Brink Software neemt jouw data serieus

Steeds meer opdrachtgevers, aannemers, installateurs, toeleveranciers en vastgoedbeheerders die gebruik maken van Brink Software applicaties en locatie en tijd onafhankelijk werken en geen omkijken meer willen hebben naar het installeren en beheren van software, gebruiken Brink Software applicaties via het internet. Door het toenemend gebruik van ‘Software-as-a-Service’ (Saas), verschuiven echter ook de verantwoordelijkheden voor de beschikbaarheid, vertrouwelijkheid en integriteit van de programmatuur en bijbehorende data. Brink beseft het bedrijfskritische belang van deze verantwoordelijkheden en heeft daarom het afgelopen jaar de internationaal erkende ISO 27001-certificering voor het beveiligen van bedrijfsinformatie behaald. De ISO 27001 is een standaard die gaat over informatiebeveiliging. In deze standaard staat hoe je procesmatig met het beveiligen van informatie kan omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen een organisatie zeker te stellen.

Wat zegt een certificaat?

Certificaten geven zekerheid. Echter het ene certificaat is niet het andere certificaat. Dat komt omdat een certificaat een weerslag is van wat door de auditor is gecontroleerd. De te certificeren organisatie geeft aan wat ze gecontroleerd willen hebben. Het ISO certificaat is hier te downloaden.

Er zijn wel regels voor het bepalen wat er wordt geaudit

Als organisatie mag je bepaalde delen van je dienstverlening uitsluiten en ook bepaalde delen van je organisatie. Er zijn echter wel regels voor wat je wel en niet mag uitsluiten. De auditor controleert dat en samen met de organisatie wordt de scope bepaald. De scope is een tekstuele omschrijving van de diensten / producten die geleverd worden. Deze scope staat op het certificaat.

Wat is de scope van Brink Software?

Het ontwikkelen, beheren en leveren van online applicaties en het aanbieden van support en consultancy diensten, zoals vastgesteld door de directie, en in overeenstemming met de Verklaring van toepasselijkheid.

Wat houdt de Verklaring van Toepasselijkheid in?

De ISO 27001 bestaat uit 2 delen. Een algemeen deel, in de norm terug te vinden in de hoofdstukken 4 tot en met 10. En een specifiek deel, in de norm terug te vinden in de Annex. In deze Annex staan de beheersmaatregelen met betrekking tot informatiebeveiliging, zoals bijvoorbeeld uitgifte van rechten, netwerkscheiding en de fysieke beveiliging. Van dit specifieke deel zijn beheersmaatregelen op ‘niet van toepassing’ te zetten. Dat betekent dan dat je dat deel van de norm niet hebt geïmplementeerd in jouw organisatie. De Verklaring van Toepasselijkheid is hier te downloaden.

Hoe meer je uitsluit hoe minder het certificaat waard is

Immers je hebt niks gedaan met dat deel van de norm dat je hebt uitgesloten. Hoe meer je uitsluit hoe minder je certificaat waard is. Nou kan het natuurlijk dat het logisch is om een deel uit te sluiten. Als je bijvoorbeeld software inkoopt en dus niet zelf ontwikkeld kan je, het deel dat gaat over ontwikkelen van software, uitsluiten. Jouw klanten zullen dat ook logisch vinden. Echter als je veel uitsluit zeg je daarmee dat je geen aandacht hebt voor dat deel uit de norm. Je hebt het immers niet geïmplementeerd in jouw organisatie. Het maakt dus geen deel uit van jouw managementsysteem voor informatiebeveiliging (het ISMS).

Wat heeft Brink Software uitgesloten in de Verklaring van Toepasselijkheid?

Brink Software heeft slechts één beheersmaatregel uitgesloten in de Verklaring van Toepasselijkheid. Dit is de beheersmaatregel: A14.2.7 Uitbestede softwareontwikkeling. De reden hiervoor is dat alle softwareontwikkeling intern plaatsvindt.

Algemeen

Wat is een ISMS?

ISMS staat voor Information Security Management System en is de vastlegging van de complete set van maatregelen, processen en procedures. Deze complete set is dus de manier / methode hoe een organisatie met informatiebeveiliging omgaat. Deze methode moet ook rekening houden hoe de organisatie van zichzelf leert zodat ze zich continu kunnen verbeteren.

Voor wie is ISO 27001 bedoeld?

Voor alle organisatie die willen aantonen dat zij een set van maatregelen, processen en procedures hanteren om aan stakeholders te laten zien dat zij serieus met informatiebeveiliging omgaan. Dit kunnen ICT bedrijven (zoals Brink Software) zijn, maar ook banken, verzekeraars, overheid, zorginstellingen en andere bedrijven die met vertrouwelijke informatie omgaan, bewerken of opslaan.

Waaruit bestaat de ISO 27000 familie?

De ISO 27001 norm staat niet op zichzelf, maar is onderdeel van de ISO 27000 familie. Hierin zijn bijvoorbeeld ook implementatie richtlijnen opgenomen (zie ISO 27002) en wordt er uitleg gegeven over hoe de ISO 27001 geaudit kan worden (zie ISO 27007 en ISO 27008).

Wat is een norm of standaard?

Een norm of standaard is een document met erkende afspraken, specificaties of criteria over een product, een dienst of een methode. Standaarden kunnen vastgelegd worden binnen een bedrijf of organisatie, binnen een consortium van organisaties of door erkende standaardisatieorganisaties. Erkende standaardisatieorganisaties (zowel nationale als internationale) werken volgens een bepaald proces en controleerbare regels.

Wat is informatiebeveiliging?

Dit is het geheel van preventieve, detective, repressieve en correctieve maatregelen alsmede procedures en processen die de vertrouwelijkheid, beschikbaarheid en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.

Wat is ISO 27001?

