Factsheet Penetratietest Webapplicaties
|
|
- Maria ter Linde
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) info@db-fortivision.nl
2 Dit document is een bijlage bij de overkoepelende dienstbeschrijving Penetratietest Informatievoorziening. FortiVision kent een aantal verschillende verschijningsvormen van penetratietest. Deze bijlage beschrijft de penetratietesten waarvan het doelobject een webapplicatie is. Webapplicaties Steeds meer organisaties maken gebruik van webapplicaties. Door applicaties via een webinterface beschikbaar te stellen kan de functionaliteit op een effectieve manier aan een grote doelgroep worden aangeboden. Dit heeft zowel voor de organisatie als voor de gebruikers grote voordelen. Een webapplicatie kan bijvoorbeeld worden gebruikt om eindgebruikers online goederen of diensten af te laten nemen of hun eigen gegevens bij te laten werken. Door de eindgebruiker wordt dit als een extra service ervaren, terwijl het voor een organisatie veel efficiënter kan zijn dan wanneer deze informatie telefonisch of schriftelijk zou moeten worden verwerkt. Webapplicaties kunnen op deze manier een kostenbesparend en klantvriendelijk bedrijfsmiddel zijn. Vaak zal de gebruikersgroep bestaan uit eindgebruikers die de webapplicatie via Internet kunnen benaderen. De webapplicatie kan echter ook aan een afgeschermde groep gebruikers beschikbaar worden gesteld, zoals eigen medewerkers of tussenpersonen. Webapplicaties kunnen dan ook zeer breed worden ingezet, bijvoorbeeld via een extranet, om aan eindgebruikers informatie over aan hen geleverde of te leveren diensten te verstrekken of om goederen en diensten te verkopen. Hierdoor verwerken Webapplicaties vaak vertrouwelijke informatie. Dit kan informatie over de eindgebruikers zijn, zoals aan hen geleverde goederen of diensten of hun NAW-gegevens, maar ook interne informatie van een bedrijf zoals financiële informatie, gegevens over klanten enof medewerkers, kritieke bedrijfsprocessen of de beveiliging van het pand en de ICT-infrastructuur. Verantwoordelijkheid De eigenaar van de webapplicatie, en daarmee van de informatie, is verantwoordelijk voor de beveiliging van deze informatie. Wanneer vertrouwelijke informatie via de webapplicatie uitlekt kan dat ernstige gevolgen hebben. Zo kunnen vertrouwelijke bedrijfsgegevens of gegevens over klanten bij concurrenten terecht komen. Een dergelijk incident levert vaak, ongeacht de aard en omvang van de uitgelekte informatie, schade op aan het imago van een organisatie. Wanneer persoonsgegevens door een applicatie worden verwerkt bestaat tegenover de gebruikers niet alleen een morele plicht om zorgvuldig met hun informatie om te gaan, maar ook op grond van de Wet Bescherming Persoonsgegevens dienen passende beveiligingsmaatregelen te worden getroffen. Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 2 van 6
3 Soms is ook de beschikbaarheid van de webapplicatie van groot belang voor een organisatie en kan tijdelijke of langdurige uitval vervelende, al dan niet financiële, consequenties hebben. Kwetsbare webapplicaties kunnen een bedreiging vormen voor de overige servers van een organisatie of zelfs voor het gehele interne netwerk. De penetratietest Daar waar besturingssystemen en webservers generiek zijn en de beveiliging ervan door de ontwikkelaars en de vele gebruikers met grote regelmaat wordt getest, is dat bij webapplicaties meestal niet het geval. Webapplicaties worden immers over het algemeen voor één specifieke gebruiker ontwikkeld. Hierdoor is de kans dat eventueel aanwezige kwetsbaarheden door anderen reeds zijn gevonden en verholpen zeer klein. Het testen van het systeem met alleen een kwetsbaarheidscanner zal dan ook niet de gewenste inzichten bieden. Een effectief middel om toch de kwetsbaarheden in een webapplicatie te vinden en ze te verhelpen vóór een kwaadwillende ze weet te achterhalen en te misbruiken, is de penetratietest. Een penetratietest op een webapplicatie kan worden gezien als een praktische toetsing van de beveiliging. Zo n test biedt inzicht in de effectiviteit van de getroffen beveiligingsmaatregelen en toont de punten waar aanvullende beveiligingsmaatregelen wenselijk zijn. Bovendien wordt met de penetratietest duidelijk gemaakt wat de gevolgen van aanwezige kwetsbaarheden zijn terwijl tevens wordt aangegeven hoe ze kunnen worden verholpen. Voorbeelden van testonderdelen bij een penetratietest zijn: Identificatie/authenticatie is het mogelijk om als niet-gebruiker toch toegang te krijgen? Of kan een gebruiker zich voordoen als een andere gebruiker; Fouten in de applicatie die kunnen leiden tot het verkrijgen van ongewenste toegangsrechten; SQL injectiemogelijkheden de mogelijkheid tot het