Technische eisen en testomgeving v6.2 Tel +31 (0) 85 01 60 555 Website support.zivver.com E-mail support@zivver.com
Inhoud 1. Inleiding... 3 2. Office piclug-gnin...3 1.1. Werkplek... 3 1.2. Outlook... 4 1.3. Connectiviteit... 4 3. Webapicpic... 5 4. OWA piclug-gnin...5 5. Android/iOS Apicpic...6 6. Aficficoug-ntbeheer...7 6.1. SyncTool... 7 6.2. Single Sign-On (SSO)... 8 6.3. Extra inlogmethode (2FA)... 9 7. Overig...10 7.1. Notificatiebericht... 10 7.2. Releasemanagement... 11 8. Testomgeving...11 9. Contafictpicersonen...12 1. Inleiding Dit document beschrijft de technische eisen en testomgeving om met ZIVVER aan de slag te gaan binnen jouw organisatie. De technische eisen zijn opgedeeld naar de verschillende producten die wij aanbieden. Per product is er een korte omschrijving gegeven. Soms staan er ook aandachtspunten bij een product. Bepaal vooraf welke producten voor jouw organisatie relevant zijn. Vul vervolgens voor deze producten de technische eisen in, door aan te geven of er wel of niet wordt voldaan aan een eis. Licht eventueel je antwoord toe in de opmerkingenkolom. Wij beoordelen de ingevulde technische eisen, om te bepalen of we problemen voorzien bij de technische implementatie van ZIVVER binnen jouw organisatie. Neem bij vragen/problemen contact op met support@zivver.com. Pagina 2 van 13
2. Office plug-in Met de Office plug-in mailt een gebruiker veilig vanuit Microsoft Outlook 2010, 2013 en 2016. Bekijk hier de installatiehandleiding voor de Office plug-in. We stellen de volgende eisen aan het gebruik van de Office plug-in: 1.1. Werkplek Beschrijf in het kort welke type werkplekken er zijn - - binnen de organisatie. Bijvoorbeeld: zero clients met Citrix, thuiswerkomgeving, etc. Beschikken gebruikers op hun (thuis-)werkplek over Microsoft Windows 7 of hoger? Beschikken gebruikers op hun (thuis-)werkplek over Microsoft Outlook 2010 of hoger? Beschikken gebruikers op hun (thuis-)werkplek over Microsoft.NET 4.5 of hoger? Beschikken gebruikers op hun (thuis-)werkplek over schrijfrechten in onderstaande map? %appdata%\zivver\officeplugin Worden de volgende gegevens gesynchroniseerd met het profel van de gebruiker (roaming profles)? - %appdata%\zivver\officeplugin - HKCU\Software\Zivver\Officeplugin 1.2. Outlook Pagina 3 van 13
Welke mailserver gebruikt jouw organisatie? - - Bijvoorbeeld Microsoft Ofce 365 (Exchange Online), Microsoft Exchange 201X, etc. Gebruikt jouw organisatie in Outlook andere plug-ins die belangrijk zijn voor de bedrijfsvoering? Bijvoorbeeld een CRM, DMS, etc. Tijdens de technische test / GAT moet de werking van de Ofce plug-in i.c.m. andere plug-ins worden getest. Zijn er applicaties die berichten via Outlook versturen, die belangrijk zijn voor de bedrijfsvoering? Bijvoorbeeld een CRM, DMS, EPD, ECD, etc. Tijdens de technische test / GAT moet het mailen vanuit deze applicaties worden getest. 1.3. Connectiviteit Mag de Office plug-in op de (thuis-)werkplek van de gebruiker een HTTPS-verbinding (TLS v1.2) via poort 443 maken? Mag de Office plug-in op de (thuis-)werkplek van de gebruiker verbinding maken via onderstaand DNS? https://*.zivver.com De wildcard in het DNS-domein geeft aan dat er verschillende subdomeinen gebruikt worden. Deze subdomeinen kunnen wijzigen over de tijd. Zijn er binnen het bedrijfsnetwerk specifeke beveiligingsmaatregelen genomen m.b.t. het internetverkeer, waardoor onze producten (zoals de Office plug-in) standaard geen verbinding mogen maken? Bijvoorbeeld white-listing van domeinen, deep packet inspection, Encrypted Trafc Management (ETM), etc. Pagina 4 van 13
