Ibis neemt jouw data serieus

Omdat steeds meer opdrachtgevers, aannemers, installateurs, toeleveranciers en vastgoedbeheerders die gebruik maken van Ibis-applicaties, locatie en tijd onafhankelijk werken en geen omkijken meer willen hebben naar het installeren en beheren van software. Wordt er steeds meer gebruik gemaakt van ibis-applicaties via het internet. Door het toenemend gebruik van ‘Software-as-a-Service’ (Saas), verschuiven echter ook de verantwoordelijkheden voor de beschikbaarheid, vertrouwelijkheid en integriteit van de programmatuur en bijbehorende data. Ibis beseft het bedrijf kritische belang van deze verantwoordelijkheden en heeft daarom het afgelopen jaar de internationaal erkende ISO 27001-certificering voor het beveiligen van bedrijfsinformatie behaald. De ISO 27001 is een standaard die gaat over informatiebeveiliging. In deze standaard staat hoe je procesmatig met het beveiligen van informatie kan omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen een organisatie zeker te stellen.

Wat zegt een certificaat?

Certificaten geven zekerheid. Echter het ene certificaat is niet het andere certificaat. Dat komt omdat een certificaat een weerslag is van wat door de auditor is gecontroleerd. De te certificeren organisatie geeft aan wat ze gecontroleerd willen hebben. Het ISO certificaat is hier te downloaden.

Er zijn wel regels voor het bepalen wat er wordt geaudit:

Als organisatie mag je bepaalde delen van je dienstverlening uitsluiten en ook bepaalde delen van je organisatie. Er zijn echter wel regels voor wat je wel en niet mag uitsluiten. De auditor controleert dat en samen met de organisatie wordt de scope bepaald. De scope is een tekstuele omschrijving van de diensten / producten die geleverd worden. Deze scope staat op het certificaat.

Wat is de scope van Ibis?

Het ontwikkelen, beheren en leveren van online applicaties en het aanbieden van support en consultancy diensten, zoals vastgesteld door de directie, en in overeenstemming met de Verklaring van toepasselijkheid.

Wat houdt de Verklaring van Toepasselijkheid in?

De ISO 27001 bestaat uit 2 delen. Een algemeen deel, in de norm terug te vinden in de hoofdstukken 4 tot en met 10. En een specifiek deel, in de norm terug te vinden in de Annex. In deze Annex staan de beheersmaatregelen met betrekking tot informatiebeveiliging, zoals bijvoorbeeld uitgifte van rechten, netwerkscheiding en de fysieke beveiliging. Van dit specifieke deel zijn beheersmaatregelen op ‘niet van toepassing’ te zetten. Dat betekend dan dat je dat deel van de norm niet hebt geïmplementeerd in jouw organisatie. De Verklaring van Toepasselijkheid is hier te downloaden.

Hoe meer je uitsluit hoe minder het certificaat waard is

Immers je hebt niks gedaan met dat deel van de norm dat je hebt uitgesloten. Hoe meer je uitsluit hoe minder je certificaat waard is Nou kan het natuurlijk dat het logisch is om een deel uit te sluiten. Als je bijvoorbeeld software inkoopt en dus niet zelf ontwikkeld kan je, het deel dat gaat over ontwikkelen van software, uitsluiten. Jouw klanten zullen dat ook logisch vinden. Echter als je veel uitsluit zeg je daarmee dat je geen aandacht hebt voor dat deel uit de norm. Je hebt het immers niet geïmplementeerd in jouw organisatie. Het maakt dus geen deel uit van jouw managementsysteem voor informatiebeveiliging (het ISMS).

Wat heeft Ibis uitgesloten in de Verklaring van Toepasselijkheid?

Ibis heeft slechts één beheersmaatregel uitgesloten in de Verklaring van Toepasselijkheid. Dit is de beheersmaatregel: A14.2.7 Uitbestede softwareontwikkeling. De reden hiervoor is dat alle softwareontwikkeling intern plaatsvindt.

Algemeen

Wat is een ISMS?

ISMS  staat voor Information Security Management System en is de vastlegging van de complete set van maatregelen, processen en procedures. Deze complete set is dus de manier / methode hoe een organisatie met informatiebeveiliging omgaat. Deze methode moet ook rekening houden hoe de organisatie van zichzelf leert zodat ze zich continu kunnen verbeteren.