ISO 27001 is een standaard die gaat over informatiebeveiliging. In deze standaard staat hoe je procesmatig met het beveiligen van informatie kan omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen een organisatie zeker te stellen. Een organisatie die voldoet aan de ISO 27001 eisen kan zich door een certificerende instantie laten auditen. Bij voldoende niveau krijgt een organisatie dan een certificaat. De certificerende instantie doet dit volgens richtlijnen zodat er zeker gesteld wordt dat iedereen die zo’n certificaat krijgt ook aan bepaalde voorwaarden voldoet. Het belangrijkste is om een certificaat te krijgen met een stempel van de RvA erop. Dit is de Raad van Accreditatie, zij controleren de certificerende instantie op kwaliteit. Dit heet een “geaccrediteerde certificering” en geeft meerwaarde aan een ISO certificaat.

Waarom wilt Brink Software ISO 27001 gecertificeerd zijn?

Dit is nodig om ons bedrijf doorlopend veilig te houden. Dit zijn zowel organisatorische als technische stappen. Hierbij nemen we het volgende standpunt in; we nemen maatregelen: Die nodig zijn om de beveiliging van klantdata, bedrijfsgegevens, personeelsgegevens, bedrijfsmiddelen en collega's te garanderen. Om te voldoen aan wet- en regelgeving. Om de continuïteit van de bedrijfsvoering te garanderen. Om onze reputatie, en die van onze klanten te beschermen. Waarvan de baten opwegen tegen de kosten.

Webapplicaties

Is de applicatie compatibel met alle browsers? Wat zijn de minimale vereisten?

Klik hier voor onze systeemvereisten.

Hoe waarborgt Brink Software de kwaliteit van haar software?

De kwaliteit van de software wordt gewaarborgd middels het naleven van vele richtlijnen en (geautomatiseerde) procedures in het ontwikkel-, test-, uitlever- en beheersproces van onze software. Brink Software streeft ernaar om dit proces continu te verbeteren.

Is er een procedure voor datalekken?

Brink Software is geen verwerker van persoonsgegevens in hun producten. Datalekken hoeven dan ook niet gemeld te worden bij de autoriteit persoonsgegevens. Uiteraard is er een procedure voor beveiligingsincidenten van klantgegevens.

Is single sign on ook mogelijk voor de webapplicaties?

Nee, dit is nog niet mogelijk. De verwachting is dat onze oplossingen later dit jaar wordt geïntegreerd met Active Directory. Hierdoor is single sign on en ook 2-factor authenticatie mogelijk.

Bij wie ligt het intellectueel eigendom (IP) van de ingevoerde data?

De data is te allen tijde van de klant. Het intellectueel eigendom over deze data dus ook.

Wordt de software regelmatig gescand op hackpogingen, virussen, malware? En zo ja, hoe?

Brink Software maakt gebruik van Microsoft Azure. Hiermee zijn een aantal risico’s al automatisch afgedekt. Daarnaast maken we gebruik van NextGen Firewalls, Microsoft Endpoint Protection en Azure Security Center om onze platformen te beschermen en te monitoren.

Verloopt een sessie automatisch als gebruik wordt gemaakt van inlogaccounts?

Ja, de levensduur van een sessie is 15 minuten.

Hoe wordt communicatie van en naar de software geëncrypteerd (welk TLS-protocol)?

De communicatie van en naar de software wordt versleuteld middels TLS 1.2.

Als gebruik wordt gemaakt van inlogaccounts: is een systeembeperking aan het aantal inlogpogingen gesteld? Zo ja, welke beperking?

Na 10 foutieve inlogpogingen wordt een account voor 15 minuten gelocked.

Is er sprake van een multi-tenancy cloud-architectuur?

Voor de meeste webapplicaties is gekozen voor een shared multi-tenant omgeving. Voor IBIS-MAIN (Ibis Calculeren voor Vastgoed) is echter gekozen voor een database-per-tenant architectuur.

Hoe is de wachtwoordsterkte geborgd? Aan welke vereisten moet het wachtwoord voldoen?

Elk wachtwoord moet voldoen aan een minimale lengte van 8 karakters en minimaal 1 hoofdletter, 1 kleine letter, 1 cijfer en 1 speciaal teken bevatten. Momenteel is het nog niet mogelijk om in te loggen met single sign on, maar een koppeling met Active Directory staat op de planning.

Worden er penetratietesten uitgevoerd?

Jaarlijks worden de webapplicaties van Brink Software onderworpen aan een penetratietest. Alle aanbevelingen uit deze rapportage worden afhankelijk van de prioriteit zo spoeding mogelijk opgepakt door Brink Software.

Hoe veilig is de cloud?

De applicaties van Brink Software worden gehost in Microsoft Azure. Microsoft Azure biedt vertrouwelijkheid, integriteit en beschikbaarheid van gegevens van de klant, terwijl ook transparante aansprakelijkheid. Microsoft levert de beveiliging met meerdere lagen geleverd in fysieke datacenters, infrastructuur en bewerkingen in Azure datacentrums wereldwijd. Vertrouw op een cloud die is gebouwd met aangepaste hardware, beschikt over beveiligingsmaatregelen die zijn geïntegreerd in alle hardware- en firmwareonderdelen en die extra beveiliging biedt tegen bedreigingen als DDoS. Microsoft werkt met een team van meer dan 3.500 wereldwijde cyberbeveiligingsexperts die samenwerken om uw bedrijfsassets en gegevens in Azure te beschermen. Klik hier voor meer informatie.

Waar worden de webapplicaties gehost?

De applicaties van Brink Software worden gehost in Microsoft Azure in de regio West Europa. Dit betekent dat de applicaties en data worden gehost in datacenters in Nederland (Middenmeer). Deze datacenters voldoen aan de strengste beveiligingsrichtlijnen ISO/IEC 27001:2013 en 24-uurs bewaking.

