De communicatie op Digitalepoli.nl bevat veelal privacygevoelige informatie. Bij Digitalepoli.nl hebben we daarom extra veel aandacht besteed aan de beveiliging van de webapplicatie en de servers waar Digitalepoli.nl op draait. De norm voor informatiebeveiliging in de zorg - NEN 7510 - is hierbij de leidraad.
Al onze servers staan in een sterk beveiligde omgeving bij een NEN 7510 én ISO 27001 gecertificeerde Internet Service Provider (ISP). Zodoende weten wij dat wij kunnen rekenen op een goed beschikbaarheidsniveau en dat toegang tot de gegevens op Digitalepoli.nl voorbehouden blijft aan geautoriseerde personen. Backups van de gegevens op Digitalepoli.nl vinden dagelijks plaats conform de geldende normen.
Bij de ontwikkeling van de software voor Digitalepoli.nl is expliciet rekening gehouden met de OWASP Top 10. Dit zijn de 10 meest voorkomende en serieuze kwetsbaarheden van webapplicaties. Dit zijn :
- Injecties (bijvoorbeeld: SQL, XML, Command, LDAP etc.)
- Niet werkend authenticatie- en sessiemanagement
- Cross-Site Scripting (XSS)
- Onbeveiligde directe object verwijzingen
- Security misconguratie
- Gevoelige gegevens blootstelling
- Ontbrekende functie level toegangscontrole
- Cross-Site Request Forgery (CSRF)
- Gebruik maken van kwetsbare componenten
- Ongevalideerde redirects en forwards
Onafhankelijke audit
Wij laten onze software en infrastructuur periodiek door een onafhankeljike partij testen op de afwezigheid van bovenstaande kwetsbaarheden. De meest recente test heeft in Mei 2014 plaatsgevonden en is uitgevoerd door Securelabs uit Amersfoort. Zij concludeerden dat Digitalepoli.nl een veilige webapplicatie is en vonden slechts enkele kwetsbaarheden met een laag risico. Hun bevinding zijn te lezen in dit factsheet. De meeste van de gevonden kwetsbaarheden zijn inmiddels opgelost.
Wilt u het gehele rapport inzien of heeft u andere vragen over de beveiliging van Digitalepoli.nl? Neem dan contact met ons op.
Het algemene beeld van de Digitale Poli applicatie is goed, de ontwikkelaars zijn zeer security-minded bezig, issues die worden aangetroffen worden zeer snel opgepakt en ook zijn best-practices zoals bijvoorbeeld HSTS (dat er voor zorgt dat browsers ook geforceerd via de middels SSL beveiligde verbinding lopen) al op het moment van testen geïmplementeerd. Iets wat SecureLabs tijdens de werkzaamheden bij haar vele klanten in diverse sectoren niet veel ziet.
Securelabs, Amersfoort