Deze website gebruikt cookies voor het bijhouden van bezoekersgedrag, de werking van social media knoppen en weergave van video's.

bevestigen en sluiten
talentON
Benut je talent en krijg tot wel 100 keer
meer energie om te doen wat je leuk vindt!

Wat maakt verzuimsoftware veilig?

Sinds haar oprichting in 2000 investeert PeopleOnline intensief in de veiligheid van haar verzuimsoftware. PeopleOnline voldoet aan ISO 27002 'Code voor informatiebeveiliging'.
Bel voor aanvullende informatie of een persoonlijk advies 0478 759425.

Wat maakt verzuimsoftware veilig? Tijdens pakketselectietrajecten wordt vaak gevraagd naar de veiligheid van onze verzuimsoftware. Terecht, want als vertrouwelijke informatie wordt uitgewisseld over het internet is het essentieel dat dit veilig gebeurt.

Veiligheid van verzuimsoftware is dus een belangrijk onderwerp. Echter, het is niet eenvoudig. Veiligheid is een ketting van maatregelen. Dat maakt veiligheid zo sterk als zijn zwakste schakel.

Voor wie verzuimsoftware wil vergelijken op veiligheid vindt hier een lijst met 16 belangrijke schakels in de ketting van veiligheid. De eenvoudig toetsbare schakels staan bovenaan, de lastige onderaan.

  1. Wordt gebruik van sterke wachtwoorden door de software gestimuleerd?

    Gebruik van kleine letters, hoofdletters en cijfers, een minimale lengte van 8 tekens en het niet hergebruiken van oude wachtwoorden maakt wachtwoorden sterk!
  2. Wordt bij herhaaldelijk foutief aanmelden de toegang tijdelijk geblokkeerd?

    Zodat inbraakpogingen door middel van het willekeurig uitproberen van wachtwoorden worden voorkomen.
  3. Kan de gebruiker zijn wachtwoord zelf wijzigen?

    De gebruiker heeft een grote verantwoordelijkheid. Als de gebruiker zijn sleutel op straat legt (door bijvoorbeeld het wachtwoord op een postit op zijn monitor te plakken) staat de deur voor iedereen open. Bij de verantwoordelijkheid als gebruiker hoort de vrijheid om je wachtwoord te wijzigen wanneer je dat wilt.
  4. Verplicht de software de gebruiker om bij ontvangst van zijn naam en wachtwoord het wachtwoord direct te wijzigen?

    Als wachtwoorden via een brief of mail bij de gebruiker aan komen, kunnen deze later door een ander worden gevonden.
  5. Wordt er bij het gebruiken van een sessie die 10 minuten niet gebruikt is opnieuw om het wachtwoord gevraagd?

    Zodat een eventuele openstaande sessie op een tijdelijk verlaten werkplek niet kan worden gebruikt door een niet geautoriseerde persoon.
  6. Kan de gebruiker zijn (deel-)autorisatie tijdelijk overdragen?

    Zodat gebruikers hun wachtwoord niet hoeven te delen.
  7. Maakt de software gebruik van een versleutelde verbinding?

    Versleutelen voorkomt meelezen en onderweg wijzigen van informatie. Een versleutelde verbinding herken je aan slotje in je browser.
  8. Blokkeert de software toegang via een onversleutelde verbinding?

    Zodat vertrouwelijke informatie niet (onbewust) onveilig kán worden uitgewisseld.
  9. Is gewaarborgd dat alleen geautoriseerde personen fysieke toegang hebben tot de server en de gegevensbackups?

    Zoals aanmeldprocedure, biometrische controle en afgeschermde cabine.
  10. Wat wordt er gedaan aan electronische indringerpreventie?

    Zodat electronisch inbraakpogingen direct worden herkend en geblokkeerd.
  11. Is de software voldoende nauwkeurig autoriseerbaar voor gebruik in onze organisatie?

    Zodat gebruikers alleen toegang hebben tot gegevens en handelingen die horen bij hun taken en verantwoordelijkheden.
  12. Is de applicatiearchitectuur van de software ingericht op herhaaldelijke controle van identificatie en autorisatie?

    Herhaalde controle op de lagen van user interface, business logic en database. Denk hierbij ook aan technische zwakke plekken als SQL-injectie.
  13. Herhaalt de software op de server de invoervalidaties?

    Zodat de kwaliteit van gebruikergevens wordt geborgd en inbraaktechnieken zoals XML-injectie, SQL-injectie en cross-site-scripting worden geblokkeerd.
  14. Worden wachtwoorden versleuteld opgeslagen?

    Zodat zelfs geautoriseerde functionarissen met toegang tot de database geen inzicht hebben in gebruikte wachtwoorden.
  15. Staan de webservice en databaseservice op verschillende servers?

    Waarbij de databaseserver niet rechtstreeks maar alleen via de webserver toegankelijk is (dankzij een zogenaamde Demilitarized Zone)?
  16. Wordt de applicatie met vaste regelmaat door een onafhankelijke gespecialiseerde partij ge-audit?

    Zodat eventuele nieuwe veiligheidsrisico's ten gevolge van nieuwe functionaliteiten in de software en nieuw gevonden kwetsbaarheden in gebruikte middelware worden getoetst.

Tip: Architectuurvragen (vraag 8 en verder) zijn lastig te toetsen. Vraag de leverancier om een plaatje waaruit de veiligheidsvoorzieningen blijken, en voeg deze toe aan de leveringsovereenkomst.

Wil je weten hoe PeopleOnline deze en andere attentiepunten heeft verwerkt in haar verzuimsoftware? Neem contact met ons op via 0478 759425.

Contact