Beleidsdomein

Heeft Brink Software documentatie van het ICT landschap met daarin onder andere de bedrijfsprocessen en de ICT-beveiligingsarchitectuur?

Ja. Dit is onderdeel van de ISO 27001 certificering en is op drie domeinen beschreven: Interne Automatisering, Softwareontwikkeling en Hosting.

Hoe worden contracten met derde partijen voor de uitbestede levering of beheer van webapplicaties opgesteld?

Voor uitbestede leveringen of beheer hebben wij een verwerkersovereenkomst en een geheimhoudingsverklaring met iedere leverancier.

Wordt er risicomanagement uitgevoerd op de infrastructuur van de webapplicatie omgeving?

Risicomanagement is onderdeel van de ISO 27001 certificering. Daarnaast voeren wij jaarlijks een nieuwe volledige risicoanalyse uit en wordt er jaarlijks door externen getoetst.

Hanteert Brink Software een cryptografiebeleid rond het beheer, opslag en distributie van cryptografisch materiaal?

Het cryptografiebeleid is onderdeel van de ISO 27001 certificering. Dit hanteren we op diverse niveaus in onze bedrijfsvoering zoals versleuteling op het verkeer, de opslag en back-up. Deze worden jaarlijks aan de geldende standaarden getoetst.

Heeft Brink Software een toegangsvoorzieningsbeleid geformuleerd, waarmee de toegang en het gebruik van ICT-diensten gereguleerd wordt

Toegangsvoorzieningsbeleid voor onze applicaties is op verschillende niveaus beschreven en is onderdeel van de ISO 27001 certificering. Zo hebben alleen onze administrators toegang tot het platform op het hoogste niveau met locatie en tijdrestricties en hebben de klanten een toegewezen medewerker de autorisatie gegeven om gebruikers toegang te verlenen.

Brink Software formuleert een informatiebeveiligingsbeleid?

Brink Software is ISO 27001 gecertificeerd voor haar interne automatisering, de ontwikkeling van software en het beheren van de hostingomgeving RDWEB. Brink Software heeft het certificaat Informatiebeveiligingsmanagement – ISO/IEC 27001:2013 met certificaatnummer ISC 246 behaald en besteedt hierin specifiek aandacht aan webapplicatie-gerelateerde onderwerpen zoals dataclassificatie, toegangsvoorziening en kwetsbaarhedenbeheer.

Uitvoeringsdomein

Formuleert het toegangsvoorzieningsbeleid van Brink Software richtlijnen voor de organisatorische en technische inrichting van de processen en middelen, waarmee de toegang en het gebruik van ICT-diensten gereguleerd wordt?

Het toegangsvoorzieningsbeleid is op verschillende niveaus beschreven en maakt onderdeel uit van de ISO 27001 certificering. Zo hebben alleen onze administrators toegang tot het platform op het hoogste niveau met locatie en tijdrestricties en hebben de klanten een toegewezen medewerker de autorisatie gegeven om gebruikers toegang te verlenen tot hun data.

Bevat operationeel beleid voor webapplicaties richtlijnen, instructies en procedures met betrekking tot ontwikkeling, onderhoud en uitfasering van webapplicaties?

Webapplicaties: Het Technisch Beleid voor softwareontwikkeling bevat richtlijnen en procedures met betrekking tot de ontwikkeling van onze software. De richtlijnen hebben met name betrekking op de kwaliteit en veiligheid van de software van begin tot einde

Is het webapplicatiebeheer procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten?

Het autorisatiebeheer is onderdeel van de ISO 27001 certificering en staat beschreven in het Technisch Beleid en de autorisatiematrix. Hierin zijn diverse niveaus beschreven met een gelaagdheid in autorisaties.

Beperkt de webapplicatie de mogelijkheid tot manipulatie door de invoer te normaliseren en te valideren, voordat deze wordt verwerkt?

Webapplicaties: De mogelijkheid tot manipulatie van invoer wordt middels validatie afgevangen. Daarnaast worden zaken als HTML-injectie en Cross Site Scripting (XSS) op invoervelden afgevangen.

De webapplicatie beperkt de uitvoer tot waarden die (veilig) verwerkt kunnen worden door deze te normaliseren?

Webapplicaties: Net als bij invoer wordt ook de uitvoer van waarden die worden teruggestuurd naar de gebruiker gecontroleerd, zodat er geenonbedoelde of ongewenste inhoud in de uitvoer zit. Ook hier worden zaken als HTML-injectie en Cross Site Scripting (XSS) afgevangen.

Is betrouwbaarheid van de webapplicatie gegarandeerd door het gebruik van privacy en cryptografische technieken?
Communiceert de webapplicatie alleen met onder- en achterliggende systemen voor de noodzakelijke functionaliteit?

Hosting: Het netwerk verkeer wordt gefilterd door een firewall waarbij deze alleen dat verkeer doorlaat naar de subnets indien dit geautoriseerd is.Webapplicaties: Het netwerkverkeer naar onze webapplicaties wordt gereguleerd middels Azure Application Gateway. Dit is een load balancer waarmee het het webverkeer naar de webapplicaties wordt beheerd.

Heeft een gebruikerssessie een beperkte levensduur en kan de gebruiker deze sessie zelf beëindigen?

Hosting: Een gebruikerssessie heeft twee niveaus. De eerste is toegang vanaf een publieke computer, waarbij de sessie heel beperkt is. De privésessie heeft een langere levensduur. De gebruiker kan de sessie niet beëindigen. Disconnected sessies worden na 1 uur definitief beëindigd.

Webapplicaties: De levensduur van een sessie is 15 minuten en wordt automatisch verlengd indien een gebruiker is ingelogd. Indien hij 15 minuten niets doet, uitlogt of zijn browser afsluit, dan wordt de sessie beëindigd.

Zijn er architectuur- en beveiligingsvoorschriften beschikbaar voor het implementeren, integreren en onderhouden van de webapplicaties?