Wordt er binnen het bedrijfsnetwerk een proxyserver gebruikt voor het internetverkeer? 3. Webapp Met de webapp (https://app.zivver.com) mailt een gebruiker veilig vanuit een browser op een werkplek, tablet of mobiele telefoon. We stellen de volgende eisen aan het gebruik van de webapp: Beschikken gebruikers op hun werkplek (Windows of Mac), tablet of mobiele telefoon over een van onderstaande moderne browsers? - Internet Explorer 11 of Edge. - Google Chrome laatste stable version. - Mozilla Firefox v31 of hoger. - Apple Safari v9 of hoger. 4. OWA plug-in Met de OWA plug-in mailt een gebruiker veilig vanuit OWA voor Office 365 (https://outlook.office.com/owa), ook wel Outlook on the web. Neem contact op voor de installatiehandleiding van de OWA plug-in. We stellen de volgende eisen aan het gebruik van OWA plug-in: Gebruikt de organisatie Exchange Online (Office 365)? Op de werkplek van de gebruiker is de URL van de OWA toegevoegd aan de Vertrouwde websites zone van Internet Explorer? De URL van de OWA is bijvoorbeeld: https://outlook.ofce365.com/owa/ Pagina 5 van 13
Beschikken gebruikers op hun werkplek (Windows of Mac), tablet of mobiele telefoon over een van onderstaande moderne browsers? - Internet Explorer 11 of Edge. - Google Chrome laatste stable version. - Mozilla Firefox v31 of hoger. - Apple Safari v9 of hoger. Third party cookies zijn op de werkplek van de gebruiker toegestaan? De OWA plug-in gebruikt cookies voor het opslaan van instellingen (localstorage genoemd). 5. Android/iOS App Met de Android/iOS app mailt een gebruiker veilig vanaf een tablet of mobiele telefoon. De Android app is te downloaden vanuit de Google Play Store. De ios app is te downloaden vanuit de Apple App Store. De gebruiker kan de app zelf downloaden of deze wordt door de organisatie beschikbaar gesteld. We stellen de volgende eisen aan het gebruik van de app: Beschikken gebruikers op hun Apple ipad of iphone over ios v10.0 of hoger? Beschikken gebruikers op hun Android tablet of mobiele telefoon over Android v5.x of hoger? Mag de app op de tablet/mobiele telefoon van de gebruiker een HTTPS-verbinding (TLS v1.2) via poort 443 maken? Mag de app op de tablet/mobiele telefoon van de gebruiker verbinding maken via onderstaand DNSdomein? https://*.zivver.com Pagina 6 van 13
De wildcard in het DNS-domein geeft aan dat er verschillende subdomeinen gebruikt worden. Deze subdomeinen kunnen wijzigen over de tijd. 6. Accountbeheer Accountbeheer omvat: - Het aanmaken en onderhouden van ZIVVER-accounts voor jouw organisatie. Dit kan handmatig of met de SyncTool. Het gaat hierbij om persoonlijke en functionele ZIVVER-accounts. Functionele accounts zijn accounts waarop de gebruiker niet inlogt. Een gebruiker krijgt namelijk via een persoonlijk ZIVVER-account toegang tot een functioneel account. - Het handmatig of via Single Sign-On (SSO) inloggen in ZIVVER. 6.1. SyncTool Een beheerder kan via het beheerdersdashboard handmatig de ZIVVER-accounts beheren. Dit volstaat voor een kleine organisatie of als slechts een kleine groep binnen de organisatie met ZIVVER gaat werken. Om een groot aantal accounts te beheren gebruik je de SyncTool. Met de SyncTool update je de ZIVVER-accounts voor jouw organisatie. Onder updates verstaan we: het aanmaken van nieuwe ZIVVER-accounts, het aanpassen van profelgegevens of het inactiveren/verwijderen van bestaande accounts. De SyncTool update de ZIVVER-accounts voor jouw organisatie aan de hand van Active Directory (AD). De SyncTool update alleen accounts in ZIVVER. Accounts in AD worden niet geüpdatet met de SyncTool. Een andere mogelijkheid is om Excel-importbestand te gebruiken, om de updates aan te geven. De SyncTool kan automatisch dagelijks synchroniseren. Installeer de SyncTool daarvoor op een server. Bekijk hier de handleiding. Server beschikt over Microsoft.NET 4.5 of hoger? De SyncTool mag op de server een HTTPS-verbinding (TLS v1.2) verbinding maken via poort 389 of 636? Geef in de SyncTool aan welke poort wordt gebruikt. Pagina 7 van 13