aanpassen van gebruikte SQL queries en zodoende het direct bevragen/aanpassen van de achterliggende database; File disclosure mogelijkheden de mogelijkheid om bestanden in te zien die niet voor publicatie bedoeld waren (bijvoorbeeld bestanden met accountgegevens); Remote file include mogelijkheden is het mogelijk om bestanden van buitenaf in de applicatie te plaatsen om daarmee ongewenste handelingen te verrichten of meer controle over het systeem te krijgen; Cross Site Scripting mogelijkheden zijn er mogelijkheden aanwezig om andere gebruikers geïnjecteerde code te laten uitvoeren in hun webbrowser om hen zo onbewust handelingen te laten verrichten of zijn sessie over te nemen ; Inferentie het indirect kunnen afleiden van informatie uit het gedrag van de applicatie. Hierbij wordt gebruik gemaakt van verschillende technieken die speciaal zijn toegesneden op het type applicatie dat getest wordt. De consultants van FortiVision beschikken over een goede tooling verzameling om deze testen uit te voeren, maar bovenal hebben zij over het vermogen dat elke goede hacker kenmerkt: een gezonde dosis creativiteit om on the spot nieuwe technieken te bedenken Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 3 van 6
4 in combinatie met een goede beheersing van diverse script- en programmeertalen om tooling op maat te ontwikkelen. Varianten Zoals bij elk onderzoek het geval is zal ook een penetratietest slechts de gewenste antwoorden opleveren wanneer de juiste onderzoeksvragen worden gesteld. Enkele voorbeelden van onderzoeksvragen zijn: o o o Is het mogelijk om zonder gebruikersaccount toegang te krijgen tot de applicatie en/of daarin aanwezige informatie? Is het mogelijk om als gebruiker toegang te krijgen tot informatie of (beheer- )componenten van de applicatie waarvoor geen autorisatie is verleend, zoals persoonsgegevens van andere gebruikers? Is het mogelijk om op enige wijze onrechtmatig toegang te krijgen tot de server waarop de applicatie draait en/of tot overige systemen binnen de infrastructuur? Penetratietesten kunnen in verschillende varianten worden uitgevoerd. Aan de hand van het doel van de webapplicatie en de onderzoeksvragen kan worden vastgesteld wat de meest efficiënte aanpak is. In hoofdlijnen zijn drie varianten van de penetratietest te onderscheiden: 1. Black box: Hierbij spelen de consultants van FortiVision de rol van blinde aanvaller zonder enige voorinformatie over het doelobject, anders dan de informatie die nodig is om de test tot het doelobject te kunnen beperken. 2. Gray box: Hierbij spelen de consultants van FortiVision de rol van (meestal) reguliere gebruiker. Zij hebben dan geen directe administratieve toegang tot de doelobjecten en hebben ook geen toegang tot de broncode van applicaties of configuratiebestanden. Wel hebben zij twee of meer gebruikeraccounts en een zekere hoeveelheid voorinformatie. De exacte hoeveelheid voorinformatie kan van test tot test verschillen, afhankelijk van het exacte doel. 3. Crystal box (ook wel Glass box of White box genoemd): Hierbij hebben de consultants volledige toegang tot alle informatie over het te testen object. Zij kunnen de broncode van de applicatie(s) inzien, configuratiebestanden opvragen, enzovoorts. In principe zijn de penetratietesten intrusive, wat wil zeggen dat er daadwerkelijk zal worden geprobeerd om zwakke plekken uit te buiten. Wanneer dat niet wenselijk is, kan voor een non-intrusive aanpak worden gekozen. Overigens worden doelgerichte Denial of Service aanvallen expliciet uitgesloten van de penetratietesten; een penetratietest is er immers op gericht schade te voorkomen en niet om die te veroorzaken. De rapportage De resultaten van de penetratietest worden opgeleverd in een rapport, bestaande uit een managementsamenvatting, inleiding (kaderstelling), Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 4 van 6
5 bevindingen, conclusies en aanbevelingen. FortiVision beoogt haar rapporten zodanig op te stellen dat ze niet alleen voor niet-technisch onderlegde personen goed leesbaar zijn, maar dat ze zeker ook goed bruikbaar zijn om eventuele technische problemen te verhelpen. In een managementsamenvatting wordt kort en begrijpelijk weergegeven wat er is getest, wat de globale bevindingen zijn en, indien van toepassing, met welke inspanning de tekortkomingen kunnen worden verholpen. Vervolgens worden de bevindingen van de uitgevoerde penetratietest weergegeven. Hierbij wordt geen opsomming gegeven van elk onderzocht systeem met de eventueel daarop aanwezige beveiligingsproblemen, maar worden beveiligingsproblemen gegroepeerd per getest onderdeel. Het oplossen van de beveiligingsproblemen vraagt zeker op infrastructuurniveau een integrale aanpak waarmee