Hosting: De architectuur- en beveiligingsvoorschriften zijn onderdeel van de ISO 27001 certificering waarbij LAPS, security aselines, encryptie en applicatie beveiligingsrichtlijnen automatisch worden geconfigureerd via het beleid.

Is er een hardeningrichtlijn voor het configureren van platformen beschikbaar?

Hosting: Hardening is toegepast op alle publieke onderdelen van het platform. Dit wordt periodiek getoetst door externen.

Heeft Brink Software een operationeel beleid voor platformen en webservers die richtlijnen, instructies en procedures voor inrichting en beheer van platformen en webservers formuleert?

Het operationeel beleid is onderdeel van de ISO 27001 certificering en is op drie domeinen beschreven: Interne Automatisering, Software Ontwikkeling en Hosting.

Is de webserver ingericht volgens een configuratie-baseline?

De configuratie van onze webservers is gedaan volgens de best practices van Microsoft. Dit is onderdeel van de ISO 27001 certificering en staat beschreven in het Technisch Beleid.

Zijn kritieke delen van systemen (bijv bestanden) beschermt door isolatie van overige delen?

Hosting: Het platform is qua architectuur ontworpen met beveiliging als basis (Security by Design) waarbij we meer dan 10 lagen definiëren. Brink Software maakt daarnaast gebruik van schijf versleuteling, directorygroepen, rechten op folder niveau, group policies, niet zichtbare folders gebaseerd op rechten, versleutelde back-up en firewalls op het netwerk verkeer.

Wordt het beheer van platformen uitgevoerd volgens het operationeel beleid voor platformen?

Er wordt voldaan aan het beheer van platformen volgens het operationeel beleid. Voorbeelden hiervan zijn het gelaagd beheer op het platform en dat beheerservers alleen toegankelijk zijn vanaf het Brink Software kantoor. Daarnaast kunnen beheer servers alleen ingeschakeld worden door middel van MFA door de beheerders en worden deze na werktijd automatisch uitgeschakeld.

Zijn er architectuur- en beveiligingsvoorschriften beschikbaar voor het implementeren, integreren en onderhouden van platformen en webservers?

Hosting: De architectuur- en beveiligingsvoorschriften zijn onderdeel van de ISO 27001 certificering waarbij LAPS, security aselines, encryptie en applicatie beveiligingsrichtlijnen automatisch worden geconfigureerd via het beleid.

Heeft Brink Software een operationeel beleid voor netwerken die richtlijnen, instructies en procedures voor inrichting en beheer van netwerken formuleert?

Het operationeel beleid voor netwerken is onderdeel van de ISO 27001 certificering en is op drie domein beschreven; Interne Automatisering, Software Ontwikkeling en Hosting

Is het netwerk gebaseerd op betrouwbare netwerkcomponenten, die zijn ondersteund door redundantie?

Het netwerk is gebaseerd op Microsoft Azure wat een hoge redundantie en beschikbaarheid van het systeem garandeert.

Is het netwerk gescheiden in logische en fysieke domeinen? Is er een DMZ aanwezig, gepositioneerd tussen het interne netwerk en het internet?

Bij Brink Software is er gebruik gemaakt van een gelaagd netwerk gescheiden door subnetten. De Next Gen firewall regelt het netwerkverkeer.

Worden de netwerkcomponenten en het netwerkverkeer beschermd door middel van protectie- en detectiemechanismen?

De protectie- en detectiemechanismen zijn onderdeel van de ISO 27001 certificering. Hierbij reguleren we met diverse monitoringssystemen op verschilllende niveaus. Wij laten bijvoorbeeld alleen verkeer die voor het specifieke subnet is toegestaan. Incidenten worden via het systeem gedetecteerd en centraal gemeld.

Zijn binnen de productieomgeving beheer- en productieverkeer van elkaar afgeschermd?

De Next Gen Firewall regelt netwerkverkeer dat wordt gescheiden door subnetten. Beheerverkeer is volledig gescheiden van het productieverkeer en heeft meerdere lagen qua restricties voor toegang.

Is er voor het configureren van netwerken een hardeningrichtlijn beschikbaar?

Hardening is toegepast op alle publieke onderdelen van het platform. Dit wordt periodiek getoetst door externen.

Garandeert de opzet van het netwerk dat alle gebruikers langs dezelfde netwerkpaden toegang krijgen tot webapplicaties, ongeacht hun fysieke locatie?

Gebruikers krijgen op een eenduidige centrale manier toegang tot onze applicaties, met uitzondering van de beheerders.

Zijn er architectuur- en beveiligingsvoorschriften beschikbaar voor het implementeren, integreren en onderhouden van de netwerken?

De architectuur- en beveiligingsvoorschriften zijn onderdeel van de ISO 27001 certificering en is op drie domein beschreven; Interne Automatisering, Software Ontwikkeling en Hosting.

Zorgen lokale firewalls ervoor dat het netwerkverkeer per platform beperkt blijft tot de toegestane communicatiestromen?

Hosting: Netwerkverkeer wordt gefilterd door een Next Gen Firewall en monitort het netwerkverkeer tussen de subnetten.Webapplicaties: Voor de hosting van onze webapplicaties maken we gebruik van Microsoft Azure. Hiermee zijn een aantal risico’s al automatisch afgedekt. Daarnaast maken we gebruik van NextGen Firewalls, Microsoft Endpoint Protection en Azure Security Center om onze platformen te beschermen en te monitoren.

Beheersdomein

Worden penetratietests procesmatig en procedureel, ondersteund door richtlijnen, uitgevoerd op de infrastructuur van de webapplicatie (scope)?

Jaarlijks worden de webapplicaties van Brink Software onderworpen aan een penetratietest door een externe onafhankelijke partij. Alle aanbevelingen uit dit rapport worden afhankelijk van de prioriteit z.s.m. opgepakt door Brink Software.

