dat direct bijdraagt aan de organisatiedoelstellingen

Gefeliciteerd! Je ontvangt binnen enkele minuten de starters guide in je mailbox.

6 principes gedragsverandering-2

Download nu GRATIS het
E-book 'De 6 principes van succesvolle gedragsverandering’

 

 

Gefeliciteerd! Je ontvangt binnen enkele minuten het E-book in je mailbox.

Pin It on Pinterest