wordt voorkomen dat reeds verholpen beveiligingsproblemen snel weer terugkomen. Vervolgens worden de conclusies die uit de bevindingen kunnen worden getrokken beschreven. De aanbevelingen worden op basis van de bevindingen geprioriteerd opgenomen in de rapportage. Bij de prioriteitsstelling wordt rekening gehouden met de ernst van het aangetroffen beveiligingsprobleem en de inspanning inclusief eventuele kosten voor het verhelpen ervan. Methodiek De door FortiVision uitgevoerde penetratietesten op infrastructuren en webapplicaties zijn gebaseerd op de internationaal erkende standaard Open Source Security Testing Methodology Manual (OSSTMM). Door het hanteren van deze methodiek wordt een waarborg gecreëerd dat het netwerk op alle binnen de scope van het onderzoek vallende beveiligingsaspecten wordt getoetst. De bevindingen van penetratietesten die volgens deze methodiek zijn uitgevoerd worden over het algemeen door auditende partijen geaccepteerd, wat vaak niet het geval is bij penetratietesten die niet volgens een vastgelegde methodiek worden uitgevoerd. Kwalificatie FortiVision heeft een ruime ervaring met de uitvoering van penetratietesten, zowel gericht op de beveiliging van een ICT infrastructuur, applicaties alsook gebouwen (fysieke penetratietesten in de vorm van de dienst MysteryMan). De penetratietesten worden uitgevoerd door consultants die kunnen putten uit een zeer ruime ervaring (meer dan 10 jaar), en hebben een diepgaande kennis van zowel de theorie als de praktijk achter de verschillende beveiligings- en aanvalstechnieken. Omdat de consultants van FortiVision met grote regelmaat met (soms zeer) vertrouwelijke informatie in aanraking komen, weten zij hoe zij hier mee om dienen te gaan. Alle consultants hebben een geheimhoudingsverklaring getekend die ook betrekking heeft op informatie verkregen bij opdrachten van opdrachtgevers. Een geheimhoudingsverklaring tussen FortiVision en zijn opdrachtgevers is standaard opgenomen in onze Algemene Voorwaarden. Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 5 van 6
6 Meer informatie Gebruik de onderstaande gegevens voor het stellen van vragen via telefoon of Adres : Stadionstraat 1a 4815NC Breda Telefoon: Fax: Website: info@db-fortivision.nl Meer uitgebreide vragen laten zich het beste in een persoonlijk gesprek beantwoorden. Neem gerust contact met ons op voor het maken van een afspraak. Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 6 van 6
Factsheet Penetratietest Informatievoorziening
Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieFactsheet Penetratietest Infrastructuur
Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieZest Application Professionals Training &Workshops
Het in kaart krijgen van kwetsbaarheden in Websites & Applicaties en hoe deze eenvoudig te voorkomen zijn, wordt in Applicatie Assessments aangetoond en in een praktische Workshop behandelt. U doet hands-on
Nadere informatieSecurity Health Check
Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security
Nadere informatieWEBAPPLICATIE-SCAN. Kiezen op Afstand
WEBAPPLICATIE-SCAN Kiezen op Afstand Datum : 1 september 2006 INHOUDSOPGAVE 1 t Y1anagementsamen"'v atting 2 2 Inleiding 3 2.1 Doelstelling en scope ".".. " " " ".".3 2.2 Beschrijving scanproces.. """
Nadere informatieSCAN UW NETWERK SECURITY. Krijg een helder beeld van de kwetsbaarheden en voorkom schade
SCAN UW NETWERK SECURITY Krijg een helder beeld van de kwetsbaarheden en voorkom schade Vandaag de dag hebben organisaties een zorgplicht om de digitale veiligheid op orde te hebben. De wetgeving, zoals
Nadere informatiePrivacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers
Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende
Nadere informatieSecurity Assessment. Laat uw bedrijfsbeveiliging grondig testen
Security Assessment Laat uw bedrijfsbeveiliging grondig testen Vulnerability scan In een mum van tijd overzicht in uw veiligheid Wilt u weten hoe het met uw security gesteld staat? Laat uw netwerk en systemen
Nadere informatietekst raadsvoorstel Rekenkameronderzoek Digitale Veiligheid
Inleiding Digitale veiligheid staat meer nog dan voorheen in de belangstelling van overheid en bedrijfsleven. Inbreuken op digitale veiligheid leiden tot grote financiële en/ of imagoschade. De gemeente
Nadere informatieFactsheet MysteryMan op Locatie
Factsheet MysteryMan op Locatie Waarom stelen als je het ook kunt vragen? DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl Dit document
Nadere informatieSebyde Web Applicatie Security Scan. 7 Januari 2014
Sebyde Web Applicatie Security Scan 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren
Nadere informatieISSX, Experts in IT Security. Wat is een penetratietest?