Worden beveiligingsscans procesmatig en procedureel uitgevoerd op de ICT-componenten van de webapplicatie (scope)?

Dagelijks worden er beveiligingsscans uitgevoerd op de code van onze webapplicaties. Doormiddel van SonarCloud worden onder meer de punten uit de OWASP top 10 bij elke build gecontroleerd.

Is het beschikbaarheidsbeheer procesmatig ingericht, zodat bij calamiteiten de webapplicaties binnen de gestelde termijn wordt hersteld en voortgezet?

Beschikbaarheidsbeheer is een belangrijk onderdeel van de ISO 27001 certificering waarbij de SLA van alle onderdelen wordt gewaarborgd. Deze wordt periodiek met alle leveranciers besproken en beoordeeld.

Is het patchmanagement procesmatig en procedureel, ondersteund door richtlijnen zodat de laatste (beveiligings) patches tijdig worden geïnstalleerd in de ICT-voorzieningen.

Patchmanagement is onderdeel van de ISO 27001 certificering waarbij patches/wijzigingen worden beoordeeld op urgentie, en getest alvorens we uitrollen op productie.

Is het wijzigingenbeheer procesmatig en procedureel uitgevoerd zodat wijzigingen in de ICT-voorzieningen van webapplicaties tijdig, geautoriseerd en getest worden doorgevoerd?

Wijzigingenbeheer is onderdeel van de ISO 27001 certificering waarbij wijzigingen worden beoordeeld op urgentie, en alle wijzigingen worden geregistreerd.

Worden de loggings- en detectie-informatie (registraties en alarmeringen) en de condities van de beveiliging van ICT-systemen regelmatig gemonitord (bewaakt, geanalyseerd) en de bevindingen gerapporteerd?

Op de hostingomgeving en webapplicaties zijn verschillende vormen van monitoring, logging en alerting ingericht. Dit is onderdeel van de ISO 27001 certificering waarbij we alerts op niveau van beschikbaarheid, vertrouwelijkheid en integriteit beoordelen. Aanpassingen worden geregistreerd en behandeld in het ISMS.

Zijn binnen de webapplicatieomgeving signaleringsfuncties (registratie en detectie) actief en efficiënt, effectief en beveiligd ingericht?

Op de hostingomgeving en webapplicaties zijn verschillende vormen van monitoring, logging en alerting ingericht. Dit is onderdeel van de ISO 27001 certificering waarbij we alerts op niveau van beschikbaarheid, vertrouwelijkheid en integriteit beoordelen. Aanpassingen worden geregistreerd en behandeld in het ISMS.

Wordt de inrichting en de beveiliging van de webapplicaties procesmatig en procedureel gecontroleerd op basis van beveiligingsrichtlijnen en webapplicatie-architectuur?

Jaarlijks worden de webapplicaties van Brink Software onderworpen aan een penetratietest door een externe onafhankelijke partij. Alle aanbevelingen uit dit rapport worden afhankelijk van de prioriteit z.s.m. opgepakt door Brink Software.

Is er een servicemanagementbeleid die richtlijnen voor beheerprocessen, controleactiviteiten en rapportages ten behoeve van het beheer van ICT-diensten formuleert?

Het servicemanagementbeleid is onderdeel van de ISO 27001 certificering waarbij we via OGSM en ons ISMS maandelijks alle incidenten bespreken, beoordelen en verbeteringen actief doorvoeren in onze systemen.

Internet beveiligingsstandaarden en versleuteling

Welke open beveiligingsstandaarden worden door Brink Software toegepast? Denk hierbij aan: HTTPS, HSTS en TLS conform NCSC richtlijnen, DNSSEC, SPF, DKIM, DMARC, STARTTLS en DANE.

Hosting: Binnen Brink Software maken we gebruik van de volgende beveiligingsstandaarden HTTPS, TLS en DNSSEC, terwijl HSTS op de planning staat. SPF, DKIM, DMARC, STARTTLS en DANE zijn niet van toepassing.Webapplicaties: Voor onze webapplicaties maken we gebruik van de volgende beveiligingsstandaarden HTTPS en TLS. DNSSEC wordt niet ondesteund door Microsoft Azure. De overige standaarden zijn niet van toepassing.

Welke hashing algoritmes worden gebruikt voor het ondertekenen van SSL-certificaten?

Brink Software maakt gebruik van SHA-256RSA voor de ondertekening van de SSL-certificaten.

Zijn de SSL-certificaten op een trusted niveau vastgelegd?

De SSL-certificaten zijn vastgelegd op organisatie validatie (midden-hoog niveau).

Voldoet Brink Software aan het vereiste van minimaal TLS 1.2 voor cryptografische protocollen zoals SSL en/of TLS?

Hosting: Het hostingsplatform zal Microsoft volgen en in de loop van 2020 is gepland om TLS 1.0 en 1.1 uit te faseren. Voor TLS 1.0 en 1.1 zijn alle zwakke protocollen uitgeschakeld om level A certificaatstatus te behouden.Webapplicaties: Voor al onze webapplicaties is TLS 1.2 de minimale versie.

Is het mogelijk om IP-blokkering te implementeren?

Hosting: Het is mogelijk om IP-blokkering toe te passen. Dit wordt niet standaard geleverd maar is mogelijk op aanvraag.Webapplicaties: Voor onze webapplicaties is het mogelijk om IP-blokkering toe te voegen.

Wordt er door Brink Software gebruik gemaakt van DNSSEC voor DNS-services?

Hosting: Bij Brink Software maken wij gebruik van DNSSEC op onze DNS servers.Webapplicaties: Azure DNS ondersteunt momenteel geen Domain Name System Security Extensions (DNSSEC).

Certificering

Behoudt Brink Software deze certificering gedurende de gehele contractperiode en toont jaarlijks, d.m.v. een extern auditrapport, aan dat de informatiebeveiliging van de online dienst is gewaarborgd?