Voor wie is ISO 27001 bedoeld?

Voor alle organisatie die willen aantonen dat zij een set van maatregelen, processen en procedures hanteren om aan stakeholders te laten zien dat zij serieus met informatiebeveiliging omgaan. Dit kunnen ICT bedrijven (zoals Ibis) zijn, maar ook banken, verzekeraars, overheid, zorginstellingen en andere bedrijven die met vertrouwelijke informatie omgaan, bewerken of opslaan.

Waaruit bestaat de ISO 27000 familie?

De ISO 27001 norm staat niet op zichzelf, maar is onderdeel van de ISO 27000 familie. Hierin zijn bijvoorbeeld ook  implementatie richtlijnen opgenomen (zie ISO 27002) en wordt er uitleg gegeven over hoe de ISO 27001 geaudit kan worden (zie ISO 27007 en ISO 27008).

Wat is een norm of standaard?

Een norm of standaard is een document met erkende afspraken, specificaties of criteria over een product, een dienst of een methode. Standaarden kunnen vastgelegd worden binnen een bedrijf of organisatie, binnen een consortium van organisaties of door erkende standaardisatieorganisaties. Erkende standaardisatieorganisaties (zowel nationale als internationale) werken volgens een bepaald proces en controleerbare regels.

Wat is informatiebeveiliging?

Dit is het geheel van preventieve, detective, repressieve en correctieve maatregelen alsmede procedures en processen die de vertrouwelijkheid, beschikbaarheid en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.

Wat is ISO 27001?

ISO 27001 is een standaard die gaat over informatiebeveiliging. In deze standaard staat hoe je procesmatig met het beveiligen van informatie kan omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen een organisatie zeker te stellen. Een organisatie die voldoet aan de ISO 27001 eisen kan zich door een certificerende instantie laten auditen. Bij voldoende niveau krijgt een organisatie dan een certificaat. De certificerende instantie doet dit volgens richtlijnen zodat er zeker gesteld wordt dat iedereen die zo’n certificaat krijgt ook aan bepaalde voorwaarden voldoet. Het belangrijkste is om een certificaat te krijgen met een stempel van de RvA erop. Dit is de Raad van Accreditatie, zij controleren de certificerende instantie op kwaliteit. Dit heet een “geaccrediteerde certificering” en geeft meerwaarde aan een ISO certificaat.

Waarom wilt Ibis ISO 27001 gecertificeerd zijn?

Dit is nodig om ons bedrijf doorlopend veilig te houden. Dit zijn zowel organisatorische als technische stappen. Hierbij nemen we het volgende standpunt in; we nemen maatregelen: Die nodig zijn om de beveiliging van klantdata, bedrijfsgegevens, personeelsgegevens, bedrijfsmiddelen en collega's te garanderen. Om te voldoen aan wet- en regelgeving. Om de continuïteit van de bedrijfsvoering te garanderen. Om onze reputatie, en die van onze klanten te beschermen. Waarvan de baten opwegen tegen de kosten.

Webapplicaties

Is de applicatie compatibel met alle browsers? Wat zijn de minimale vereisten?

Klik hier voor onze systeemvereisten.

Hoe waarborgt Ibis de kwaliteit van haar software?

De kwaliteit van de software wordt gewaarborgd middels het naleven van vele richtlijnen en (geautomatiseerde) procedures in het ontwikkel-, test-, uitlever- en beheersproces van onze software. Ibis streeft ernaar om dit proces continu te verbeteren.

Is er een procedure voor datalekken?

Ibis is geen verwerker van persoonsgegevens in hun producten. Datalekken hoeven dan ook niet gemeld te worden bij de autoriteit persoonsgegevens. Uiteraard is er een procedure voor beveiligingsincidenten van klantgegevens.

Is single sign on ook mogelijk voor de webapplicaties?

Nee, dit is nog niet mogelijk. De verwachting is dat onze oplossingen later dit jaar wordt geïntegreerd met Active Directory. Hierdoor is single sign on en ook 2-factor authenticatie mogelijk.

Bij wie ligt het intellectueel eigendom (IP) van de ingevoerde data?

