Databescherming en technische details

Databescherming en technische details

Om te voorkomen dat data van “derden” op een verkeerde manier gebruikt kan worden hebben wij o.a. de volgende maatregelen getroffen:

  • Wij zijn ISO/IEC 27001:2013 (certificaat nr. ISC127) gecertificeerd.
  • De databases zijn gescheiden van de webservers, hacken wordt hierdoor extra bemoeilijkt.
  • De sourcecode ligt opgeslagen in Microsoft Devops.
  • Onze software draait op onze eigen servers en wordt gehost in een datacenter in Rotterdam (http://www.i3d.nl/) Dit datacenter heeft een toegangscontrole systeem voor bij de voordeur en naar de ruimte waar de servers staan.
  • Onze systeembeheerders dienen zich eerst aan te melden alvorens het biometrische systeem de toegang zal verlenen.
  • Vervolgens is ons rack fysiek beveiligd middels een slot voor de laatste toegang.
  • De brandveiligheid in dit datacenter is voorzien door een verminderde zuurstof mengsel waarbij mensen in de betreffende ruimte wel gewoon kunnen ademhalen, maar vuur niet kan ontstaan.
  • Er liggen vanuit het datacenter drie verschillende dataverbindingen, elk vanaf een hoek van het pand naar een andere netwerk knooppunt. Hierdoor is het welhaast onmogelijk om data uitval vanuit het datacenter te hebben.
  • De productie en webservers in het datacenter zijn geplaatst achter een Cisco ASA 5508-X met:
    – IPS         (Intrusion Prevention System) tegen DDOS aanvallen)
    – AMP      (AntiMalware Protectie)
    – URL       (Filtering van verkeer van en naar de servers)
  • Voor backup, redundancy, en onderhoud word er een Cisco ASA 5520 ingezet. Beide firewalls worden gemonitord in een FPMC
  • De Webservers (als enige in de DMZ) zijn vervolgens pas bereikbaar na een Proxy server
    – Extra veiligheid
    – Load balancing van de Site’s
  • Al onze computersystemen en onze netwerk componenten zijn dubbel uitgevoerd. (Redundant).
  • Connecties van en naar het datacenter, dus niet naar een website, doen we met een VPN verbinding.
  • De 2FA (two factor authentication) van MobilePass zorgt ervoor dat inlognamen en wachtwoorden ook versleuteld over het internet verzonden worden.
  • Onze systeembeheerders hebben naast hun arbeidscontract een aparte geheimhoudingsovereenkomst en verklaring omtrent gedrag.
  • Er wordt gewerkt op HP bladeservers (met 24×7, 4uur support contract) in een VMWare ESX omgeving met Acronis backup procedure.
  • De website wordt middels loadbalancing verdeeld over meerdere webservers die op hun beurt verbinding maken naar het i-SCSI harddisk cabinet.
  • De databases staan in MSSQL 2016. De individuele databases worden dagelijks ook nog eens on-line gebackupped (dit gebeurt dus off-site).
  • De applicatie is ontwikkeld in ASP.NET. De ontwikkeling wordt door eigen programmeurs gedaan.
  • Er wordt OpenIDconnect met OAuth AccessTokens voor de API’s en JWT Tokens als basis authenticatie gehanteerd. De wachtwoorden worden AES encryptie opgeslagen. De tokens worden getekend met een digitaal certificaat x.509 RSA algoritme.
  • Iedere klant heeft een eigen database en website op een gedeelde webserver welke IIS draait.
  • De applicatie wordt via SSL benaderd.
  • We werken met Reverse Proxy servers voor het flexibel verwerken van adressering in ons netwerk (oa bij calamiteiten).
  • Onze backup procedures zijn als volgt:
    – Database backups worden incrementeel gemaakt op separate schijven van de database files
    elk uur de logfiles en elke dag de database.
    – de schijven van de servers worden dagelijks gebackupped naar online backup faciliteit.
    – de VM machines worden volledig gebackupped ook naar online backup faciliteit.
    – RTO; is 5 uur na normaal verlies van werkende machines. 24 uur na catastrofaal verlies van volledige infrastructuur.
    – RPO; is tot maximaal het hele uur voor verlies van werkende machines.
    – We werken met virtual machines die live kunnen worden gemigreerd tussen storage faciliteiten.
    Het verlies van een enkele schijf zal geen gevolgen hebben voor de service.
    – Elke klant heeft een eigen database met de mogelijkheid dat deze wordt teruggeplaatst dan wel in een beschermde omgeving wordt geplaatst voor controle of onderzoek.
    – Vrijwel alle onderdelen zijn minimaal per twee geïmplementeerd.
    – We streven daarmee naar een uptime van 99.5%.
    – Updates en bugfixes worden dagelijks via Continuous integration doorgevoerd op het live systeem waardoor er geen tot nauwelijks down-time ontstaat.
  • Compete IT Solutions BV is leverancier van het product www.vrijedagen.nl.