¶ JOIN Zaaktypen
JOIN Zaaktypen richt zich op eenvoudig, snel en volledig beheer van casustypes. Het informatiemodel van JOIN Zaaktypen is gebaseerd op GEMMA ZTC 2.1. Dit uitgebreide informatiemodel wordt ook toegepast binnen andere overheidsdomeinen zoals water en veiligheid. JOIN Zaaktypen is volledig geïntegreerd met JOIN Case & Document, hierdoor kan het zaaksysteem volledig worden beheerd met de JOIN Zaaktypen configuratie.
¶ Architecture
De architectuur van Zaaktypen bestaat uit 2 hoofdcomponenten Frontend en JOIN Case and Document Sync service. Alle casetypes die vanuit Zaaktypen zijn gepubliceerd, worden via Azure-onderwerpen naar de ZTC-synchronisatieservice gestuurd voor betrouwbare levering. Zodra de ZTC Sync-service het bericht ontvangt of met een periodiek interval, worden de casetypes opgehaald die moeten worden gesynchroniseerd met JOIN Case and Document. Oudere casetypes worden gearchiveerd en zijn altijd toegankelijk in Zaaktype
Het stelt ook alle geconfigureerde leveranciers op de hoogte van de update van de vergadering. Met behulp van OData-serviceleveranciers kunnen vergaderingen, metadata en vergaderbestanden worden opgehaald.
¶ Security
Join Zaaktypen gebruikt cloud IDP-service om gebruikersidentiteiten en licentie-informatie te beheren. Decos is een ISO-27001 gecertificeerd bedrijf. Deze bekende beveiligingsstandaard voert een breed scala aan beveiligingsmaatregelen uit die het hele bedrijf en alle processen dekken. Met behulp van een Information Security Management System (ISMS) worden alle processen die betrokken zijn bij de ontwikkeling, hosting en ondersteuning van de JOIN-applicatie gedekt.
¶ De certificering omvat::
► Security Policy
► Device Management
► Personnel Management
► Access Management
► Storage & Encryption Management
► Vendor Management
► Incident Management
► And More
Onze ISO-certificering en Verklaring van Toepasselijkheid kunnen op verzoek met klanten worden gedeeld.
Microsoft Azure is onze hostprovider en beschikt over een breed scala aan ISO-certificeringen. ISO-27001 is er een van. Zie https://servicetrust.microsoft.com/ voor volledige details.
¶ Testen
ISO-27001 zorgt ervoor dat softwarebeveiliging is opgenomen in onze ontwikkelprocessen. Een security checklist op basis van de OWASP Top 10 is bij alle developers bekend en maakt onderdeel uit van de Definition of Done (DoD).
Geautomatiseerde beveiliging
Extra beveiliging wordt automatisch getest met tooling. Alle ontwikkelaars gebruiken OWASP ZAP om hun applicaties te scannen. De afdeling Quality Assurance monitort de software release kandidaten die BurpSuite gebruiken en rapporteert aan de Product Owners en Security Officers van Decos.
¶ Penetration Tests
Naast het testen met tools worden alle producten in de JOIN Suite minimaal één keer per jaar onderworpen aan een externe audit. Deze audit is een vereiste voor ISO-27001, maar het is ook een vereiste van Logius om applicaties te kunnen koppelen aan DigiD. De auditors voeren ook een grondige penetratietest uit.
Decos heeft ook een intern penetratietestschema waarin de ontwikkelaars elkaars applicaties proberen te hacken. Dit is een terugkerend proces en onderdeel van onze ISO-27001-procedures.
¶ Verantwoordelijke openbaarmaking
Het is mogelijk dat er nog bugs in de vrijgegeven software zitten. We vragen ethische hackers om met ons samen te werken volgens een Responsible Disclosure Policy. We belonen elk beveiligingsprobleem dat nog niet bij ons bekend was, zolang de hacker zijn bevindingen niet heeft misbruikt.
Bekijk ons beleid inzake verantwoorde openbaarmaking online: https://www.decos.com/en/security .
¶ Versleuteling en back-up
Alle gegevens worden vastgelegd in een Microsoft Azure Recovery Services Vault met een minimale opslagtijd van 30 dagen. Dit geldt voor alle bestanden die zowel in de applicaties als in de databases zijn opgeslagen.
Alle gegevens worden in rust versleuteld. Opslagaccounts met Azure Storage Encryption ( https://docs.microsoft.com/en-us/azure/storage/common/storage-service-encryption Z ) en databases worden in rust versleuteld met behulp van Transparent Data Encryption ( https://docs .microsoft.com/en-us/azure/azure-sql/database/transparent-data-encryptie-tde-overview?tabs=azure-portal)
De Recovery Point Objective (RPO) kan overal in de bewaarperiodes zijn. De hersteltijddoelstelling (RTO) is aanzienlijk beperkt. Afhankelijk van de hoeveelheid gegevens die wordt opgeslagen, is het herstelproces meestal binnen een uur voltooid.
¶ Integraties
Join Zaaktypen is alleen geïntegreerd met JOIN Case en Document voor het publiceren van de casetypes. Maar we hebben onderstaande integraties met andere configuratiesystemen van het type case.
- iNavigator
¶ Uitgaande IP-adressen
Zaaktypen communiceert via de volgende outbound IP-adressen:
52.178.43.209
13.81.120.121
23.101.74.176
104.40.189.59
23.101.70.119
52.178.46.226
52.166.118.167
uitwisseling van gegevens verloopt via de volgende URL’s:
https://www.zaaktypen.nl/ZtcService.svc
deze URL wordt aangeroepen door de ZTC Sync Service. Deze service draait aan de kant van JOIN Zaak & Document en zorgt voor het verwerken van zaaktype-gegevens in de configuratie van het zaaksysteem (collecties, rechten, rollen, profielen, workflows etc.)
https://nsztcpublications.servicebus.windows.net
Via deze URL worden triggers gestuurd naar de ZTC Sync Service. Deze zorgt er voor dat de ZTC Sync Service zaaktype-informatie gaat bevragen (zie eerste URL).
¶ Prestaties en schaalbaarheid
Join Zaaktypen wordt gehost in Microsoft Azure-datacenters in de regio West-Europa. Join Zaaktypen is slechts een cloudoplossing en kan niet op locatie worden gehost. Door gebruik te maken van de kracht van Microsoft Azure is de uptime van Agenderen minimaal 99,95%.
De gegevens van Zaaktypen worden opgeslagen in de cloud en kunnen in de toekomst op elk moment worden opgevraagd.
¶ Browserondersteuning
Grote browsers zoals Chrome, EDGE en Firefox worden ondersteund voor JOIN Zaaktypen.