De data is te allen tijde van de klant. Het intellectueel eigendom over deze data dus ook.

Wordt de software regelmatig gescand op hackpogingen, virussen, malware? En zo ja, hoe?

Ibis maakt gebruik van Microsoft Azure. Hiermee zijn een aantal risico’s al automatisch afgedekt. Daarnaast maken we gebruik van NextGen Firewalls, Microsoft Endpoint Protection en Azure Security Center om onze platformen te beschermen en te monitoren.

Verloopt een sessie automatisch als gebruik wordt gemaakt van inlogaccounts?

Ja, de levensduur van een sessie is 15 minuten.

Hoe wordt communicatie van en naar de software geëncrypteerd (welk TLS-protocol)?

De communicatie van en naar de software wordt versleuteld middels TLS 1.2.

Als gebruik wordt gemaakt van inlogaccounts: is een systeembeperking aan het aantal inlogpogingen gesteld? Zo ja, welke beperking?

Na 10 foutieve inlogpogingen wordt een account voor 15 minuten gelocked.

Is er sprake van een multi-tenancy cloud-architectuur?

Voor de meeste webapplicaties is gekozen voor een shared multi-tenant omgeving. Voor IBIS-MAIN is echter gekozen voor een database-per-tenant architectuur.

Hoe is de wachtwoordsterkte geborgd? Aan welke vereisten moet het wachtwoord voldoen?

Elk wachtwoord moet voldoen aan een minimale lengte van 8 karakters en minimaal 1 hoofdletter, 1 kleine letter, 1 cijfer en 1 speciaal teken bevatten. Momenteel is het nog niet mogelijk om in te loggen met single sign on, maar een koppeling met Active Directory staat op de planning.

Worden er penetratietesten uitgevoerd?

Jaarlijks worden de webapplicaties van Ibis onderworpen aan een penetratietest. Alle aanbevelingen uit deze rapportage worden afhankelijk van de prioriteit zo spoeding mogelijk opgepakt door Ibis.

Hoe veilig is de cloud?

De applicaties van Ibis worden gehost in Microsoft Azure. Microsoft Azure biedt vertrouwelijkheid, integriteit en beschikbaarheid van gegevens van de klant, terwijl ook transparante aansprakelijkheid. Microsoft levert de beveiliging met meerdere lagen geleverd in fysieke datacenters, infrastructuur en bewerkingen in Azure datacentrums wereldwijd. Vertrouw op een cloud die is gebouwd met aangepaste hardware, beschikt over beveiligingsmaatregelen die zijn geïntegreerd in alle hardware- en firmwareonderdelen en die extra beveiliging biedt tegen bedreigingen als DDoS. Microsoft werkt met een team van meer dan 3.500 wereldwijde cyberbeveiligingsexperts die samenwerken om uw bedrijfsassets en gegevens in Azure te beschermen. Klik hier voor meer informatie.

Waar worden de webapplicaties gehost?

De applicaties van Ibis worden gehost in Microsoft Azure in de regio West Europa. Dit betekent dat de applicaties en data worden gehost in datacenters in Nederland (Middenmeer). Deze datacenters voldoen aan de strengste beveiligingsrichtlijnen ISO/IEC 27001:2013 en 24-uurs bewaking.

Beleidsdomein

Heeft Ibis documentatie van het ICT landschap met daarin onder andere de bedrijfsprocessen en de ICT-beveiligingsarchitectuur?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in het Technisch Beleid.

Hoe worden contracten met derde partijen voor de uitbestede levering of beheer van webapplicaties opgesteld?

Voor uitbestede leveringen of beheer hebben wij een verwerkersovereenkomst en een geheimhoudingsverklaring met iedere leverancier.

Wordt er risicomanagement uitgevoegd op de infrastructuur van de webapplicatie omgeving?

Ja, dit is onderdeel van de ISO 27001 certificering. Daarnaast voeren wij jaarlijks een nieuwe  risico analyse uit en wordt er jaarlijks door externe getoetst.

Hanteert Ibis een cryptografiebeleid rond het beheer, opslag en distributie van cryptografisch materiaal?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in hoofdstuk 7 van het Technisch Beleid.

Heeft Ibis een toegangsvoorzieningsbeleid geformuleerd, waarmee de toegang en het gebruik van ICT-diensten gereguleerd wordt?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in hoofdstuk 8 van het Technisch Beleid.

