Security policy

Anti-virus & Anti-malware

De computers & servers van Tezcan IT Solutions BV worden op een regelmatige basis gecontroleerd op virussen en malware. Hierbij worden altijd de laatst mogelijke databases gebruikt.

 

Gevoelige informatie

Data van klanten wordt opgeslagen op productie servers en is alleen bereikbaar voor medewerkers van Tezcan IT Solutions BV die hiervoor toestemming hebben gekregen. Back-ups worden opgeslagen op een begrensde server, alleen bereikbaar vanuit bepaalde ip ranges.

Waar nodig (of aan de hand van de wensen van de klant) word gevoelige data encrypted opgeslagen.

Klanten kunnen een aanvraag indienen voor het verwijderen van hun gegevens. Goevoelige data op papier zal worden versnipperd.

 

Data toegang

Alleen medewerkers van Tezcan IT Solutions BV die aan het product werken hebben hier toegang tot. Wanneer zijn/haar contract wordt beeindigd verliezen zij hun toegang.

 

Gebruikte technieken

Er worden verschillende technieken gebruikt, maar het meeste is gebaseerd op Laravel en MySQL. Alle beveiligings updates worden hierop doorgevoerd indien dit is inbegrepen in de SLA. Zo niet is het mogelijk om updates door te voeren op basis van het uurtarief.

 

Hosting provider

Tezcan IT Solutions BV maakt gebruik van twee leveranciers van servers:

  • Strato: hierop draait het VarenykyCMS systeem. De datacenters van Strato zijn ISO 27001 gecertificeerd en staan in Duitsland.
  • Transip: Alle overige diensten. De datacenters van Transip zijn ISO 27001, NEN 7510 en ISO 9001 gecertificeerd en staan in Nederland.

 

Veilige verbinding: HTTPS

Tezcan IT Solutions BV gebruikt een SSL certificaat zodat er een veilige verbinding is tussen de server en de gebruiker. Indien gewenst en tegen meerprijs is het mogelijk om een certificaat met uitgebreide validatie te gebruiken (te herkennen aan de groene adresbalk)

 

SSH toegang: Private keys

Tezcan IT Solutions BV gebruikt enkel private keys voor toegang tot de productie omgevingen. Alleen medewerkers die dit nodig hebben zullen een private key met toegang krijgen.

 

Wachtwoord Hashing: Bcrypt met een unieke salt

Alle gebruikers wachtwoorden worden "one-way" gehashed. Hierdoor is het onmogelijk om de wachtwoorden te decrypted. Wachtwoorden worden nooit opgeslagen als plain-text.

 

Encrypte van Gevoelige data: AES-256-CBC

Waar nodig (of aan de hand van de wensen van de klant) word gevoelige data doormiddel van AES encryption (AES-256-CBC cipher) met een encryption key opgeslagen. Deze key wordt gegeneerd op de productie server en opgeslagen in een bestand, deze key wordt nooit geupload in git versiebeheer.

 

SQL injectie

Om SQL injecties tegen te gaan wordt er gebruik gemaakt van een ORM (Object role modeling) welke enkel geparameteriseerde queries gebruikt. Op deze manier is het dus niet mogelijk om kwaadaardige input in queries te gebruken.

 

XSS bescherming

Om XSS aanvallen tegen te gaan wordt er gebruik gemaakt van een templating engine. Hierin is variable escaping automatisch uitgeschakeld.

 

CSRF token bescherming

Een CSRF token wordt automatisch bij elke request aangemaakt. Elke POST/PUT/DELETE request valideerd de meegestuurde CSRF token. Hierdoor is het niet mogelijk om vanaf een andere site een aanvraag te doen,

 

Authenticatie

Authenticatie is een automatische mogelijkheid binnen Laravel, welke de security policy volgt zoals beschreven op deze pagina. Het bevat ook mechanisme om bepaalde routes te limiteren op bepaalde user levels.

 

Validatie

Laravel bevat een uitgebreide validatie mechanisme. Hierin is het bijvoorbeeld mogelijk om bestanden te checken op bestandstype, en om te kijken of een bepaald emailadres niet al in gebruik is.

 

GIT versiebeheer and backups

De applicatie wordt opgeslagen in een git repository. Deze repository zal geen gevoelige informatie bevatten en/of database wachtwoorden.