Security en Privacy

Gilde-BT Software besteedt veel aandacht aan het actief monitoren van security en privacy.

Veiligheid van uw data heeft topprioriteit

Al onze applicaties staan op dedicated servers in data-centers direct gekoppeld aan de AMS-IX. Bij het uitwisselen van data met externe bronnen maken wij gebruik van SSL (https, json, xml), VPN of SFTP. Medewerkers van Gilde-BT Software worden zorgvuldig geselecteerd en tekenen voor geheimhouding bij indiensttreding.

Onze provider IS-group is

ISAE 3402 en drievoudig

ISO gecertificeerd

Security en Privacy audits



Al onze applicaties zijn voorzien van een geïntegreerde Web Application Firewall. In het laatste jaar zijn we nog helemaal gescreend door één van de leading bedrijven in Nederland hiervoor. Hierbij is maximale aandacht besteed aan de fouten uit de OWASP top 10.

Concreet wordt binnen Gilde-BT Software iedere applicatie twee maal per jaar intern geaudit. Dit gebeurt via onderstaande processen:

Domein 1: Informatievergaring: hier worden 4 activiteiten uitgevoerd:

  • het in kaart brengen van alle onderdelen van de site (web spider);
  • het testen op de aanwezigheid van bekende beveiligingsfouten (vulnerability scans);
  • het identificeren van de geboden diensten en welke software hiervoor wordt gebruikt;
  • het onderzoeken in publieke internet zoekmachines wat er publiek bekend is over de applicatie.

 
Domein 2: Testen: hier worden 10 security onderzoeken uitgevoerd:

  • Injection
  • Cross-Site Scripting (XSS)
  • Broken Authentication and Session Management
  • Insecure Direct Object References
  • Cross-Site Request Forgery (CSRF)
  • Security Misconfiguration
  • Insecure Cryptographic Storage
  • Failure to Restrict URL Access
  • Insufficient Transport Layer Protection
  • Unvalidated Redirects and Forwards

 

Domein 3: Procedures: doorlichten en controleren op gebruik:

  • Wachtwoordbeleid
  • Controle op gebruikers met veel rechten
  • Incidenten en mogelijke datalekken
  • Backupstructuur
  • Klachten

Inrichting van onze servers


De servers van Gilde-BT zijn uitgerust met RAID 1 en RAID 10, waardoor alle data continu minimaal dubbel worden opgeslagen. Wanneer een harddisk defect is, kan deze hot-swappable worden vervangen. De kans op een probleem bij de opslag van gegevens in de database is daarmee beperkt tot echt extreme situaties. Daarnaast is een zéér uitgebreide backup procedure ingericht. In het kader van de nieuwste EU-wetgeving op het gebied van Security en Privacy garanderen wij dat er geen gegevens worden opgeslagen buiten West-Europa.

Back-up structuur


Binnen het contract met Internet Services (IS-group) vindt wekelijks een volledige back-up van de database plaats en dagelijks een Incremental back-up. Er is sprake van een offsite back-up waarbij de back-up in een ander datacenter is ondergebracht.

Redundant worden op een Azureserver van Gilde-BT dagelijks de databases geback-upt. Deze zijn tot 2 maanden op dagelijks niveau benaderbaar. Tot 2 jaar lang worden maandback-ups bewaard.

Bij de interne audits die wij per project twee maal per jaar uitvoeren wordt gecontroleerd of de backups aanwezig zijn en kunnen worden gerestored.