Ibis formuleert een informatiebeveiligingsbeleid?

Ibis is ISO 27001 gecertificeerd voor haar interne automatisering, de ontwikkeling van software en het beheren van de hostingomgeving RDWEB. Ibis heeft het certificaat Informatiebeveiligingsmanagement – ISO/IEC 27001:2013 met certificaatnummer ISC 246 behaald en besteedt hierin specifiek aandacht aan webapplicatie-gerelateerde onderwerpen zoals dataclassificatie, toegangsvoorziening en kwetsbaarhedenbeheer.

Uitvoeringsdomein

Zijn kritieke delen van systemen (bijvoorbeeld bestanden) beschermt door isolatie van overige delen?

Ja, door middel van schijf encryptie in place, AD groepen, NTFS rechten op folder niveau, group policies, access-based enumeration, encrypted back-up en gelaagde subnetten. Daarnaast regelen Next Gen firewalls het netwerk verkeer.

Is er een hardeningrichtlijn voor het configureren van platformen beschikbaar?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in het Technisch Beleid.

Is het netwerk gescheiden in logische en fysieke domeinen? Is er een DMZ aanwezig, gepositioneerd tussen het interne netwerk en het internet?

Ja, er is gebruik gemaakt van een gelaagd netwerk gescheiden door subnetten. De Next Gen firewall regelt het netwerk verkeer.

Zijn binnen de productieomgeving beheer- en productieverkeer van elkaar afgeschermd?

Ja, het Next Gen Firewall regelt netwerk verkeer dat wordt gescheiden door subnetten. Beheerservers zijn alleen toegankelijk vanaf het Ibis hoofdkantoor. Beheerservers kunnen alleen ingeschakeld worden door middel van MFA door de beheerders. Na werktijd worden de beheerservers automatisch uitgeschakeld.

Worden beveiligingsscans procesmatig en procedureel uitgevoerd op de ICT-componenten van de webapplicatie (scope)?

Jaarlijks worden de webapplicaties van Ibis onderworpen aan een penetratietest door een externe onafhankelijke partij. Alle aanbevelingen uit dit rapport worden afhankelijk van de prioriteit zo spoedig mogelijk opgepakt door Ibis.

Worden penetratietests procesmatig en procedureel, ondersteund door richtlijnen, uitgevoerd op de infrastructuur van de webapplicatie (scope)?

Jaarlijks worden de webapplicaties van Ibis onderworpen aan een penetratietest door een externe onafhankelijke partij. Alle aanbevelingen uit dit rapport worden afhankelijk van de prioriteit zo spoedig mogelijk opgepakt door Ibis.

Zijn er architectuur- en beveiligingsvoorschriften beschikbaar voor het implementeren, integreren en onderhouden van de netwerken?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in hoofdstuk 8 van het Technisch Beleid.

Is er een hardeningrichtlijn voor het configureren van platformen beschikbaar?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in het Technisch Beleid.

Garandeert de opzet van het netwerk dat alle gebruikers langs dezelfde netwerkpaden toegang krijgen tot webapplicaties, ongeacht hun fysieke locatie?

Ja, gebruikers komen op een eenduidige centrale manier binnen.

Worden de netwerkcomponenten en het netwerkverkeer beschermd door middel van protectie- en detectiemechanismen?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in het Monitoren en Meten document.

Is er voor het configureren van netwerken een hardeningrichtlijn beschikbaar?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in het Technisch Beleid.

Is het netwerk gebaseerd op betrouwbare netwerkcomponenten, die zijn ondersteund door redundantie?

Ja, het netwerk is gebaseerd op het betrouwbare Microsoft Azure wat een hoge beschikbaarheid van het systeem garandeert.

Heeft Ibis een operationeel beleid voor netwerken die richtlijnen, instructies en procedures voor inrichting en beheer van netwerken formuleert?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in het Technisch Beleid.

Zijn er architectuur- en beveiligingsvoorschriften beschikbaar voor het implementeren, integreren en onderhouden van platformen en webservers?

Ja. Deze zijn onderdeel van de ISO 27001 certificering en staat beschreven in het Technisch Beleid.