De LDAP-inloggegevens zijn beschikbaar om de SyncTool te verbinden met AD? AD is de bron. De SyncTool voert geen updates door in AD. 6.2. Single Sign-On (SSO) Met Single Sign-On (SSO) heeft de gebruiker geen aparte inlognaam + wachtwoord voor ZIVVER. Met SSO logt de gebruiker namelijk in ZIVVER in via zijn organisatie. We stellen de volgende eisen aan het gebruik van SSO: Omsfichrijving eis Keug-zes Opicmerkingen Welke applicatie gebruikt de organisatie voor accountmanagement? Microsoft AD Microsoft Azure AD Centrify Gebruikt de organisatie een van onderstaande Identity Providers (IdP)? Zo ja, welke? - Microsoft ADFS v2.0 of hoger. - Microsoft Azure - Google G Suite - Okta Klik op de naam om de handleiding te bekijken. Overig Microsoft ADFS Microsoft Azure Google G Suite Okta Overig Nee Neem contact met ons op als de organisatie een andere IdP gebruikt. De IdP moet SAML v2 (of hoger) ondersteunen. Is in het AD per gebruiker een lang, uniek en willekeurig identifcatienummer beschikbaar? ZIVVER gebruikt dit nummer in het encryptieproces. Het is daarom belangrijk dat het nummer lang, uniek en willekeurig is. Bij voorkeur is dit nummer zelf gegenereerd en wordt het niet gebruikt in andere koppelingen/systemen. We raden af om het AD-attribuut Pagina 8 van 13
ObjectGUID te gebruiken, omdat dit nummer vaak in andere koppelingen gebruikt wordt. 6.3. Extra inlogmethode (2FA) Wij vinden het belangrijk om ZIVVER-accounts goed te beveiligen. Daarom vragen we gebruikers om hun account te beveiligen met een extra inlogmethode (twee-factor-authenticatie/2fa). Bij het inloggen geeft de gebruiker eerst zijn inlognaam (mailadres) en wachtwoord op. Daarna geeft de gebruiker een inlogcode op. De gebruiker kan een inlogcode per SMS-bericht ontvangen, of door deze afezen in een Authenticator App. Om te bepalen hoe jouw organisatie de extra inlogmethode gebruikt, hebben we de volgende vragen: Loggen gebruikers op hun werkplek in met een MFA? Beschikken gebruikers over een zakelijke, mobiele telefoon? Geef Nee aan als het merendeel van de gebruikers niet over een zakelijke, mobiele telefoon beschikt. Dit betekent dat het merendeel van de organisatie zijn privételefoon gebruikt. Ontvangen gebruikers op hun zakelijke mobiele telefoon SMS-berichten via een publiek, mobielnetwerk (KPN, T-Mobile, Vodafone, etc.)? Geef Nee aan als gebruikers geen SMS-berichten op een zakelijk mobiele telefoon kunnen ontvangen. ZIVVER vraagt de gebruiker om een inlogmethode te registeren, als de gebruiker inlogt en er nog geen extra inlogmethode is ingesteld. Wij begrijpen dat de nut en noodzaak van de extra inlogmethode niet voor alle gebruikers even vanzelfsprekend is. Daarom vergemakkelijken we het inlogproces op verschillende manieren: Pagina 9 van 13
- Gebruik onze SyncTool om het mobiele telefoonnummer van een gebruiker vanuit het AD te synchroniseren naar het bijbehorende ZIVVER-account. Dit telefoonnummer is dan automatisch geactiveerd voor de gebruiker. De gebruiker hoeft dus niet handmatig zijn mobiele telefoonnummer te registeren. - ZIVVER vraagt niet om een inlogcode bij het inloggen als: o De gebruiker inlogt via SSO en de Identity Provider (IdP) aan ZIVVER meegeeft dat de gebruiker is ingelogd met zijn Windows-inloggegevens. o De gebruiker hoeft in dat geval ook geen extra inlogmethode in te stellen voor zijn account. Tenzij de gebruiker niet op zijn werkplek, maar bijvoorbeeld op een mobiel apparaat inlogt via SSO, waarbij de IdP niet aan ZIVVER meegeeft dat de gebruiker is ingelogd met zijn Windows-inloggegevens. In dat geval vraagt ZIVVER wel om een extra inlogmethode te registreren bij het inloggen. De gebruiker inlogt binnen een vertrouwd netwerk. Stel daarvoor een vertrouwd netwerk in en geef aan dat er binnen dit netwerk geen extra inlogmethode vereist is. De gebruiker hoeft in dat geval ook geen extra inlogmethode in te stellen voor zijn account. Tenzij de gebruiker buiten het vertrouwde netwerk inlogt. In dat geval vraagt ZIVVER wel om een extra inlogmethode te registeren. 