Informatiebeveiliging, privacy en naleving

Informatiebeveiliging, privacy en naleving

Inleiding

Intersoftware is de leverancier van Adviesbox Online en heeft (informatie)beveiliging hoog in het vaandel staan. Wij willen onze klanten zekerheid bieden over de beveiliging, beschikbaarheid, verwerking, integriteit en vertrouwelijkheid van hun eigen gegevens en die van hun klanten. 

Vandaar dat Intersoftware beschikt over een ISO 270001;2013 certificering. Dit is het onafhankelijke en objectieve bewijs dat Intersoftware serieus en continu met de beveiliging van gegevens bezig is. Dit wordt elk jaar door een onafhankelijke auditor vastgesteld. Security awareness en privacy maken een belangrijk onderdeel uit van onze cultuur. Raadpleeg ons privacystatement om inzicht te krijgen in welke persoonsgegevens wij verwerken en hoe wij met deze persoonsgegevens omgaan. Dit uit zich ook in alle maatregelen die we hebben genomen rond de inrichting van Adviesbox Online.

In dit artikel lees je het volgende:  
  1. Algemene informatie.
  2. Het verloop van de inkomende en uitgaande stromen.
  3. Hoe Adviesbox Online is ingericht.
  4. De beschikbaarheid van Adviesbox Online.
  5. Logging, monitoring en alerting.

Algemene informatie

SaaS-applicatie 
Adviesbox Online is een SaaS-applicatie (Software as a Service). Dit wil zeggen dat de applicatie in de cloud staat en dat er via het internet op gewerkt kan worden.

Beheer van Microsoft Azure door Synlogic
Adviesbox Online is ingericht op Azure, het cloudplatform van Microsoft. Dit vraagt specialistische kennis, daarom hebben we Synlogic gevraagd om ons te helpen bij de keuzes voor de inrichting. Zij zijn Microsoft Gold Partner en doen voor ons het beheer van Microsoft Azure (hierna Azure genoemd).

Aantal voordelen van Azure
Door de keuze van Azure kan Intersoftware een volledig beveiligde en afgeschermde omgeving bieden, waarin je kunt werken waar en wanneer je wilt. Bovendien maakt Azure gebruik van de modernste technologie, ook op het gebied van cybersecurity en is altijd up-to-date met patches.

Inkomende en uitgaande stromen

Azure Front Door 
Adviesbox Online maakt gebruik van Azure Front Door. Alle inkomende (en zelfs een groot deel van het interne) dataverkeer komt hier binnen of loopt erlangs. Front Door regelt alle gegevensstromen en zorgt ervoor dat deze de juiste bestemming bereikt. Ook de controle en het beheer van certificaten is hier ingericht. In Front Door is voor Adviesbox Online een WAF (Web Application Firewall) ingericht. Daarin is de OWASP ruleset ingericht op basis van de huidig bekende (web)aanvallen. De WAF detecteert en beschermt tegen dergelijk aanvallen. Tenslotte is binnen Front Door ook DDoS-bescherming ingericht.

Inloggen
Vanuit het internet kan er direct op het systeem ingelogd worden. De identificatiemodule maakt gebruik van Object Identifier (OID). Inloggen gebeurt altijd met Multi Factor Authentification (MFA). In dit geval log je in met een wachtwoord en het gebruik van een Authenticator (Time-based One-Time Password). Bij de verbinding wordt uitgegaan van TLS 1.2
 
Uitgaande gegevensstromen
Er is een aantal koppelingen naar softwarepakketten van andere partijen. De uitgaande API’s hebben beschermende maatregelen. De belangrijkste uitgaande API is die van HDN.

Inrichting Adviesbox Online

Dataverkeer blijft binnen beveiligde omgeving van Microsoft
Adviesbox Online is opgebouwd uit apps: webapps om het front-end in te richten (hetgeen een gebruiker op het scherm krijgt te zien) en API-apps met daarin achterliggende programma's, zoals rekenmodules. Alle communicatie tussen onderdelen verloopt via API’s en deze lopen allemaal via Azure Front Door. Dit zorgt ervoor dat al het dataverkeer binnen de beveiligde omgeving van Microsoft blijft.

Voor elke klant is een eigen database ingericht
Bijzonder is dat er voor iedere klant van Intersoftware een eigen database is ingericht. Daarbij maakt het dus niet uit of onze klant een zelfstandig adviseur is of een groot assurantiekantoor. Dit is ook in lijn met ons uitgangspunt dat elke klant verantwoordelijk is voor zijn eigen data. Dit betekent dat de data  inhoudelijk juist moet zijn, maar ook de rechten van betrokkenen in het kader van de AVG (inzage, rectificatie, verwijdering enzovoort). Intersoftware en haar onderaannemers hebben geen toegang tot deze database.

Opslag gegevens
Alle gegevens in Adviesbox Online worden opgeslagen op beveiligde servers van Microsoft in West-Europa (Amsterdam). De AVG is dan ook volledig van toepassing. 

Inrichting
Schematisch ziet dit er als volgt uit:

Beschikbaarheid

Beschikbaarheid
Microsoft Azure garandeert 99% beschikbaarheid.

Autoscaling
Voor de dagelijkse belasting maakt Adviesbox Online gebruik van autoscaling. Dat wil zeggen dat op- en afschalen van de benodigde capaciteit automatisch plaatsvindt op basis van de belasting.

Back-ups
Van alle bestanden worden vrijwel continue back-ups gemaakt (minimaal elke 10 minuten). Het terugzetten van back-ups zal periodiek getest worden. Deze back-ups worden voor 30 dagen bewaard.

Disaster recovery
Mochten deze maatregelen niet voldoende zijn, hebben we onder de noemer ‘disaster recovery’ geïdentificeerd wat er allemaal toch nog mis kan gaan en welke acties dan ondernomen moeten worden om de continuïteit te blijven garanderen.

Logging, monitoring en alerting

We hebben alerts ingesteld om automatisch geïnformeerd te worden als er activiteiten gesignaleerd worden die een risico zijn voor continuïteit of veiligheid. Zodat het direct duidelijk wordt dat een onderdeel niet goed functioneert waardoor Adviesbox Online verminderd beschikbaar is, of om (pogingen tot) hacken te signaleren. Op ernstige alerts wordt 24/7 geacteerd.​