Zorgen lokale firewalls ervoor dat het netwerkverkeer per platform beperkt blijft tot de toegestane communicatiestromen?

Netwerk verkeer wordt gefilterd door een Next Gen Firewall en monitort het netwerkverkeer tussen de subnetten.

Wordt het beheer van platformen uitgevoerd volgens het operationeel beleid voor platformen?

Ja, er word voldaan aan het beheer van platformen volgens het operationeel beleid. Voorbeelden hiervan zijn het gelaagd beheer op het platform en dat beheerservers alleen toegankelijk zijn vanaf het Ibis kantoor. Daarnaast kunnen beheerservers alleen ingeschakeld worden door middel van MFA door de beheerders en worden deze na werktijd automatisch uitgeschakeld.

Heeft Ibis een operationeel beleid voor platformen en webservers die richtlijnen, instructies en procedures voor inrichting en beheer van platformen en webservers formuleert?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in het Technisch Beleid.

Is de webserver ingericht volgens een configuratie-baseline?

Ja, de configuratie is gedaan volgens de best-practice van Microsoft. Dit is onderdeel van de ISO 27001 certificering en staat beschreven in het Technisch Beleid.

Heeft een gebruikerssessie een beperkte levensduur en kan de gebruiker deze sessie zelf beëindigen?

Een publieke sessie duurt 20 minuten. Een privé sessie duurt 240 minuten. Disconnected sessies worden na 1 uur definitief beëindigd.

Zijn er architectuur- en beveiligingsvoorschriften beschikbaar voor het implementeren, integreren en onderhouden van de webapplicaties?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in hoofdstuk 7 van het Technisch Beleid.

Is betrouwbaarheid van de webapplicatie gegarandeerd door het gebruik van privacy en cryptografische technieken?

Ja, Ibis maakt gebruik van schijf versleuteling, AD groepen, NTFS rechten op folder niveau, group policies, access-based enumeration, versleutelde back-up en firewalls op het netwerk verkeer.

Communiceert de webapplicatie alleen met onder- en achterliggende systemen voor de noodzakelijke functionaliteit?

Het netwerk verkeer wordt gefilterd door een Next Gen Firewall waarbij deze alleen dat verkeer doorlaat naar de 14 subnetten dat nodig is.

Is het webapplicatiebeheer procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in het Technisch Beleid en de autorisatie matrix.

Formuleert het toegangsvoorzieningsbeleid van Ibis richtlijnen voor de organisatorische en technische inrichting van de processen en middelen, waarmee de toegang en het gebruik van ICT-diensten gereguleerd wordt?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in hoofdstuk 8 van het Technisch Beleid.

Beheersdomein

Worden penetratietests procesmatig en procedureel, ondersteund door richtlijnen, uitgevoerd op de infrastructuur van de webapplicatie (scope)?

Jaarlijks worden de webapplicaties van Ibis onderworpen aan een penetratietest door een externe onafhankelijke partij. Alle aanbevelingen uit dit rapport worden afhankelijk van de prioriteit zo spoedig mogelijk opgepakt door Ibis.

Worden beveiligingsscans procesmatig en procedureel uitgevoerd op de ICT-componenten van de webapplicatie (scope)?

Jaarlijks worden de webapplicaties van Ibis onderworpen aan een penetratietest door een externe onafhankelijke partij. Alle aanbevelingen uit dit rapport worden afhankelijk van de prioriteit zo spoedig mogelijk opgepakt door Ibis.

Is het beschikbaarheidsbeheer procesmatig ingericht, zodat bij calamiteiten de webapplicaties binnen de gestelde termijn wordt hersteld en voortgezet?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in hoofdstuk 7 van het Technisch Beleid.

Is het patchmanagement procesmatig en procedureel, ondersteund door richtlijnen zodat de laatste (beveiligings) patches tijdig worden geïnstalleerd in de ICT-voorzieningen.

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in hoofdstuk 6 van het Technisch Beleid.

Is het wijzigingenbeheer procesmatig en procedureel uitgevoerd zodat wijzigingen in de ICT-voorzieningen van webapplicaties tijdig, geautoriseerd en getest worden doorgevoerd?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in hoofdstuk 6 van het Technisch Beleid.