Brink Software is ISO 27001 gecertificeerd voor haar interne automatisering, de ontwikkeling van software en het beheren van de hostingomgeving RDWEB. Brink Software heeft het certificaat Informatiebeveiligingsmanagement – ISO/IEC 27001:2013 met certificaatnummer ISC 246 behaald. Jaarlijks vind er een audit plaats door een externe gecertificeerde partij.

Verstrekt Brink Software de meest recente rapportages toesturen met betrekking tot audits en resultaten van de penetratietest met de gebruiker?

Brink Software verstrekt rapportages met betrekking tot audits en resultaten van de penetratietest uitsluitend op verzoek van een bevoegde gebruiker.

Beschikt Brink Software, in het kader van informatiebeveiliging, over een ISO/IEC 27001:2013 certificering voor het ontwikkelen, leveren, implementeren en beheren van de applicatie?

Brink Software is ISO 27001 gecertificeerd voor haar interne automatisering, de ontwikkeling van software en het beheren van de hostingomgeving RDWEB. Brink Software heeft het certificaat Informatiebeveiligingsmanagement – ISO/IEC 27001:2013 met certificaatnummer ISC 246 behaald. Jaarlijks vind er een audit plaats door een externe gecertificeerde partij.

Is Brink Software bereid om mee te werken aan een penetratietest, uitgevoerd in opdracht van de gebruiker op elk gewenst moment door een externe onafhankelijke partij?

Hosting: Brink Software is bereid om mee te werken een een penetratietest op haar hostingplatform, indien de beschikbaarheid en performance van het platform niet in het gedrang komt. Daarnaast dient de test in overleg en buiten kantoortijden te worden uitgevoerd. Webapplicaties: Jaarlijks worden de webapplicaties van Brink Software onderworpen aan een penetratietest door een externe onafhankelijke partij. Alle aanbevelingen uit deze rapportage worden afhankelijk van de prioriteit zo spoedig mogelijk opgepakt door Brink Software

Eigenaarschap en beschikbaarheid van de data

Houdt de applicatie alle mutaties van alle gebruikers bij (auditing)? Hierbij is het mogelijk om na een door de organisatie zelf te bepalen tijd, mutatielogging te verwijderen.

Per applicatie verschilt de wijze van het loggen van alle mutaties van alle gebruikers. Het is voor de gebruiker wel mogelijk om deze logging in te zien, maar verwijderen is niet mogelijk en ook niet wenselijk in verband met traceerbaarheid van gegevens.

Werkt Brink Software volledig mee aan het beschikbaar stellen van alle data van de gebruiker indien de gebruiker wenst over te stappen naar een andere dienstverlener?

Indien de gebruiker wenst over de te stappen naar een andere dienstverlener, dan heeft de klant mogelijkheden om dit zelf te regelen. Brink Software is bereid om hier (tegen betaling) aan mee te werken.

Bewaart de applicatie bij storingen alle geaccepteerde en opgeslagen mutaties?

Brink Software bewaart bij storingen alle geaccepteerde en opgeslagen mutaties. indien een actie binnen de applicatie op de juiste wijze is doorgevoerd. De gebruiker kan namelijk binnen de verschillende applicatie(s) de standaard periode van (automatisch) tussentijds opslag aanpassen.

De meeste data in de applicaties van Brink Software kunnen door de gebruiker of applicatiebeheerder worden geëxporteerd. Een export van een database kan op aanvraag door Brink Software worden uitgevoerd.

De data is te allen tijde eigendom van de klant. Het intellectueel eigendom ligt uiteraard ook bij de klant. Brink Software zal doen wat er nodig is om ervoor te zorgen dat de data ook na een update beschikbaar is.

Kan de data door de functionele applicatiebeheerder van de gebruiker op een eenvoudige wijze volledig worden geëxporteerd?

De meeste data in de applicaties van Brink Software kunnen door de gebruiker of applicatiebeheerder worden geëxporteerd. Een export van een database kan op aanvraag door Brink Software worden uitgevoerd.

Maakt de applicatie dagelijks een back-up van alle data, met een retentietijd van 30 dagen? Worden deze back-ups gecontroleerd op compleetheid en teruggezet naar de productieomgeving?

Hosting: Er wordt een dagelijkse back-up gemaakt met een retentie van 90 dagen. Deze worden periodiek getest op compleetheid.Webapplicaties: De data van onze webapplicaties wordt continu automatisch geback-upd door Microsoft Azure. Het is mogelijk om op aanvraag een point-in-time restore te doen.

Blijft de gebruiker in alle gevallen eigenaar van de data?

De data is ten allen tijde van de klant. Het intellectueel eigendom ligt uiteraard ook bij de klant.

Locatie data opslag en gegevensuitwisseling

Wordt de data van de gebruiker opgeslagen in een land waar de van toepassing zijnde wet- en regelgeving (EU grondgebied) in overeenstemming is met de Nederlandse wet –en regelgeving?

De data van onze platformen wordt opgeslagen in het datacenter van Microsoft Azure in West Europa (oftewel: Middenmeer). Back-ups worden weggeschreven in het datacenter van Microsoft Azure in Noord-Europa (lees: Ierland).

Hebben niet-geautoriseerden toegang tot de data bij uitwisseling van informatie tussen systemen?

Niet-geautoriseerden hebben geen toegang tot de data bij uitwisseling van informatie tussen systemen.

Authenticatie en autorisatie

Heeft een (gebruikers)sessie een beperkte levensduur en kan de gebruiker deze sessie zelf beëindigen?

Hosting: Een gebruikerssessie heeft twee niveaus. De eerste is toegang vanaf een publieke computer, waarbij de sessie heel beperkt is. De privésessie heeft een langere levensduur. De gebruiker kan de sessie niet beëindigen. Disconnected sessies worden na 1 uur definitief beëindigd.Webapplicaties: De levensduur van een sessie is 15 minuten en wordt automatisch verlengd indien een gebruiker is ingelogd. Indien hij 15 minuten niets doet, uitlogt of zijn browser afsluit, dan wordt de sessie beëindigd.