7. Overig Dit hoofdstuk bevat onderwerpen die niet specifek bij een product horen. 7.1. Notifcatiebericht Als je een bericht met ZIVVER verstuurd, dan ontvangt de ontvanger in zijn inbox een zogenaamd notifcatiebericht. In dit notifcatiebericht staat dat de afzender een veilig bericht heeft verstuurd. Het veilige bericht is te lezen door te klikken op de blauwe knop in het bericht. Op dat moment opent onze webapp. Standaard verstuurt ZIVVER het notifcatiebericht met als afzender noreply@zivver.com. Dit kan aangepast worden naar het e-mailadres van de afzender. We stellen daarvoor de volgende eisen: In het domein kan een SPF-record worden aangemaakt voor ZIVVER? In het domein kan een DKIM-record worden aangemaakt voor ZIVVER? Pagina 10 van 13
In het domein kan een extra record worden aangemaakt voor ZIVVER? ZIVVER gebruikt dit record als een extra controle naast het SPF-/DKIM-record. 7.2. Releasemanagement In onze SLA staat beschreven hoe vaak wij een nieuwe versie van onze producten opleveren. We vinden het belangrijk om van onze klanten te weten hoe zij hun releasemanagement regelen. Gebruikt de organisatie releasemanagement? Onder releasemanagement verstaan we bijvoorbeeld een OTAP-omgeving. Hoe vaak worden updates van applicaties doorgevoerd? - - Bijvoorbeeld reguliere updates maximaal 1x per maand. Security updates en hot fxes bij uitzondering. 8. Testomgeving ZIVVER wil een goede werking van de Office plug-in in de werkomgeving van de organisatie garanderen. Daarvoor kan ZIVVER met de organisatie afspreken om de werking van de Office plug-in te testen, binnen een representatieve werkomgeving (testomgeving). We stellen de volgende eisen aan deze testomgeving: Is er een representatieve werkomgeving beschikbaar voor het uitvoeren van applicatietesten? Met representatieve werkomgeving bedoelen we een werkomgeving die hetzelfde is ingericht als de productieomgeving waarop gebruikers werken. Bij voorkeur is dit een aparte testomgeving, welke een kopie is van de productieomgeving. Is er een Windows-testaccount beschikbaar? Belangrijk is dat het testaccount geen directe toegang tot gevoelige gegevens bevat. Het testaccount hoeft niet speciaal voor ZIVVER aangemaakt te worden. Het Pagina 11 van 13
account mag bijvoorbeeld een (gedeeld) account speciaal voor leveranciers zijn. Is de testomgeving op afstand te benaderen? Bijvoorbeeld via een thuiswerkomgeving of via TeamViewer. Is Outlook 2010 of hoger op de testomgeving geïnstalleerd? Is de laatste versie van de Office plug-in geïnstalleerd? Zijn de volgende standaard applicaties op de testomgeving geïnstalleerd? - Microsoft Word - Microsoft Excel - Microsoft Powerpoint - Adobe Acrobat Reader Tijdens de technische test wordt de werking van deze standaard applicaties i.c.m. Outlook getest. Zijn voor de bedrijfsvoering belangrijke Outlook plug-ins geïnstalleerd op de testomgeving? Bijvoorbeeld een CRM, DMS, etc. Tijdens de technische test / GAT moet de werking van de Ofce plug-in i.c.m. andere plug-ins worden getest. 9. Contactpersonen Voor de technische uitrol van ZIVVER binnen de organisatie zijn een accountbeheerder en technisch beheerder noodzakelijk. De accountbeheerder is verantwoordelijk voor het gebruikersbeheer en instellingen in ZIVVER. Over het algemeen is dit een functioneel applicatiebeheerder. De technische beheerder installeert nieuwe versie van de Office plug-in, stelt SSO in, etc. Dit kan ook door een externe IT-partij worden gedaan. Graag horen we wie aanspreekpunten zijn voor de organisatie: Contafictgegevens aficficoug-ntbeheerder Naam Pagina 12 van 13
Contafictgegevens tefichnisfich beheerder Naam Naam organisatie E-mail Telefoon E-mail Telefoon Werktijden/- dagen Werktijden/- dagen Pagina 13 van 13