kantoor pand office Decos-1

DECOS TRUST CENTER

“Trust but verify”. Een beroemde uitspraak van de voormalige Amerikaanse president Ronald Reagan die ons heeft geleerd dat het belangrijk is om te controleren of alle gemaakte afspraken ook zijn uitgevoerd.

In ons Decos Trust Center leest u welke maatregelen Decos heeft genomen om u te verzekeren dat wij veilig en in overeenstemming met privacy- en wettelijke vereisten met uw gegevens omgaan.

COMPLIANCY

Het naleven van (inter-)nationale en branche specifieke standaarden en/of afspraken is Decos niet vreemd.

Zo zijn wij al geruime tijd gecertificeerd voor de internationale ISO/IEC 27001:2017 standaard. Deze standaard is een wereldwijd erkende norm op het gebied van informatiebeveiliging.

Ons actuele ISO27001:2017 certificaat vindt u hier. De bijbehorende verklaring van toepasselijkheid is op aanvraag beschikbaar.

De ISO standaard ISO 16175-1:2020 is van toepassing op ons product JOIN Zaak en Document. Dit product is ook gecertificeerd voor (de inmiddels ingetrokken) norm NEN 2082:2008.

Decos is natuurlijk bekend met de Baseline Informatiebeveiliging Overheid (BIO). De BIO beschrijft de invulling van de NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 voor de overheid.

Een ander voorbeeld van standaarden die wij volgen is de 'Pas toe of leg uit'-verplichting van het Forum Standaardisatie. Niet alles van deze lijst is op Decos van toepassing. Op deze lijst staan een aantal onderdelen waar wij veel vragen over ontvangen. Hoe Decos hier aan voldoet / wil voldoen zullen wij hier kort beschrijven:

  • DNSSEC: volgens ons beleid wordt dit standaard geïmplementeerd voor onze publieke diensten. Om DNSSEC volledig te laten werken dienen alle onderdelen dit te ondersteunen. Op dit moment ondersteunt Microsoft Azure (Azure) nog geen DNSSEC in hun omgeving. Vandaar dat bij sommige van onze producten er geen 100% DNSSEC check mogelijk is. Het is wel goed om te weten dat de root van onze DNS records bij True wel in orde is. Zodra Azure DNSSEC gaat ondersteunen doen wij dit ook;
  • IPv6: volgens ons beleid wordt dit standaard geïmplementeerd voor onze publieke diensten. Voor het aanbieden van deze diensten maken wij gebruik van Microsoft Azure (Azure). Een oplossing voor het ontsluiten van IPv6 binnen Azure is het gebruik van Azure Front Door (AFD). Echter kan het gebruik van AFD ervoor zorgen dat de DNSSEC niet meer 100% is;
  • DDoS bescherming: Diensten die op Azure worden uitgevoerd, worden inherent beschermd door de standaard DDoS-beveiliging op infrastructuurniveau. Dit is overigens niet de Azure DDoS Protection Standaard beveiliging.

Tevens zijn wij bezig om ook te gaan voldoen aan de SOC2 categorie van het Service Organization Controls (SOC) framework. Een SOC2 audit meet de effectiviteit van een Cloud Service Provider (CSP) gebaseerd op de American Institute of Certified Public Accountants (AICPA) Trust Service Principles and Criteria. Dit levert aan eerst een SOC2-type1 rapport (opzet / bestaan) op en na een vast afgesproken periode (vaak 3, 6 of 12 maanden) een SOC2-type2 rapport (werking).

Decos heeft een ISAE3000 - SOC2 type 1 rapport. Dit rapport kan via uw accountmanager opgevraagd worden. Het verkrijgen van dit rapport is niet kosteloos. Het eerste SOC2-type2 rapport verwachten wij begin Q3 2022. 

Voor onze producten waar wij een DigiD aansluiting voor aanbieden voldoen wij ook aan de door Logius gestelde norm. Decos wordt ook geaudit door een erkende auditor die aan Norea verbonden is. Een actueel assurance rapport van deze audit is voor onze (toekomstige) DigiD klanten beschikbaar.


Security

Decos beheert gegevens en systemen van verschillende lokale en regionale overheden. Het is voor ons dan ook een standaard gegeven dat onze klanten hun gegevens en systemen beschermt willen zien met behulp van de meest up to date technieken en standaarden. 

Vanwege de verschillende eisen in de Algemene Verordening Gegevensbescherming (AVG) heeft Decos ervoor gekozen dat alle systemen en data binnen de Europese Economische Ruimte (EER) blijven. Wij maken hiervoor gebruik van de Microsoft datacenters West- en Noord-Europa en een datacenter van Amazon. De Microsoft datacenters zijn fysiek in Nederland en Ierland. Het gekozen Amazon datacenter bevindt zich in Ierland.

