Better safe than sorry | Intracto

Better safe than sorry

Security is een essentiële factor bij het ontwikkelen van websites en applicaties. Steeds vaker wordt er privacygevoelige data gegenereerd of verwerkt. Gegevens die in geen geval openbaar toegankelijk mogen zijn. Intracto stelt dan ook hoge eisen aan security om (web)applicaties en websites zo veilig mogelijk te maken en te behouden.

Preventieve maatregelen

Security begint al voordat we beginnen met ontwikkelen. Denk aan architectuur, het ontwerp van datamodellen, deployment en meer technische aspecten die allerlei effecten hebben op de veiligheid van websites en applicaties. We nemen preventieve maatregelen zodat de beveiliging optimaal is én blijft, en lossen eventuele problemen zo snel mogelijk op. Risico inventarisatie is daar een belangrijk onderdeel van. Dit ligt aan de basis van alles wat we doen. 

Security team

Intracto heeft een eigen security team onder leiding van onze Security Officer. Het security team beschikt over brede kennis op het gebied van databeveiliging. Zo kunnen we adequaat reageren als zich security problemen voordoen. We werken conform duidelijke beheersmaatregelen:

  • 2 factor authentication, encrypted harde schijven, password managers, server toegang met ssh keys 

  • We hebben een beleid voor beveiligd ontwikkelen met bijvoorbeeld code reviews, functioneel testen en veilige geautomatiseerde deployments

  • Automatische scans tijdens ontwikkeling en Static Application Security Testing (SAST) om kwetsbaarheden in code uit te sluiten.  

1

Security updates

Het security team beoordeelt structureel welke veiligheidsupdates van toepassing zijn voor Intracto klanten en wanneer ze moeten worden doorgevoerd. Bij een belangrijke security update kan het dus betekenen dat er diezelfde dag nog wordt doorgewerkt om problemen te voorkomen. We pakken veiligheidsupdates altijd proactief op. Daardoor hebben onze klanten altijd een optimaal beveiligd platform. 

2

Onafhankelijke beveiligingsrichtlijnen

We werken bij Intracto volgens de ICT-beveiligingsrichtlijnen van het Nationaal Cyber Security Centrum (NCSC), Baseline Informatiebeveiliging Gemeenten (BIG) en zijn bekend met de OWASP Secure Coding Practices. We worden regelmatig (succesvol) beoordeeld op veiligheid van procedures, systemen en code door externe auditors. Een onafhankelijke check dus, wat betekent dat je als klant zeker weet dat het met de veiligheid van je data en website helemaal goed zit.

3

We voldoen aan specifieke eisen

Klanten die met DigiD werken, zoals gemeenten, zijn bij Intracto safe. We voldoen aan de eisen voor DigiD. De omgevingen voor gemeentesites met DigiD-aansluiting voldoen volledig aan de eisen van Logius en wordt middels een Third Party Memorandum (een TPM-verklaring) afgedekt.

Intracto is AVG-proof:

  • Werken volgens een verwerkersovereenkomst
  • Audit logging binnen CMS/applicaties, waardoor wijzigingen inzichtelijk zijn
  • Rapportage voor verwerkers register
  • In het geval van een datalek hebben we een heldere meldingsprocedure
  • Intracto heeft eigen DPO's in dienst

De veiligheid van jouw platform

Drupal

Veiligheid is een uitermate belangrijke zaak voor de Drupal-gemeenschap. Bijzonder bij Drupal is dat niet alleen de standaard broncode onder het veiligheidsregime valt, maar ook alle duizenden modules die door de community zijn bijgedragen. Dit maakt Drupal tot een zeer veilig platform.

Het speciale security team van Drupal werkt 24/7 om beveiligingsproblemen op te lossen. Het team audit voortdurend de Drupal core en de modules. Ook worden Drupal patches erg snel vrijgegeven. Hierdoor is de kans op veiligheidslekken een stuk kleiner.

Umbraco

Umbraco volgt de Microsoft richtlijnen op het gebied van security. Bepaalde log-in mechanismen voldoen daardoor aan de hoogste veiligheidsnormen. Er worden regelmatig door een onafhankelijk team vanuit het platform penetratietesten uitgevoerd om te kijken of er ergens een mogelijk veiligheidsrisico aanwezig is. Aanbevolen verbeteringen worden direct doorgevoerd en evenals bij Drupal geven ze patches snel vrij.
In de Umbraco Cloud editie worden de updates automatisch aangeboden, waarna ze door ons efficiënt toegepast kunnen worden.

Episerver

Interoperabiliteit met andere systemen wordt ook bij Episerver gegarandeerd met behulp van standaard Microsoft beveiligings- en authenticatiekaders. De richtlijnen die door OWASP zijn gedefinieerd worden gevolgd.

Umbraco Gold partner

Intracto heeft gecertificeerde developers in huis die vanuit Umbraco zijn opgeleid. Ze zijn daardoor altijd op de hoogte van de richtlijnen vanuit Umbraco met betrekking tot veiligheid van het platform. Onze Umbraco developers kunnen zo proactief bijdragen aan het verbeteren van de veiligheid van websites en applicaties voor onze klanten.

Episerver Silver Partner

We mogen ons met trots Silver Partner noemen. Dit houdt in dat onze developers ook gecertificeerd zijn door Episerver. Security is een belangrijk onderdeel van het certificeringstraject.

Security management

Continuïteit en veiligheid zijn in het digitale landschap onderhevig aan continue veranderingen. Dit vereist een ‘awareness’ van nieuwe dreigingen, het inschatten van en adviseren over actuele veiligheidsrisico’s en een professionele werkwijze op het gebied van security management. Volgens een strikt schema werken wij aan:

  • Patch management, waarmee we incidenten goed kunnen herstellen

  • Incident management, waarmee we eventuele incidenten vroegtijdig kunnen vermijden

  • Problem management, waarmee we door voortschrijdend inzicht risico’s kunnen detecteren

  • Afstemming bij de klant met de interne CISO (Chief Information Security Officer)

  • Risico analyse applicatie: Het systeem registreert activiteiten in de Drupal applicatie-omgeving, visualiseert deze in historisch perspectief en signaleert de support afdeling op het moment dat er drempelwaarden overschreden worden. Hierdoor kan er proactief ingegrepen worden op incidenten waardoor verstoringen worden geminimaliseerd.

Aanvullende security dienstverlening

Security ligt aan de basis van alles wat we doen, maar soms kan er net een beetje extra nodig zijn om het nóg meer waterdicht te maken. Afhankelijk van de diverse veiligheidsrisico’s van hetgeen we ontwikkelen bieden we extra diensten aan, zoals:

Audits / pentesting

  • Onafhankelijk rapport beveiliging

  • Black-box testing. Dit is een objectieve test, waarbij de tester zonder voorkennis van de broncode of van de interne werking van de applicatie gaat testen. 

  • Certified Pentesters, die regelmatig steekproeven uitvoeren en eventuele risico’s vroegtijdig uitsluiten. 

 

Web application firewall

  • Extra beveiligingslaag voor je applicatie

  • Mod security kennis in huis

Meer weten over de veiligheid van jouw webapplicatie of platform? Vraag het aan onze experts.

Neem contact op