De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie
Nadere informatieJacques Herman 21 februari 2013
KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling
Nadere informatieInformatiebeveiliging als proces
Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieTestnet Presentatie Websecurity Testen "Hack Me, Test Me" 1
Testnet Voorjaarsevenement 05 April 2006 Hack Me, Test Me Websecurity test onmisbaar voor testanalist en testmanager Edwin van Vliet Yacht Test Expertise Center Hack me, Test me Websecurity test, onmisbaar
Nadere informatieDIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND
DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl WAAROM DIGID-AUDIT? DAAROM DIGID-AUDIT
Nadere informatieFactsheet SECURITY SCANNING Managed Services
Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security
Nadere informatieFactsheet SECURITY SCANNING Managed Services
Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security
Nadere informatieRapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C
DigiD aansluiting no.1 - Bijlage B + C Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C gemeente Renswoude Vragen vooraf Vraag Vraag 1: Bent u aansluithouder van DigiD aansluitingen?
Nadere informatieTraining en workshops
Mirabeau Academy HACKING OWASP TOP 10 Training en workshops MIRABEAU ACADEMY AHEAD IN A DIGITAL WORLD Digitaal denken zit in onze code. We weten exact wat er online speelt. Sinds 2001 ontwikkelen we platformen
Nadere informatiePrivacy Policy v Stone Internet Services bvba
Privacy Policy v09.16 Stone Internet Services bvba Stone Internet Services Privacy Policy Dit document heeft als doel te beschrijven hoe Stone Internet Services bvba omgaat met het opslaan en beheren van
Nadere informatieWe maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.
Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit
Nadere informatieChecklist beveiliging webapplicaties
Versie 1.02-5 oktober 2011 Factsheet FS 2011-08 Checklist beveiliging webapplicaties De beveiliging van webapplicaties staat de laatste maanden sterk in de belangstelling. Diverse incidenten op dit gebied
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieBeveiliging en bescherming privacy
Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie
Nadere informatieCEL. Bouwstenen voor een elektronische leeromgeving
CEL Bouwstenen voor een elektronische leeromgeving FACTSHEET CEL VERSIE 1.0 DECEMBER 2001 CEL - Bouwstenen voor een elektronische leeromgeving Inhoudsopgave Wat is CEL? 1 Uitgangspunten 1 De eindgebruiker
Nadere informatieSecurity Testing. Omdat elk systeem anderis
Security Omdat elk systeem anderis Security U bent gebaat bij een veilig netwerk en beveiligde applicaties. Wij maken met een aantal diensten inzichtelijk hoe we uw security kunnen optimaliseren. Security
Nadere informatieINFORMATIEBEVEILIGING VOOR WEBWINKELS
INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.
Nadere informatieTesten van security Securityrisico s in hedendaagse systemen
INFIORMATION RISK MANAGEMENT Testen van security Securityrisico s in hedendaagse systemen TestNet - 5 april 2006 ADVISORY Visie van KPMG Organisaties willen aantoonbaar in control zijn over hun interne
Nadere informatieIntake <applicatie> Conclusie & Aanbevelingen. <Datum> 1.0. <Auteur> ###-#######
Intake Conclusie & Aanbevelingen Datum Versie 1.0 Auteur Telefoon ###-####### Inhoudsopgave 1. VOORWOORD... 1 2. BESCHRIJVING APPLICATIE... 2 2.1. FUNCTIONEEL ONTWERP... 2
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatieKeurmerk Zeker-OnLine is HET keurmerk voor online administratieve diensten.