Microsoft zelf is gecertificeerd volgens veel standaarden die in de verschillende industrieën vereist worden of nodig zijn. Deze kunt u hier vinden. Ook Amazon beschikt over deze certificeringen. Deze kunt u hier vinden.

De eigen Decos beheer doelstellingen en -maatregelen zijn onder andere gebaseerd op de eerder genoemde industrie standaard ISO27001:2017 en de OWASP Top10.

APPLICATIEBEVEILIGING 

Decos maakt gebruik van een beveiliging georiënteerd ontwerp op basis van meerdere lagen. Een van die lagen is de applicatie laag. De door Decos ontwikkelde applicaties worden ontworpen met o.a. de OWASP Top 10 Framework in het achterhoofd. Alle code wordt gepeer-reviewed voordat het naar de productieomgeving wordt vrijgegeven.  
 
Wij maken daarnaast o.a. gebruik van kwetsbaarheden scans, “end-to-end” tests en unit tests. 



DATA ENCRYPTIE

Decos versleuteld de data in “transit” en “at rest”: 

  • Al het verkeer is versleuteld met gebruikmaking van TLS 1.2 (of hoger). 
  • Data “at rest” is versleuteld middels AES-256 of beter. 
  • Voor het opslaan van inloggegevens wordt gebruik gemaakt van een moderne hash functie die de gegevens “hashed”  en “salt” toepast. 

RESPONSIBLE DISCLOSURE 

Decos maakt al geruime tijd gebruik van een “Responsible disclosure” beleid. Dit zorgt ervoor dat beveiliging experts van over de hele wereld een melding bij ons kunnen doen indien er een probleem wordt gevonden.

 

FYSIEKE VEILIGHEID

Decos hanteert een “cloud-first” beleid. Dat betekend dat de infrastructuur in onze kantoren minimaal is. Wel maken wij uiteraard gebruik van persoonlijke toegangsmogelijkheden, CCTV en alarm systemen. Medewerkers krijgen standaard ook alleen toegang tot de reguliere ruimten zoals de werkvloer.  

Veiligheid in de organisatie

Om veilige producten aan te kunnen bieden, moet onze eigen organisatie ook veilig zijn. Dit houdt in dat al onze medewerkers:
  •  Zich doorlopend bewust zijn en worden gemaakt met betrekking tot informatiebeveiliging;
  • Continue zich verbeteren als het gaat om informatiebeveiliging;
  • Alleen in kunnen op onze systemen middels 2FA;
  • Standaard een geheimhoudingsverklaring tekenen.

Wij zijn voornemens om een SIEM-platform te implementeren om de logboeken van verschillende bronnen te verzamelen, controleregels toe te passen op die verzamelde logboeken en vervolgens verdachte activiteiten te markeren. Wij verzamelen deze logboeken momenteel al.

Onze interne processen, wanneer SIEM wordt geïmplementeerd, zullen bepalen hoe deze waarschuwingen worden ingedeeld, verder worden onderzocht en op de juiste manier worden geëscaleerd. De belangrijkste systeemlogboeken worden dan doorgestuurd vanuit elk systeem waar de logboeken “read-only” zijn.


Identiteitsmanagement

Al onze medewerkers worden gedwongen om Multi-Factor Authentication (MFA/2FA) toe te passen om toegang te krijgen tot onze systemen. We migreren zelfs verder naar een Zero-Trust-beleid voor systeemtoegang. We passen strikte op rollen gebaseerde toegang (RBAC) en wijzen privileges alleen toe op basis van behoefte.

Gebeurtenissen en logboeken met betrekking tot mislukte of geslaagde verificatie worden samengevoegd voor bewaking en triage.

 

Backups en disaster recovery

We nemen de beschikbaarheid en beheer van gegevens serieus en hebben hiervoor een geautomatiseerd proces. Ons back-up beleid voor databases voert elke 5 minuten een back-up uit om uw gegevens te beveiligen. Dit wordt gecombineerd met dagelijkse volledige en differentiële back-ups. Alle andere bronnen volgen een dagelijkse volledige back-up en waar mogelijk maken we gebruik van snapshot-technologie.

Back-ups worden opgeslagen in ten minste twee verschillende racks in één van de EU cloud datacenter locaties. Dit stelt ons in staat om uw gegevens en diensten te herstellen zonder gegevensverlies en met minimale impact. Onze standaard bewaartermijn voor de point in time restore (PITR) back-ups is 30 dagen. Na deze periode maken wij nog voor drie maanden een maandelijkse back-up (LTR) van de SQL-database.