Verloopt de toegang tot voorzieningen/applicaties zoveel mogelijk via Single Sign On op basis van de gebruikersnaam en het wachtwoord uit AD?

Single Sign On is op dit moment nog niet mogelijk voor onze hostingomgeving en webapplicaties. Elke gebruiker heeft op dit moment zelf een eigen gebruikersnaam en wachtwoord per platform. Voor de webapplicaties wordt gewerkt aan het beschikbaar maken van deze mogelijkheid op basis van de eigen identiteit van de klant (Azure Active Directory) of middels een social media account. Voor hostingomgeving liggen ook de plannen klaar om in 2020 ook te kunnen in loggen met één identiteit (SSO) op basis van Azure Active Directory (AAD) en Windows Virtual Desktop (WVD).

Is 2-factor authenticatie al geïmplementeerd.

Hosting: Onze software op het hostingplatform maakt gebruik van 2-factor authenticatie op verzoek. Dit is echter niet standaard en vereist een extra module per maand. Met de implementatie van Single Sign On in 2020 behoort multifactor authenticatie (MFA) voor alle gebruikers tot de mogelijkheid.Webapplicaties: Voor onze webapplicaties is 2-factor authenticatie nog niet mogelijk. Met de implementatie van Single Sign On in 2020 behoort multifactor authenticatie (MFA) voor alle gebruikers tot de mogelijkheid.

Bij authenticatie bestaat geen mogelijkheid om gegevens van andere gebruikers te achterhalen, manipuleren of opnieuw te gebruiken?

Bij authenticatie is het niet mogelijk om gegevens van andere gebruikers te achterhalen. De meldingen en e-mails in dit proces zijn hierop afgestemd.

Welk wachtwoordbeleid wordt door Brink Software gehanteerd?

Elk wachtwoord moet voldoen aan een minimale lengte van 8 karakters en minimaal 1 hoofdletter, 1 kleine letter, 1 cijfer en 1 speciaal teken bevatten. Mag geen delen van de gebruikersnaam of volledige naam bevatten en niet eerder gebruikt zijn met een geschiedenis van 4. Na 10 foutieve inlogpogingen wordt een account voor 15 minuten geblokkeerd. Op onze hostingomgeving dienen wachtwoorden na 90 dagen te worden gewijzigd.

Beschikt Brink Software over een systeem voor identiteit- en toegangsbeheer waarmee informatie-eigenaren deze kunnen afschermen voor onbevoegde toegang?

Hosting: Identiteits- en toegangsbeheer wordt ondersteunt met Microsoft Azure Active Directory en de Microsoft Active Directory. In 2020 zullen we ons platform migreren naar het nieuwe Windows Virtual Desktop platform. Dit geeft nieuwe mogelijkheden om de identiteit- en toegangsbeheer uit te breiden met multifactor authenticatie (MFA) en conditonal access (voorwaardelijke toegang). Groot voordeel is dat de condities rondom authenticatie door de klant zelf kunnen worden beheerd.Webapplicaties: De webapplicaties maken gebruik van Mijn Brink Software, een eigen portaal voor identiteits- en toegangbeheer. In 2020 wordt hierbij de overstap gemaakt naar een andere identiteitsprovider. Voorwaarden hierbij zijn de mogelijkheden met Single Sign On en MFA.

Beschikbaarheid, release management, documentatie en incident management

Is het mogelijk om en rapport te maken ten behoeve van de autorisatiebeheer van de applicatie?

Een aantal applicaties bevatten de mogelijkheid om de autorisaties uit te draaien. Voor de overige applicaties is de mogelijkheid er om een autorisatierapport op aanvraag aan te leveren.

Wordt de gebruiker ten allen tijde ingelicht als de klantgegevens door een beveiligingsincident aan de kant van Brink Software zijn of kunnen worden geraakt door een derde partij?

Op het moment dat er zich een beveiligingsincident voordoet zullen de gebruikers waar het incident effect op heeft worden geïnformeerd. Ook zal Brink Software ten allen tijde controleren of er een meldplicht is bij de autoriteit persoonsgegevens en zich hieraan conformeren.

In de acceptatie-omgeving wordt uitsluitend gewerkt met geanonimiseerde of onomkeerbaar gepseudonimiseerde gegevens conform AVG wetgeving en geldt het hetzelfde strikte beveiligingsregime als voor de productie-omgeving?

Hosting: Voor ons hostingsplatform is geen acceptatie-omgeving beschikbaar. Webapplicaties: De acceptatie-omgeving voor onze webapplicaties is uitsluitend beschikbaar voor software ontwikkeling door Brink Software. Het is voor de gebruikers ten allen tijde mogelijk om een projecten aan te maken als test- en/of acceptatie-omgeving. De AVG wetgeving is echter niet van toepassing, daar het geen persoonsgegevens betreft.

Instellingen en wijzigingen die door de eindgebruiker zijn aangebracht zullen niet overschreven worden tijdens de implementatie van nieuwe releases.

Brink Software streeft ernaar om bij nieuwe releases de gebruikersinstellingen niet te overschrijven.

Is de applicatie inclusief de onderliggende gegevensopslag technisch schaalbaar?

Hosting: Het hostingplatform is schaalbaar. Brink Software is in staat om de infrastructuur en onderliggende gegevensopslag met minimale verstoring te migreren naar hogere snelheden / opslag. Voor klantspecifieke verbeteringen zullen extra kosten in rekening worden gebracht. Webapplicaties: De webapplicaties van Brink Software draaien op Microsoft Azure. Alle componenten, zowel de webservices als de database, zijn schaalbaar.