Worden de loggings- en detectie-informatie (registraties en alarmeringen) en de condities van de beveiliging van ICT-systemen regelmatig gemonitord (bewaakt, geanalyseerd) en de bevindingen gerapporteerd?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in het Monitoren en Meten.

Zijn binnen de webapplicatieomgeving signaleringsfuncties (registratie en detectie) actief en efficiënt, effectief en beveiligd ingericht?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in het Technisch Beleid.

Wordt de inrichting en de beveiliging van de webapplicaties procesmatig en procedureel gecontroleerd op basis van beveiligingsrichtlijnen en webapplicatie-architectuur?

Jaarlijks worden de webapplicaties van Ibis onderworpen aan een penetratietest door een externe onafhankelijke partij. Alle aanbevelingen uit dit rapport worden afhankelijk van de prioriteit zo spoedig mogelijk opgepakt door Ibis.

Is er een servicemanagementbeleid die richtlijnen voor beheerprocessen, controleactiviteiten en rapportages ten behoeve van het beheer van ICT-diensten formuleert?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in het Technisch Beleid.

Internet beveiligingsstandaarden en versleuteling

Zijn de SSL-certificaten op een trusted niveau vastgelegd?

Ja, deze zijn vastgelegd op organisatie validatie (midden-hoog niveau).

Voldoet Ibis aan het vereiste van minimaal 1.2 voor cryptografische protocollen zoals SSL en/of TLS?

De communicatie van en naar de software wordt versleuteld middels TLS 1.x.

Is het mogelijk om IP-blokkering te implementeren?

Ja, dit is mogelijk. Dit wordt niet standaard geleverd maar is mogelijk op aanvraag.

Wordt er door Ibis gebruik gemaakt van DNSSEC voor DNS-services?

Bij Ibis maken wij gebruik van DNSSEC op onze DNS servers.

Certificering

Behoudt Ibis deze certificering gedurende de gehele contractperiode en toont jaarlijks, door middel van een extern auditrapport, aan dat de informatiebeveiliging van de online dienst is gewaarborgd?

Ibis is ISO 27001 gecertificeerd voor haar interne automatisering, de ontwikkeling van software en het beheren van de hostingomgeving RDWEB. Ibis heeft het certificaat Informatiebeveiligingsmanagement – ISO/IEC 27001:2013 met certificaatnummer ISC 246 behaald.

Verstrekt Ibis de meest recente rapportages toesturen met betrekking tot audits en resultaten van de penetratietest met de gebruiker?

Ja, dit is mogelijk op verzoek van een gebruiker.

Beschikt Ibis, in het kader van informatiebeveiliging, over een ISO/IEC 27001:2013 certificering voor het ontwikkelen, leveren, implementeren en beheren van de applicatie?

Ibis is ISO 27001 gecertificeerd voor haar interne automatisering, de ontwikkeling van software en het beheren van de hostingomgeving RDWEB. Ibis heeft het certificaat Informatiebeveiligingsmanagement – ISO/IEC 27001:2013 met certificaatnummer ISC 246 behaald.

Is Ibis bereid om mee te werken aan een penetratietest, uitgevoerd in opdracht van de gebruiker op elk gewenst moment door een externe onafhankelijke partij?

Ja.

Eigenaarschap en beschikbaarheid van de data

Werkt Ibis volledig mee aan de conversie van alle data van de gebruiker in geval van overgang naar een vernieuwde versie van de software?

Ja, de data is te allen tijde van de klant. Het intellectueel eigendom ligt uiteraard ook bij de klant. Ibis zal doen wat er nodig is om ervoor te zorgen dat de data ook na de update beschikbaar is.

Bewaart de applicatie bij storingen alle, geaccepteerde en opgeslagen mutaties?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in hoofdstuk 7 van het Technisch Beleid.

Werkt Ibis volledig mee aan het beschikbaar stellen van alle data van de gebruiker indien de gebruiker wenst over te stappen naar een andere dienstverlener?

Ja, de data is te allen tijde van de klant. Het intellectueel eigendom ligt uiteraard ook bij de klant.

Kan de data door de functionele applicatiebeheerder van de gebruiker op een eenvoudige wijze volledig worden geëxporteerd?

Ja, via de verkenner tegel in het programma kan de data worden opgehaald door de applicatiebeheerder. Bij een database kan dit op aanvraag door Ibis worden uitgevoerd.

