COMPLIANCY
Het naleven van (inter-)nationale en branche specifieke standaarden en/of afspraken is Decos niet vreemd.
Zo zijn wij al geruime tijd gecertificeerd voor de internationale ISO/IEC 27001:2017 standaard. Deze standaard is een wereldwijd erkende norm op het gebied van informatiebeveiliging.
Ons actuele ISO27001:2017 certificaat vindt u hier. De bijbehorende verklaring van toepasselijkheid is op aanvraag beschikbaar.
De ISO standaard ISO 16175-1:2020 is van toepassing op ons product JOIN Zaak en Document. Dit product is ook gecertificeerd voor (de inmiddels ingetrokken) norm NEN 2082:2008.
Decos is natuurlijk bekend met de Baseline Informatiebeveiliging Overheid (BIO). De BIO beschrijft de invulling van de NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 voor de overheid.
Een ander voorbeeld van standaarden die wij volgen is de 'Pas toe of leg uit'-verplichting van het Forum Standaardisatie. Niet alles van deze lijst is op Decos van toepassing. Op deze lijst staan een aantal onderdelen waar wij veel vragen over ontvangen. Hoe Decos hier aan voldoet / wil voldoen zullen wij hier kort beschrijven:
- DNSSEC: volgens ons beleid wordt dit standaard geïmplementeerd voor onze publieke diensten. Om DNSSEC volledig te laten werken dienen alle onderdelen dit te ondersteunen. Op dit moment ondersteunt Microsoft Azure (Azure) nog geen DNSSEC in hun omgeving. Vandaar dat bij sommige van onze producten er geen 100% DNSSEC check mogelijk is. Het is wel goed om te weten dat de root van onze DNS records bij True wel in orde is. Zodra Azure DNSSEC gaat ondersteunen doen wij dit ook;
- IPv6: volgens ons beleid wordt dit standaard geïmplementeerd voor onze publieke diensten. Voor het aanbieden van deze diensten maken wij gebruik van Microsoft Azure (Azure). Een oplossing voor het ontsluiten van IPv6 binnen Azure is het gebruik van Azure Front Door (AFD). Echter kan het gebruik van AFD ervoor zorgen dat de DNSSEC niet meer 100% is;
- DDoS bescherming: Diensten die op Azure worden uitgevoerd, worden inherent beschermd door de standaard DDoS-beveiliging op infrastructuurniveau. Dit is overigens niet de Azure DDoS Protection Standaard beveiliging.
Tevens zijn wij bezig om ook te gaan voldoen aan de SOC2 categorie van het Service Organization Controls (SOC) framework. Een SOC2 audit meet de effectiviteit van een Cloud Service Provider (CSP) gebaseerd op de American Institute of Certified Public Accountants (AICPA) Trust Service Principles and Criteria. Dit levert aan eerst een SOC2-type1 rapport (opzet / bestaan) op en na een vast afgesproken periode (vaak 3, 6 of 12 maanden) een SOC2-type2 rapport (werking).
Decos heeft een ISAE3000 - SOC2 type 1 rapport. Dit rapport kan via uw accountmanager opgevraagd worden. Het verkrijgen van dit rapport is niet kosteloos. Het eerste SOC2-type2 rapport verwachten wij begin Q3 2022.
Voor onze producten waar wij een DigiD aansluiting voor aanbieden voldoen wij ook aan de door Logius gestelde norm. Decos wordt ook geaudit door een erkende auditor die aan Norea verbonden is. Een actueel assurance rapport van deze audit is voor onze (toekomstige) DigiD klanten beschikbaar.