Geeft Brink Software garanties af met betrekking tot gemiddelde en maximale response tijd voor de interactieve toepassingen?

Brink Software heeft in de SLA hebben responsetijden responsetijden voor onze software (op verschillende niveaus) gedefinieerd van minimaal 2 uur tot max 5 werkdagen. Zie de SLA van Brink Software voor meer informatie.

Stelt Brink Software voor alle functionaliteiten en modules een acceptatie-omgeving beschikbaar die eenvoudig overgezet kan worden naar de productie-omgeving?

Hosting: Voor ons hostingsplatform is geen acceptatie-omgeving beschikbaar.

Webapplicaties: De acceptatie-omgeving voor onze webapplicaties is uitsluitend beschikbaar voor software ontwikkeling door Brink Software. Het is voor de gebruikers ten allen tijde mogelijk om een projecten aan te maken als test- en/of acceptatie-omgeving. De AVG wetgeving is echter niet van toepassing, daar het geen persoonsgegevens betreft.

Heeft Brink Software een onderhoudswindow ingebouwd waarbinnen het systeem niet beschikbaar is vanwege onderhoud?

In de SLA staat beschreven hoe wij omgaan met de beschikbaarheid van het platform. Het onderhoudswindow is nooit tijdens kantooruren (07:00-18:00) en wij zullen onze gebruikers tijdig informeren over mogelijke downtime aan het platform.

Kan Brink Software garanderen dat bij gebruik van software van derden, deze software actueel is en ondersteund wordt door de betreffende leverancier?

Met software leveranciers van derden hebben wij een SLA en via de periodieke leveranciersbeoordeling volgens de ISO27001 normering worden deze met het ISMS team besproken.

Het aantal updates is beperkt tot maximaal 1 update per maand?

Hosting: Voor het platform zullen continue updates plaatsvinden aan de ondersteunende systemen conform de SLA. Voor de Brink Software applicaties streven we naar meerdere updates per jaar. Het streven is om de overlast voor gebruikers te beperken tot een minimum.

Webapplicaties: We streven naar continuous delivery van onze webapplicaties. Dit betekent dat er meerdere keren per dag een nieuwe versie van onze webapplicaties wordt geleverd aan onze gebruikers zonder dat zij daar last van hebben. Nieuwe functionaliteit wordt middels feature flag aan de klant beschikbaar gesteld.

Worden gebruikers vooraf geïnformeerd over nieuwe releases en updates door middel van bijvoorbeeld releasenotes?

Gebruikers worden bij het opstarten van de applicatie middels een nieuwsfeed geïnformeerd over nieuwe releases en updates. In de SLA staat verder beschreven wanneer hierover wordt gecommuniceerd.

Worden nieuwe releases en updates uitvoerig getest?

Hosting: Nieuwe releases en updates worden altijd uitvoerig getest voordat zij worden uitgeleverd/beschikbaar gesteld op het platform. Webapplicaties: Nieuwe releases en upgrades worden altijd uitvoerig getest, voordat ze worden uitgeleverd. Het testproces is onderdeel van het beleid dat wordt getoetst met onze ISO 27001 certificering.

Elke update aan de applicatie kan ongedaan gemaakt worden als dit leidt tot ongewenste effecten voor de gebruiker?

Hosting: De applicatieversies binnen Ibiscloud kunnen bij ongewenste effecten worden teruggedraaid door Brink Software. Dit geldt voor dan alle klanten.

Webapplicaties: De updates van onze webapplicaties kunnen ten allen tijde worden teruggedraaid (voor alle gebruikers).

Algemene juridische aspecten

Zorgt Brink Software ervoor dat de applicatie ten alle tijden voldoet aan de geldende en toekomstige wet- en regelgeving?

De applicaties van Brink Software voldoen aan de geldende en toekomstige wet- en regelgeving. Nieuwe wet- en regelgeving wordt tijdig doorgevoerd in de software en zal op tijd beschikbaar worden gesteld aan de gebruikers. Daarnaast zal Brink Software bij dergelijke wijzigingen de gebruiker hierover informeren.

Voldoet Brink Software als leverancier aantoonbaar aan van toepassing zijnde Nederlandse wet- en regelgeving?

Brink Software voldoet aan de door de Nederlandse wet- en regelgeving vereiste voor het leveren van producten en diensten.

Archivering

Wordt er bij de opslag, mutatie, ontsluiting en archivering van gegevens (vb. personeelsdossiers) voldaan aan de NEN2082 norm?

In de applicaties van Brink Software worden geen persoonsgegevens verwerkt.

Beschikt de oplossing over functionaliteit waarmee de functioneel beheerder in staat is om de data selectief te kunnen vernietigen?

De applicaties beschikken niet over functionaliteit om data selectief te kunnen vernietigen.

Is het op elk moment mogelijk om een actuele kopie op te vragen van alle informatie/ data die van de gebruiker in de cloud aanwezig is?

De data is ten alle tijden eigendom van de klant. Het intellectueel eigendom ligt uiteraard ook bij de klant. Met de applicaties kan op elk moment een export worden gemaakt in XML formaat.

Werkplek

Aan welke eisen moet onze werkplek voldoen als het gaat om besturingssystemen en kantoorautomatisering?

De systeemvereisten voor hosting en webapplicaties staat hier beschreven.

De webapplicatie is toegankelijk vanuit alle relevante webbrowsers?

Brink Software ondersteunt alle relevante webbrowsers. Microsoft Internet Explorer wordt niet meer gezien als relevant en daarom niet ondersteund. Klik hier voor de systeemvereisten.

Toetsing op veiligheidsaspecten

Wat is de URL van de gebruikerspagina?

Klik hier voor URL van hosting en hier voor de URL van de webapplicaties.

Yasper
Voor hulp en advies

Vraag het aan Yasper

y.kuiper@brink.nl 010 237 01 00 Ik heb nu een vraag