Maakt de applicatie dagelijks een back-up van alle data, met een retentietijd van 30 dagen? Worden deze back-ups gecontroleerd op compleetheid en teruggezet naar de productieomgeving?

Ja, dit is onderdeel van de ISO 27001 certificering en staat beschreven in hoofdstuk 7 van het Technisch Beleid.

Blijft de gebruiker in alle gevallen eigenaar van de data?

De data is ten allen tijde van de klant. Het intellectueel eigendom ligt uiteraard ook bij de klant.

Locatie data opslag en gegevensuitwisseling

Is de data van de gebruiker opgeslagen in een land waar de van toepassing zijnde wet- en regelgeving (EU grondgebied) in overeenstemming is met de Nederlandse wet –en regelgeving?

Ja, de data staat in het datacenter Microsoft Azure West Europe, back-ups worden weggeschreven in het datacenter Microsoft Azure East-Europe.

Hebben niet-geautoriseerden toegang tot de data bij uitwisseling van informatie tussen systemen?

Nee.

Waar wordt de data van de gebruiker inclusief back-ups van de data opgeslagen?

Data staat in het datacenter Microsoft Azure West Europe, back-ups worden weggeschreven in het datacenter Microsoft Azure East-Europe.

Authenticatie en autorisatie

Heeft een (gebruikers)sessie een beperkte levensduur en kan de gebruiker deze sessie zelf beëindigen?

Een publieke sessie duurt 20 minuten. Een privé sessie duurt 240 minuten. Disconnected sessies worden na 1 uur definitief beëindigd.

Verloopt de toegang tot voorzieningen/applicaties zoveel mogelijk via Single Sign On op basis van de gebruikersnaam en het wachtwoord uit AD?

Momenteel is het nog niet mogelijk om in te loggen met single sign on. Samen met Microsoft kijken we naar de mogelijkheden voor single sign on.

Is 2-factor authenticatie al geïmplementeerd?

Ja, onze software maakt gebruik van 2-factor authenticatie.

Wordt voor directe toegang tot cloud applicaties buitenom myApps en het netwerk 2-factor authenticatie toegepast?

Ja, hiervoor wordt 2-factor authenticatie toegepast op basis van Azure MFA.

Kan de cloudapplicatie voor gebruik buitenom het provinciale netwerk probleemloos worden ontsloten via Microsoft Azure AD middels myApps?

Momenteel is het nog niet mogelijk om in te loggen met single sign on. Samen met Microsoft kijken we naar de mogelijkheden voor single sign on.

Bij authenticatie bestaat geen mogelijkheid om gegevens van andere gebruikers te achterhalen, manipuleren of opnieuw te gebruiken?

Nee.

Beschikt Ibis over een systeem voor identiteit- en toegangsbeheer waarmee informatie-eigenaren deze kunnen afschermen voor onbevoegde toegang?

Ja, de Microsoft Azure Active Directory en de Microsoft Active Directory ondersteunen dit.

Beschikbaarheid, release management, documentatie en incident management

Is het mogelijk om en rapport te maken ten behoeve van de autorisatiebeheer van de applicatie?

Een aantal applicaties bevatten de mogelijkheid om autorisatie uit te draaien. Voor de overige applicaties is de mogelijkheid er om de autorisatie op aanvraag aan te leveren.

Wordt de gebruiker ten allen tijde ingelicht als de klantgegevens door een beveiligingsincident aan de kant van Ibis zijn of kunnen worden geraakt door een derde partij?

Op het moment dat er zich een beveiligingsincidient heeft voorgedaan zullen de desbetreffende klanten geinformeerd worden.

Is de functionele schaalbaarheid van de applicatie en onderliggende gegevensopslag onderdeel van de standaard dienstverlening?

Ja.

Instellingen en wijzigingen die door de eindgebruiker zijn aangebracht zullen niet overschreven worden tijdens de implementatie van nieuwe releases?

Ja, het software ontwikkel team heeft de mogelijkheid om dit succesvol uit te voeren.

Is de applicatie inclusief de onderliggende gegevensopslag technisch schaalbaar?

Ibis is in staat om de infrastructuur en onderliggende gegevensopslag met minimale verstoring te migreren naar hogere snelheden.