Keurmerk Zeker-OnLine is HET keurmerk voor online administratieve diensten. Paul Harmzen ControlSolutions Peter Potters - Informer 16 juni 2016 1. Actuele stand van zaken 2. Datalekken en Privacy Shield
Nadere informatie0.1 Opzet Marijn van Schoote 4 januari 2016
Vragenlijst Cyber ISPS Versie Revisiebeschrijving Auteur Datum 0.1 Opzet Marijn van Schoote 4 januari 2016 0.99 Finale concept versie Marijn van Schoote 11 februari 2016 Doelstelling: De doelstelling van
Nadere informatieOntsluiten iprova via Internet Voorbeeld methoden
Ontsluiten iprova via Internet Voorbeeld methoden 12-12-2016 Inhoudsopgave 1 Inleiding... 3 2 Algemene aandachtspunten... 4 3 Voorbeeld methoden... 6 3.1 Ontsluiten via een (bestaande) telewerken oplossing
Nadere informatieGratis bescherming tegen zero-days exploits
Gratis tegen zero-days exploits We zien de laatste jaren een duidelijke toename van geavanceerde dreigingen op onze computersystemen. In plaats van het sturen van alleen e-mails met geïnfecteerde bijlagen
Nadere informatieSr. Security Specialist bij SecureLabs
Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten
Nadere informatieHelp! Mijn website is kwetsbaar voor SQL-injectie
Help! Mijn website is kwetsbaar voor SQL-injectie Controleer uw website en tref maatregelen Factsheet FS-2014-05 versie 1.0 9 oktober 2014 SQL-injectie is een populaire en veel toegepaste aanval op websites
Nadere informatieVoordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:
Wat is een Third Party Mededeling? Het uitbesteden van processen is binnen hedendaagse organisaties erg gebruikelijk. Maar hoe kunt u als dienstleverlener uw (potentiële) klanten overtuigen van de kwaliteit
Nadere informatieRekenkamer Arnhem. Zaaknr: Betreft: Rekenkamerbrief vervolgonderzoek informatieveiligheid en privacy. 16 mei Geachte raadsleden,
Rekenkamer Arnhem Zaaknr: 224789 Betreft: Rekenkamerbrief vervolgonderzoek informatieveiligheid en privacy 16 mei 2018 Geachte raadsleden, Inleiding Op 30 november 2017 hebben wij uw raad geïnformeerd
Nadere informatiePoging 3: KEY001: SESID: Hiermee zijn we ingelogd als gebruiker DEMO2 :
Portaal A Dit portaal is een portaal geschreven in ASP.NET, en wordt slechts gebruikt (voor zover wij konden beoordelen) door één leasemaatschappij. Zoals bij elke test van een webapplicatie starten wij
Nadere informatieBeknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI
Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Document: Beknopte dienstbeschrijving beveiligen van Webapplicaties Versie: maart 2002 mei 2002 Beknopte dienstbeschrijving
Nadere informatieOmdat er in de AVG veel juridische termen gebruikt worden, leggen we deze graag eerst uit. Dit helpt je bij het lezen van de rest van dit document.
Versie 1.1 Verwerkersovereenkomst Als je gebruikmaakt van Moneybird, leg je diverse gegevens van je klanten, leveranciers en anderen vast. Daarbij zitten ook persoonsgegevens, zoals namen, (e-mail)adressen,
Nadere informatieHet Sebyde aanbod. Secure By Design
Het Sebyde aanbod Secure By Design Ons aanbod Security Scan Secure Development Security Awareness Security Assessment 1. Security Scan > Scan van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken
Nadere informatieWelkom bij parallellijn 1 On the Move 14.20 15.10 uur
Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag
Nadere informatieBijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum
Collegeverklaring ENSIA 2017 - Bijlage 1 Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum Vragen vooraf Vraag Vraag 1: Bent u aansluithouder van DigiD aansluitingen? Vraag 2: Hoeveel
Nadere informatieService Level Agreement
Service Level Agreement 1 Algemene bepalingen 1.1 Partijen Deze Service Level Agreement (verder te noemen: SLA) is een overeenkomst die is gesloten tussen: WAME BV, gevestigd te Enschede aan de Deurningerstraat
Nadere informatieFactsheet DATALEKKEN COMPLIANT Managed Services
Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.
Nadere informatiePrivacyverklaring msx-shop.nl
Inhoud 1. Inleiding 1 1.1 Vereisten verwerking persoonsgegevens... 2 1.2 Aanvullende vereisten... 2 1.3 Systeem... 2 1.3.1 Msx-shop.nl... 2 1.3.2 E-mailadressen voor beheerders en webmaster... 2 1.3.3
Nadere informatieGemeentelijke Telecommunicatie GT Connect
Realisatie Gemeentelijke Telecommunicatie GT Connect Bijlage 14 Proof of Delivery (PoD) Vereniging van Nederlandse Gemeenten, Den Haag, juni 2019 2 Inhoudsopgave 1 Inleiding...4 2 Proof of Delivery...5
Nadere informatiePrivacyverklaring Gripvol B.V.
