Beste lezer,

Misschien ervaart u het ook in uw eigen organisatie? Er is een steeds grotere bewustwording dat organisaties kwetsbaar zijn als het gaat over informatiebeveiliging.

Ook voor ons geldt dat wij ons ervan bewust zijn dat wij u als klant veilige onlinediensten moeten leveren. Dit is mede de reden dat wij als organisatie druk bezig zijn met het behalen van de certificering ISO 27001 inzake informatiebeveiliging. Hiermee kunnen wij u een extra waarborg geven dat uw gegevens en data bij ons veilig zijn. In de aanloop naar het behalen van ons ISO-certificaat hebben wij meteen de kans gegrepen om onze security eens goed onder de loep te nemen, verder te harmoniseren en te upgraden naar de laatste beveiligingsstandaarden.

Wat is veilig en hoe weet je dat zeker?

Als bouwer van een webapplicatie stel je alles in het werk om een goede veilige stabiele dienst te leveren. Echter, als dit niet door een buitenstaander gecontroleerd en uitgebreid getest wordt, gaat veiligheid niet verder als je eigen kennis en ervaring. Zeg maar, de slager die zijn eigen vlees keurt.

Om zeker te weten dat er geen beveiligingslekken zijn en andere zwakheden in je systemen zijn er zogenaamde Pentesten. Tijdens een Pentest gaat een onafhankelijke externe partij, gespecialiseerd in beveiligingsvraagstukken, je volledige systeem en beveiliging testen en controleren op eventuele technische en beveiligingsissues.

Pentest

Inmiddels is er – op verzoek van een van onze klanten – zo’n Pentest uitgevoerd. Waren wij perfect en is er helemaal niets gevonden!? Nee, maar op enkele verbetersuggesties (die wij meteen hebben opgepakt en doorgevoerd) na, hebben wij de test glansrijk doorstaan.

Voor u als klant is de wetenschap dat wij zorgdragen voor de veiligheid van uw privacy en data een veilig idee. Voor ons development team, dat afgelopen maanden zo hard heeft gewerkt om een volledig nieuw beveiligingsprotocol door te voeren, een erkenning van professioneel vakmanschap.

Voor de IT-ers onder u: een korte opsomming van zaken die wij hebben doorgevoerd op technisch gebied;

• Voorheen meerdere securitymodellen en technologieën, nu geharmoniseerd naar 1 model voor gebruikers en 1 model voor 3rd party koppelingen
• Alles gebaseerd op standaarden:
  • Users: OAuth2 / OpenID Connect middels een externe Auth-provider
  • External: JSON Web Tokens
• Klanten die OAuth2 / OpenID Connect ondersteunen, kunnen koppelen middels Single Sign-On met Sensus BPM Online en hebben hun eigen systeem als Auth-provider
• Alle niet-SSOklanten loggen in via Auth0, een externe Auth-provider. We vinden het wiel niet opnieuw uit, maar laten het over aan de professionals
• Auth0 heeft login-as-a-service als business, dus garandeert hoge kwaliteit en beveiliging en is up-to-date. Klantgegevens worden veilig bewaard.
• IP-filter per licentie mogelijk op de Sensus BPM Publisher en/of Sensus BPM Designer
• Mogelijkheid voor email-filter per licentie op de Sensus BPM Publisher en/of Sensus BPM Designer
• De licentiestructuur garandeert dat mensen geen projecten kunnen benaderen waar ze geen toegang toe hebben
• De licentiestructuur garandeert ook dat de klant gebruik kan maken van de features waar ze voor betaald hebben
• De project rechtenstructuur garandeert dat er verschillende niveaus van modificeren van het project zijn

Oftewel veilig, veiliger, het veiligst!

De Directie,

Sensus process management