Cloud security heeft topprioriteit

Steeds meer klanten gebruiken ons Document Management platform vanuit de Cloud. Security heeft hierbij topprioriteit. Wij werken hierbij intensief samen met webhostingbedrijf Previder waar onze cloudomgeving bij is ondergebracht.

Dinsdag 8 maart jl. organiseerde Previder een security event naar aanleiding van de Meldplicht Datalekken. Het gaf een goede indruk van het enorme arsenaal aan beveiligingsmaatregelen die door het bedrijf wordt toegepast.

Cloudoplossing beschermd dankzij Nationale Wasstraat

Zo is Previder aangesloten bij de Nationale Beheersorganisatie Internet Providers (NBIP). De NBIP voert sinds 2002 diensten uit voor Internet Server Providers (ISP’s) die slimmer gezamenlijk kunnen worden uitgevoerd. Eén van de initiatieven is het opzetten van de Nationale anti-DDoS Wasstraat (NaWas). Zodra het Internetverkeer richting een provider afwijkende patronen vertoont, wordt dit automatisch omgeleid. De NaWas reinigt het verkeer van de ‘onzin’ en stuurt het schone verkeer naar de deelnemende ISP terug. Een dergelijke krachtige voorziening is voor één ISP onbetaalbaar, maar dankzij de NBIP is het toch gerealiseerd. De participatie van Previder in NBIP betekent concreet dat ook het platform dat Expansion vanuit de Cloud biedt, wordt beschermd door de NaWas en een hoge beschikbaarheid kan worden gegarandeerd.

Wet Meldplicht Datalekken ook van belang bij clouddiensten van Expansion

Het Previder-evenement stond verder stil bij de nieuwe Wet Meldplicht Datalekker. Zowel Expansion als Previder zijn vanuit hun ISO-certificering verplicht om alle relevante wet- en regelgeving actief te volgen. Het doel van de Wet Meldplicht Datalekken is meervoudig:

• het bevorderen van zorgvuldige omgang van persoonsgegevens.
• Het beperken van de gevolgen van een datalek.
• Het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

Vanuit de wet worden verschillende rollen gedefinieerd: Verantwoordelijken, Bewerkers en Subbewerkers. Vanuit het perspectief van Expansion zijn onze klanten de Verantwoordelijken, zijn wij zelf de Bewerker en is Previder de Subbewerker. Dit kan als een keten van verantwoordelijkheden voor de meldplicht worden beschouwd. Onderlinge afspraken, plichten en verwachtingen worden in bewerkersovereenkomsten vastgelegd. De compliancy van Expansion en Previder met de wet zorgt voor transparantie mochten persoonsgegevens onverhoopt (in potentie) toegankelijk zijn geweest voor onbevoegden.

 

Toegangsbeveiliging op verschillende levels

Belangrijker is natuurlijk dat het lekken van data wordt voorkomen. De Wet Bescherming Persoonsgegevens vereist van Expansion en Previder dat passende technische en organisatorische maatregelen worden getroffen om de gegevens te beschermen. Dit zit enerzijds beklonken in de werkinstructies en de procedures die worden toegepast conform de ISO27001-standaard voor informatiebeveiliging. Anderzijds zit het in de techniek. Xtendis en de Cloudomgeving kennen beveiligingsfuncties op een groot aantal niveaus: 

  • Toegang tot de omgeving
  • Toegang tot de applicatie
  • Toegang tot het archief
  • Toegang tot specifieke functies, archiefoverstijgend en archiefspecifiek
  • Toegang tot specifieke documenten

 

Web Application Firewall één van de beveiligingsfuncties

Wat de omgeving betreft wordt gebruik gemaakt van de meest geavanceerde firewall technieken, met zelfs mogelijkheden voor de inzet van Web Application Firewall (WAF), waarbij het dataverkeer op basis van applicatielogica wordt gecontroleerd. Een WAF kan bijhouden welke data invoer voor velden binnen een applicatie normaal is. Zodra bijvoorbeeld een niet-datum als invoer voor een datumveld wordt aangeboden, kan het dataverkeer waarvan dit onderdeel uitmaakt direct worden geblokkeerd. 

Hoogst mogelijk veiligheidsniveau Cloud

Expansion en Previder hebben alle security aandachtspunten naar beste weten optimaal ingericht. Beide organisaties zijn zich er ten volle van bewust dat security geen statisch gegeven is, maar een dynamisch spel waarin steeds nieuwe bedreigingen opkomen. De bedrijfscultuur, werkinstructies, procedures, technieken en medewerkers zijn hier volledig op afgestemd, zodat onze klanten dienstverlening op het hoogst mogelijke veiligheidsniveau kunnen verwachten.

 

wim

Wim M.G.J. Vis

Commercieel directeur

Plaats reactie