Privacyverklaring Gripvol B.V. Uw persoonsgegevens zijn goed beveiligd Dit is de privacyverklaring van Gripvol B.V. Deze verklaring ziet op de verzameling en verwerking van persoonsgegevens van zowel onze
Nadere informatieFactsheet Enterprise Mobility
Factsheet Enterprise Mobility www.vxcompany.com Informatie willen we overal, altijd en op elk device beschikbaar hebben. Privé, maar zeker ook zakelijk. Met het gebruik van mobile devices zoals smartphones
Nadere informatiePrivacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.
Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen
Nadere informatieInkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline
Nadere informatieDIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT
DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT Service Level Agreement (SLA) - BC Online Boekhouden Artikel 1. Definities Leverancier: BusinessCompleet.nl
Nadere informatieAan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag
> Retouradres Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Directoraat Generaal Bestuur en Koninkrijksrelaties Burgerschap en Informatiebeleid www.rijksoverheid.nl
Nadere informatieSiteSafe. Rapportage. Security Audit voor CFConsultancy
SiteSafe Rapportage Security Audit voor CFConsultancy Rapport Basic Security Audit Plus voor CFConsultancy Introductie... 2 Algemene indruk... 3 Constateringen... 4 Conclusie... 5 Bijlage A: Security Checklist...
Nadere informatieSebyde AppScan Reseller. 7 Januari 2014
Sebyde AppScan Reseller 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren diensten
Nadere informatieWerkplekvisie. Hans van Zonneveld Senior Consultant Winvision
Werkplekvisie Hans van Zonneveld Senior Consultant Winvision De essentie De gebruiker centraal Verschillende doelgroepen Verschillende toepassingen Verschillende locaties Het beschikbaar
Nadere informatieSamenwerken met Hosting.nl SLA VOORWAARDEN
Samenwerken met Hosting.nl SLA VOORWAARDEN SLA Voorwaarden Hosting.nl Contactinformatie Hosting.nl Postadres : Postbus 4380, 2003 EJ Haarlem Telefoon : 0900-4678464 Fax : 023-5328261 E-mail verkoop : verkoop@hosting.nl
Nadere informatieGerust aan het werk MET ALLE INFORMATIE OVER ONZE CLOUD WERKPLEK.
Gerust aan het werk MET ALLE INFORMATIE OVER ONZE CLOUD WERKPLEK. Cloud werkplek Wat is het? De cloudwerkplek van Hupra is een Windows 8.1. desktop die altijd en overal via het internet toegankelijk is.
Nadere informatiePrivacy- en cookieverklaring Watermill
Privacy- en cookieverklaring Watermill Versie: 25-05-2018, 1 Via www.watermill.nl (verder: de website) worden persoonsgegevens verzameld en worden cookies geplaatst. Privacy is voor The Watermill Tax Consultants
Nadere informatieIdentify and mitigate your IT risk
Identify and mitigate your IT risk ICT risico = bedrijfsrisico In de ontwikkeling die organisaties doormaken, speelt ICT een belangrijke rol. ICT heeft bedrijfsprocessen efficiënter en effectiever gemaakt.
Nadere informatieInformatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR
Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR 26 SEPTEMBER 2018 INLEIDING Onderzoeksvraag: Zijn de persoonsgegevens en andere gevoelige informatie bij de gemeente
Nadere informatiePrivacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink
Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (
Nadere informatieOpenIMS 4.2 Portaal Server
OpenIMS 4.2 Portaal Server Inhoudsopgave 1 WAT IS EEN ENTERPRISE INFORMATIE PORTAAL?...3 1.1 BESPARINGEN...3 1.2 GERICHT OP EEN SPECIFIEKE DOELGROEP...3 2 OPENIMS PORTAAL SERVER (PS)...4 2.1 CENTRAAL BEHEER...4
Nadere informatieDE PRIVATE CLOUD. Johan Bos & Erik de Meijer
DE PRIVATE CLOUD Johan Bos & Erik de Meijer Agenda Wat is Cloud? Waarom Private Cloud? Wanneer Private Cloud? Een stappenplan Vragen Quiz Ga naar www.kahoot.it of download de app Gefeliciteerd! 2017 EXACT
Nadere informatie1 Inleiding 2 Smeets Uitvaartverzorging 3 Technische informatie 4 Cookies
1 Inleiding Deze privacyverklaring geldt voor alle gegevensverzamelingen en andere gegevensverwerking van Smeets Uitvaartverzorging. Waar in deze privacyverklaring de naam Smeets Uitvaartverzorging (of
Nadere informatieHET CENTRALE SECURITY PLATFORM
HET CENTRALE SECURITY PLATFORM Wat komt er vandaag de dag op bedrijven af? Meldplicht datalekken Malware Spam Ddos-aanvallen Phishing Zwakke wachtwoorden Auditdruk Meldplicht datalekken Ingegaan op 1 januari
Nadere informatieRapport van bevindingen Beveiligingsonderzoek webapplicatie HISICT 2016
Auditdienst Rijk Minisrerje van Financiën DEPARTEMENTAAL VERTROUWELIJK Rapport van bevindingen Beveiligingsonderzoek webapplicatie HISICT 2016 Datum 5 oktober 2016 Titel Beveiligingsonderzoek webapplicatie
Nadere informatiePRIVACYSTATEMENT MODEL WORKOUT B.V.
