Decos is een ISO-27001 gecertificeerd bedrijf. Deze bekende beveiligingsstandaard runt een grote verscheidenheid aan veiligheidsmaatregelen die het hele bedrijf en alle processen dekken. Met behulp van een Information Security Management System (ISMS), worden alle processen die een rol in de ontwikkeling, hosting en ondersteuning van de JOIN Applicatie, afgedekt.
De certificering dekt:
► Veiligheidsbeleid
► Apparaatbeheer
► Personeelsbeheer
► Toegangsbeheer
► Opslag- en encryptiebeheer
► Leveranciersbeheer
► Incidentenbeheer
► En meer
Onze ISO-certificatie en Statement of Applicability kan op verzoek worden gedeeld met klanten.
Microsoft Azure is onze hostprovider en kent een grote verscheidenheid aan ISO-certificeringen. ISO-27001 is daar een van. Zie https://servicetrust.microsoft.com/ voor alle details.
ISO-27001 zorgt ervoor dat softwarebeveiliging is opgenomen in onze ontwikkelprocessen. Een beveiligingschecklist gebaseerd op de OWASP Top 10 is bekend onder alle ontwikkelaars en is onderdeel van de Definition of Done (DoD).
Geautomatiseerde beveiliging
Aanvullende beveiliging wordt automatisch getest met behulp van tooling. Alle ontwikkelaars gebruiken OWASP ZAP om hun applicaties te scannen. De afdeling Kwaliteitsborging controleert de ‘release candidates’ van de software met behulp van BurpSuite en rapporteren aan de Producteigenaren en de Beveiligingsmedewerkers bij Decos.
Afgezien van testen met behulp van tools, worden alle producten in de JOIN Suite ten minste een keer per jaar onderworpen aan een externe audit. Deze audit is een vereiste voor ISO-27001, maar het is ook een vereiste van Logius om applicaties te kunnen koppelen aan DigiD. De auditors voeren ook een grondige penetratietest uit.
Decos heeft ook een intern penetratietestschema waarin de ontwikkelaars proberen elkaars applicaties te hacken. Dit is een steeds terugkerend proces en onderdeel van onze ISO-27001 procedures.
Het zou kunnen dat er in de uitgegeven software toch nog bugs zitten. Wij vragen ethische hackers om met ons samen te werken met gebruik van een Responsible Disclosure Policy. Wij belonen elke beveiligingskwestie die nog niet bij ons bekend was, zolang de hacker geen misbruik heeft gemaakt van zijn bevindingen.
Zie onze Responsible Disclosure Policy online: https://www.decos.com/en/security.
Alle gegevens worden vastgelegd in een Microsoft Azure Recovery Services Vault met een minimale opslagtijd van 30 dagen. Dit geldt voor alle bestanden en voor scans die in de applicaties alsook in de databases zijn opgeslagen.
Alle gegevens zijn versleuteld in rust. Storage Accounts die gebruik maken van Azure Storage Encryption (https://docs.microsoft.com/en- us/azure/storage/common/storage-service-encryption Z ) en databases zijn versleuteld in rust door middel van Transparent Data Encryption (https://docs.microsoft.com/en-us/azure/azure-sql/database/transparent-data- encryption-tde-overview?tabs=azure-portal)
De ‘recovery point objective’ (RPO) kan zich overal in de bewaartermijnen bevinden. De recovery time objective (RTO) is aanzienlijk beperkt. Afhankelijk van de hoeveelheid data die wordt opgeslagen, is het herstelproces meestal binnen een uur afgerond.