Geeft Ibis garanties af met betrekking tot gemiddelde en maximale response tijd voor de interactieve toepassingen?

Ja, zie de SLA van Ibis voor meer informatie.

Stelt Ibis voor alle functionaliteiten en modules een acceptatie-omgeving beschikbaar die eenvoudig overgezet kan worden naar de productie-omgeving?

Het is ten allen tijde mogelijk om een projecten aan te maken als test- en/of acceptatie-omgeving. De AVG wetgeving is echter niet van toepassing, daar het geen persoonsgegevens betreft.

Heeft Ibis een onderhoudswindow ingebouwd waarbinnen het systeem niet beschikbaar is vanwege onderhoud?

Ja, zie de SLA van Ibis voor meer informatie.

Kan Ibis garanderen dat bij gebruik van software van derden, deze software actueel is en ondersteund wordt door de betreffende leverancier?

Met software leveranciers van derden hebben wij een leveranciersbeoordeling volgens de ISO27001 en de software voorzien wij van de laatste updates en patches volgens hoofdstuk 7.2 van het Technisch Beleid.

Het aantal updates is beperkt tot maximaal 1 update per maand?

Ja, zie hoofdstuk "7 Onderhoud" in het document "SLA van Ibis".

Worden gebruikers vooraf geinformeerd over nieuwe releases en updates door middel van bijvoorbeeld releasenotes?

In de SLA staat beschreven wanneer hierover wordt gecommuniceerd.

Worden nieuwe releases en updates uitvoerig getest?

Nieuwe releases en updates zijn altijd getest voordat zij worden uitgeleverd.

Elke update aan de applicatie kan ongedaan gemaakt worden als dit leidt tot ongewenste effecten voor de gebruiker?

De applicaties binnen Ibiscloud kunnen bij ongewenste effecten worden teruggedraaid door Ibis.

Algemene juridische aspecten

Zorgt Ibis ervoor dat de applicatie ten alle tijden voldoet aan de geldende en toekomstige wet- en regelgeving?

De aanpassingen van de applicatie aan de geldende en toekomstige wet- en regelgeving zijn de verantwoordelijkheid van Ibis en moeten op de ingangsdatum van de nieuwe wet- en regelgeving zijn doorgevoerd. Daarnaast zal Ibis bij veranderingen de gebruiker hierover informeren.

Voldoet Ibis als leverancier aantoonbaar aan van toepassing zijnde Nederlandse wet- en regelgeving?

Ibis voldoet aan de door de Nederlandse wet- en regelgeving vereiste voor het leveren van producten en diensten.

Archivering

Wordt er bij de opslag, mutatie, ontsluiting en archivering van gegevens (bijvoorbeeld personeelsdossiers) voldaan aan de NEN2082 norm?

In principe worden er geen persoonsgegevens verwerkt in Ibiscloud.

Beschikt de oplossing over functionaliteit waarmee de functioneel beheerder in staat is om de data selectief te kunnen vernietigen?

De applicatie beschikt niet over zulke functionaliteiten.

Is het op elk moment mogelijk om een actuele kopie op te vragen van alle informatie/ data die van de gebruiker in de cloud aanwezig is?

De data is ten allen tijde van de klant. Het intellectueel eigendom ligt uiteraard ook bij de klant. Met de applicaties kan op elk moment een export worden gemaakt in XML formaat.

Werkplek

Aan welke eisen moet onze werkplek voldoen als het gaat om besturingssytemen en kantoorautomatisering?

Dit is een cloud applicatie en werkt op werkstations met een besturingssysteem vanaf Windows 7 of nieuwer. Ibiscloud draait op een Windowsserver 2016 datacenter.

De webapplicatie is toegankelijk vanuit alle relevante webbrowsers?

Alle relevante webbrowsers worden ondersteund. Microsoft Internet Explorer wordt niet meer gezien als relevant en daarom niet ondersteund. Klik hier voor de systeemvereisten.

Toetsing op veiligheidsaspecten

Wat is de URL van de gebruikerspagina?

Klik hier en hier voor de URL's van de gebruikerspaginas.

Geen resultaten.

SAMEN BOUWEN

© ibis software is onderdeel van Brink Groep | Privacy policy

Zoeken