PRIVACYSTATEMENT MODEL WORKOUT B.V. Wanneer u member wordt van Model Workout vertrouwt u ons met uw gegevens. Om gebruik te kunnen maken van Model Workout dient u diverse persoonsgegevens aan Model Workout
Nadere informatieKeuzedeel mbo. Veilig programmeren. gekoppeld aan één of meerdere kwalificaties mbo. Code
Keuzedeel mbo Veilig programmeren gekoppeld aan één of meerdere kwalificaties mbo Code Penvoerder: Sectorkamer ICT en creatieve industrie Gevalideerd door: Sectorkamer ICT en creatieve industrie Op: 12-04-2016
Nadere informatieICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden
Drechtsteden Technische Architectuur (DTA) ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Status : Definitief 1.0 Redactie : DTA Datum : 29-08-2007 1 Versiebeheer
Nadere informatieWerken zonder zorgen met uw ICT bij u op locatie
Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u
Nadere informatieWHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.
WHO NEEDS ENEMIES Onze IT-omgeving staat bloot aan een groot aantal dreigingen. DDoS aanvallen zijn aan de orde van de dag en hackers proberen hun slag te slaan. Maar de grootste dreiging voor onze digitale
Nadere informatieBeveiligingsaspecten van webapplicatie ontwikkeling met PHP
RADBOUD UNIVERSITEIT NIJMEGEN Beveiligingsaspecten van webapplicatie ontwikkeling met PHP Versie 1.0 Wouter van Kuipers 7 7 2008 1 Inhoud 1 Inhoud... 2 2 Inleiding... 2 3 Probleemgebied... 3 3.1 Doelstelling...
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieBIJLAGE 1: PRIVACY BIJSLUITER QL-Online
BIJLAGE 1: PRIVACY BIJSLUITER QL-Online A. Algemene informatie Naam product en/of dienst Naam Bewerker en vestigingsgegevens : QL-Online Beknopte uitleg en werking product en dienst : : De Rolf groep,
Nadere informatieDicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem?
Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem? Executive summary Organisaties maken meer en meer gebruik van online
Nadere informatieAls beveiligingssystemen IT-systemen zijn, waarom worden ze dan niet beheerd door de. IT-afdeling? Over Thimo Keizer
Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van
Nadere informatieDigiD beveiligingsassessment Decos Information Solutions
DigiD beveiligingsassessment 2016-2017 Information Solutions DigiD groepsaansluiting Burgerberichten Kenmerk BKBO/161216/AR Dit assurancerapport heeft 10 pagina s www.bkbo.nl Information Solutions Inhoudsopgave
Nadere informatiePrivacy Policy Oude Dibbes
Privacy Policy Oude Dibbes 22-08-15 pagina 1 van 6 Inhoudopgave 1 Privacy Policy... 3 1.1 Oude Dibbes en derden... 3 1.2 Welke informatie wordt door Oude Dibbes verwerkt en voor welk doel?... 3 1.2.1 Klantgegevens...
Nadere informatieVerwerkersovereenkomst
Versie 1.1 - Nederlands Verwerkersovereenkomst Als je gebruikmaakt van een Crivex app, geef je ons toegang tot diverse gegevens van je klanten. Daarbij zitten ook persoonsgegevens, zoals namen, (e-mail)adressen,
Nadere informatieAanbevelingen en criteria penetratietest
Aanbevelingen en criteria penetratietest Versie 1.0 Datum 21 februari 2012 Status Definitief Colofon Projectnaam DigiD Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius Postbus 96810
Nadere informatieSecurity audit en vrijwaringsovereenkomst
Dit is een voorbeeld van een Pentest waiver zoals gegenereerd met de Pentest waiver generator van ICTRecht: https://ictrecht.nl/diensten/juridischegeneratoren/pentest-waiver/ In dit voorbeeld ziet u een
Nadere informatieDMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.
Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat DMZ Policy 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd Manager SPITS
Nadere informatieInformatiebeveiligingsbeleid
2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum Versiebeheer Versie Datum Status Naam Toelichting
Nadere informatiePrivacyverklaring Prisma Direct
Privacyverklaring Prisma Direct Deze privacyverklaring is van toepassing op alle diensten van Prisma Direct B.V. Prisma Direct wil diensten van hoge kwaliteit leveren. Respect voor uw privacy en een zorgvuldige
Nadere informatieHet gebruik van persoonsgegevens. Doeleinden van gebruik. Omschrijving van de persoonsgegevens
Privacy- en cookieverklaring Het onderstaande privacybeleid is van toepassing op alle sitebezoeken, transacties en overeenkomsten met Allround-ITC BV h.o.d.n. ImakeIT, Brugweg 1, 2741 KT Waddinxveen, KVK-nummer
Nadere informatieH t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging
Het ICT-Beveiligings- i assessment DigiD & Informatiebeveiliging De aanleiding 2011: Diginotar 2011: Lektober En ook: 2012: Dorifel 2012: Citadel 2013: DongIT Botnet De reactie vanuit VNG/KING Starting
Nadere informatiePrivacy Statement Keytech Groningen
Privacy Statement Keytech Groningen Inleiding Keytech Groningen is ervan overtuigd dat de persoonlijke levenssfeer van haar flexwerkers, kandidaten en werknemers, alsook van haar andere relaties en bezoekers
Nadere informatieALLES WAT U MOET WETEN OVER. HUPRA s CLOUDWERKPLEK. Werken waar en wanneer u maar wilt!
ALLES WAT U MOET WETEN OVER HUPRA s CLOUDWERKPLEK Werken waar en wanneer u maar wilt! U WILT... Onbezorgd kunnen werken. Waar en wanneer dan ook; Thuis verder werken waar u op de zaak was gebleven; Bij
Nadere informatieOverigens verwerkt H & H in beginsel geen enkel bijzonder persoonsgegeven (zie de site van de Autoriteit Persoonsgegevens (AP)).
Privacy Statement Ter introductie Dit is het zogenoemde Privacy Statement van Hordijk & Hordijk, adviseurs voor organisatie en financiën B.V. (hierna: H & H). H & H verwerkt dagelijks onvermijdelijk diverse
Nadere informatieInformatieveiligheid in de gemeente Dordrecht
Informatieveiligheid in de gemeente Dordrecht Bestuurlijke boodschap 1 Rekenkamercommissie Informatieveiligheid COLOFON Samenstelling Rekenkamercommissie Jeroen Kerseboom voorzitter Karin Meijer lid Coen
Nadere informatieProductopbouw. BrainCap levert cybersecurityoplossingen in 3 stappen.
U wilt online veiligheid voor uw bedrijf. U wilt daarom weten wat de cybersecuritystatus van uw organisatie is en inzicht hebben in de online risico s waaraan u bloot staat. Maar daar heeft u de kennis
Nadere informatieGemeente Rotterdam Gemeenteraad d.t.k.v. de Griffie Coolsingel AD ROTTERDAM. Geacht raadslid,
Meent 94 Postbus 70012 info@rekenkamer.rotterdam.nl t 010 267 22 42 3000 KP Rotterdam www.rekenkamer.rotterdam.nl Gemeente Rotterdam Gemeenteraad d.t.k.v. de Griffie Coolsingel 40 3011 AD ROTTERDAM ons
Nadere informatieMemo Regiegroep OSO Datum: 7 januari 2016 Marjan Frijns Onderwerp: Voorstel wijziging PKI infrastructuur OSO
Memo Aan: Regiegroep OSO Datum: 7 januari 2016 Van: Marjan Frijns Onderwerp: Voorstel wijziging PKI infrastructuur OSO Aanleiding: Binnen OSO speelt de kwestie van het vervangen van de huidige OSO certificaten
Nadere informatieVERSIE 1.0 WOLFMEISTER VOF SERVICE LEVEL AGREEMENT UITGEREIKT DOOR: WOLFMEISTER IT. Graafseweg AL - s-hertogenbosch KVK
VERSIE 1.0 WOLFMEISTER VOF SERVICE LEVEL AGREEMENT UITGEREIKT DOOR: WOLFMEISTER IT Graafseweg 10 5213 AL - s-hertogenbosch KVK 71055657 SERVICE LEVEL AGREEMENT 1. PARTIJEN Deze Service Level Agreement
Nadere informatieDisclaimer en privacyverklaring
Disclaimer en privacyverklaring Het LijfLab & info@hetlijflab.nl Disclaimer en Privacyverklaring Disclaimer Ondanks het feit dat deze website en haar inhoud tot stand is gekomen met inachtneming van de
Nadere informatieResultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities
De Nessus scan We hebben ervoor gekozen om de webserver met behulp van Nessus uitvoerig te testen. We hebben Nessus op de testserver laten draaien, maar deze server komt grotendeels overeen met de productieserver.
Nadere informatie