Security en privacy gewaarborgd
Wanneer je apps via web of mobiel aan klanten of eindgebruikers biedt, heeft het beveiligen van data en beschermen van privacy topprioriteit. Elements bouwt digitale platforms en mobiele apps volgens de laatste security standaarden. Zo zorgen we dat de platforms van onze opdrachtgevers altijd optimaal beveiligd zijn.
Door bij de implementatie van een app of digitaal platform continu rekening te houden met databeveiliging en privacy, zorg je ervoor dat aan de laatste security eisen wordt voldaan. We noemen dit Security en Privacy by Design. Dit is de onderdeel van onze standaard werkwijze. Omdat beveiliging en privacy vanaf het begin een integraal onderdeel zijn van je applicatie, zorgen we ervoor dat dit zo goed mogelijk aansluit op de functionaliteit van je platform. Zo biedt je de beste user experience en beschikken gebruikers over een veilige app.
Afhankelijk van de toepassing van de applicatie dient het niveau van beveiliging worden bepaald. Wordt er via de app data verzameld over gebruikers? Welke informatie wordt er opgeslagen? Waar staat de data opgeslagen en wie kunnen er bij deze gegevens? Wanneer er persoonsgegevens als BSN nummers of medische gegevens verwerkt worden dan is maximale bescherming van data noodzakelijk. Denk aan het verplichten van een pincode of biometrische verificatie, maar ook encryptie: het versleuteld opslaan en versturen van gegevens. Software voor overheden bevat daarom altijd Multifactor Authentication (2FA).
De AVG onderscheidt drie noodzakelijke IT-beveiligingsniveaus op basis van bedrijfsgrootte en gegevenstype. De niveaus zijn: basis, gemiddeld en hoog. Elk niveau heeft zijn eigen specifieke regels voor het verwerken van persoonsgegevens.
Om te garanderen dat security en privacy maatregelen worden getroffen (Security by Design), is bij elk project altijd een security en privacy lead betrokken. Deze expert maakt ook onderdeel uit van ons interne Security Experts Team, het team dat expertise levert voor projecten om veiligheid te borgen.
Binnen het design houden we altijd rekening met die van OWASP voor algemeen geldende security guidelines en principles en onze eigen best practices om security uitdaging zo goed mogelijk op te lossen.
Voor we beginnen met het ontwerpen van een app of platform doen we uitgebreid onderzoek waar het digitale product aan moet voldoen. De resultaten uit dit onderzoek zetten we om naar concrete design criteria. Onze werkwijze is erop gericht om vanaf stap 1 in het proces op gestructureerde manier security maatregelen in te bouwen en dit te documenteren binnen onze projecten. Vanuit de klantvraag; de functionele wens, ontwikkelen we een risicoclassificatie matrix. Op basis van deze matrix identificeren we veiligheidsrisico’s, en stellen we de mate van beveiliging die benodigd is vast.
Met het in kaart brengen van potentiële problemen, bepalen we waar risico’s kunnen liggen. Dit doen we binnen de domeinen fysiek, softwarematig en gebruikers. Veel voorkomende risico's liggen doorgaans in communicatie tussen systemen, transport van data tussen gebruikers en databases en beveiliging van apparaten. Door digitale platformen in ieder geval altijd via een SSL verbinding aan te bieden en data encrypted te versturen verkleinen we de kans op lekken.
Het aanvalsoppervlak van een digitaal systeem wordt bepaald aan het aantal manieren dat een aanvaller kan gebruiken om een systeem aan te vallen. Het is belangrijk het aanvalsoppervlak van een digitaal platform zo klein mogelijk te houden. Met ons risicokwalificatie matrix zorgen we dat we dat de hoeveelheid mogelijke aanvalsoppervlakken beperken.
Binnen Elements zorgen we ervoor dat al onze deliverables voldoen aan onze security by design principes. Zo documenteren we alle werkzaamheden en volgen wij de OWASP richtlijnen voor cyberbeveiliging.
Binnen ons ontwikkelproces passen wij een drietal vormen van kwaliteitscontrole toe:
- Geautomatiseerde controle
- Code reviews
- Audits
- 3rd party penetratietest
Binnen ons ontwikkelproces wordt opgeleverde code automatisch gescand op een vereist kwaliteitsniveau. Dit doen we in een een zogenaamde Continuous Integration (CI) omgeving gebruikmakend van speciaal hiervoor bestemde software. Deze software scant onder meer op veel gemaakte fouten, onnodige complexiteit, potentiële beveiligingslekken, maar ook ook het gebruik van andere software waarvan het bekend is dat deze lekken bevatten.
Wanneer de geautomatiseerde controle de kwaliteit van de code accepteert, wordt deze ter review aan een collega developer aangeboden. In deze review wordt gekeken of de code volgens onze best practices en standaarden is gerealiseerd en geen fouten bevat.
Aan het einde van ieder project wordt er een interne security audit uitgevoerd door de security en privacy lead, voordat de code daadwerkelijk in productie gaat. In deze audit wordt vastgesteld of van design tot oplevering is voldaan aan onze eigen standaard: Is alle documentatie op orde en zijn alle keuzes juist gedocumenteerd, zijn de geautomatiseerde controles correct uitgevoerd en hebben reviews plaatsgevonden
Wij adviseren altijd om een pentest uit te laten voeren door een derde partij. De security specialisten van Elements voeren altijd controles uit, maar een externe blik is belangrijk. Externe pentesters hebben veel ervaring met uiteenlopende software en applicaties en kennen veel getroffen security maatregelen. Zo krijgen organisaties een realistisch beeld van de kwetsbaarheid van hun platform. De inzichten uit deze tests, helpen ons de security maatregelen te verfijnen en kwetsbaarheden te verhelpen.
Ben je op zoek naar een partner voor het ontwikkelen van secure apps of platforms? Bel Erwin op 06-20475439. Of laat een bericht achter via onderstaand formulier en we nemen binnen 1 werkdag contact met je op.
Wij nemen security zeer serieus. We hebben dan ook veel ervaring met het ontwikkelen en implementeren van apps die aan de hoogste veiligheidseisen moeten voldoen. Hieronder vind je twee voorbeelden van onze security cases, maar bekijk vooral ook ons volledige overzicht voor meer informatie.
Wij
bouwen
jouw app.
Voor mobiel en web
