Compromisloze beveiliging voor uw compliancebehoeften

Beveiliging

Gegevensopslag

Fysieke opslag

AWS (Amazon Web Services) is verantwoordelijk voor de fysieke beveiliging van de infrastructuur. AWS is gebouwd om niet alleen schaalbare cloud-oplossingen mogelijk te maken, maar ook om te voldoen aan de hoogste verwachtingen op het gebied van beveiliging.

De gegevens worden opgeslagen op servers van een faciliteit die ISO 27001, ISO 27017, ISO 27018 en SOC 1, SOC 2 en SOC 3 , -gecertificeerd is. Om het volledige overzicht van de complianceprogramma's te krijgen, klik hier

Locatie

Alle data en backups worden opgeslagen bij AWS in Frankfurt. Back-ups worden opgeslagen in verschillende beschikbaarheidszones om de beschikbaarheid van data te garanderen.

Krijg inzicht in de perimeterlaag, infrastructuurlaag, gegevenslaag en omgevingslaag van datacenters, klik hier

Encryptie

Alle gegevens worden gecodeerd tijdens het transport en in rust. Dit garandeert de integriteit van de gegevens, omdat de gegevens niet beschadigd of gewijzigd kunnen worden tijdens de overdracht, privacy, omdat de gegevens niet kunnen worden onderschept door externe afluisteraars, en authenticatie, omdat de eindklant er zeker van kan zijn dat de site waarmee hij is verbonden daadwerkelijk van ons is.

In transport

Gegevens die tijdens het transport worden verplaatst, worden gecodeerd met TLS (Transport layer security). Alleen TLS-versies gelijk aan of hoger dan 1.2 worden ondersteund, alle andere versies worden geblokkeerd.

In rust

Wanneer gegevens op een harde schijf worden opgeslagen, bijvoorbeeld gegevens die in een database zijn opgeslagen, worden deze gecodeerd met AES (256 bit). Dit voorkomt dat gegevens worden gelezen in het geval dat een fysieke harde schijf wordt gestolen in een datacenter.

Patchbeheer

Bij Formalize geven we prioriteit aan beveiliging en hoge beschikbaarheid door waar mogelijk gebruik te maken van door AWS beheerde diensten. Deze services ondergaan continue patching en onderhoud door AWS. Voor bepaalde niet door AWS beheerde diensten implementeren we echter strikte processen voor patchbeheer om ervoor te zorgen dat de beveiliging intact blijft.

Back-up van gegevens

Frequentie van back-ups

Er worden periodieke back-ups gemaakt om ervoor te zorgen dat klantgegevens niet verloren gaan. Back-ups worden gemaakt in dagelijkse intervallen (back-ups verlopen na 35 dagen) en wekelijkse intervallen (back-ups verlopen na 85 dagen).

Voor services die niet door AWS worden beheerd, zoals onze Jump Box, worden patches dagelijks gescand en toegepast. Daarnaast is onze Jump Box beveiligd op een privénetwerk dat tweefactorauthenticatie vereist voor toegang en alle verbindingen logt voor betere monitoring.

Bepaalde services, zoals onze Web Services, worden gezamenlijk beheerd door AWS en Formalize. Deze worden continu gescand en gepatcht om de beveiliging en prestaties te behouden.

Beveiliging van back-ups

Alle back-ups worden opgeslagen in verschillende beschikbaarheidszones om gegevensverlies te voorkomen. Een beschikbaarheidszone is een of meerdere afzonderlijke datacenters met redundante stroom, netwerken en connectiviteit. Alle back-ups worden beschermd volgens dezelfde normen als de productieomgeving.

Loggen

Formalize neemt loggen serieus en heeft uitgebreide logging in onze applicatie, we verbeteren onze logging voortdurend. Het loggen gebeurt op vier verschillende niveaus: inloggebeurtenissen etc., validatiefouten, foutlogging, DNS flow logs etc.

Systeembewaking en inbraakdetectie

We maken gebruik van AWS GuardDuty, een intelligente detectieservice voor bedreigingen die continu controleert op kwaadaardige of ongeautoriseerde activiteiten in ons netwerk. Het fungeert als ons primaire Network Intrusion Detection System (NIDS). Beheerdersactiviteiten en DNS-querylogs worden ook geregistreerd en geanalyseerd op mogelijk misbruik. Meer over GuardDuty vindt u hier.

Om onze verdediging te versterken, gebruiken we AWS WAF. Deze service helpt bij het monitoren en dwarsbomen van kwaadaardige webverzoeken, en biedt een extra beschermingslaag tegen hackpogingen. Voor meer details klik hier.

Veilige levenscyclus van ontwikkeling

Een veilige levenscyclus van ontwikkeling (SDLC) is een proces waarmee we ervoor kunnen zorgen dat beveiliging vanaf het begin in de software is ingebouwd. Onze SDLC omvat verschillende beveiligingsactiviteiten die in elke fase van ons ontwikkelingsproces worden uitgevoerd. Deze activiteiten helpen ons om potentiële zwakke plekken in de beveiliging te vinden en te verhelpen en om te voorkomen dat er nieuwe zwakke plekken worden geïntroduceerd.

Verschillende belangrijke levenscyclusactiviteiten worden uitgevoerd, waaronder bouwen en uitbrengen in kleine stappen, technische schuld, pakketbeleid van derden, scannen op gelekte geheimen, versiebeheer, controleren op kwetsbaarheden, cryptografische standaarden, statistieken en loggen, training van ontwikkelaars, testen en scheiding van omgevingen.

Beheer van kwetsbaarheden

Bij Formalize nemen we beveiliging serieus door robuuste praktijken voor het beheer van kwetsbaarheden toe te passen om onze infrastructuur te beschermen en voortdurend te verbeteren.

Vermijden van kwetsbaarheden

Om ons aanvalsoppervlak te minimaliseren, onderhouden we één openbaar toegangspunt tot onze API, die wordt beschermd door een Web Application Firewall (WAF). Deze firewall blokkeert effectief veelvoorkomende bedreigingen zoals Cross-Site Scripting (XSS) en Remote Code Execution (RCE). Onze infrastructuur is gebaseerd op Alpine Linux, wat een minimale en veilige footprint van het besturingssysteem biedt. Bovendien zijn onze webservers ontworpen om te werken als read-only containers die elke 15 minuten of tijdens implementaties worden vernieuwd, waardoor malware niet in onze omgeving kan blijven bestaan.

Naast deze preventieve maatregelen vertrouwen we op beheerde diensten om de beveiliging te verbeteren en het risico op configuratiefouten te verminderen. Deze beheerde diensten bieden automatische patching, waardoor de integriteit van onze infrastructuur verder wordt versterkt. Toegang tot de database wordt streng gecontroleerd, waarbij twee-factor authenticatie (2FA) vereist is en de toegang wordt beperkt tot goedgekeurde gebruikers binnen ons netwerk.

Scannen op kwetsbaarheden

Bij Formalize gebruiken we uitgebreide kwetsbaarheidsscanpraktijken om proactief potentiële beveiligingsrisico's in onze systemen te identificeren en aan te pakken. Onze scaninspanningen omvatten codeafhankelijkheden, containers en servers, evenals onze bredere infrastructuur en netwerk.

De kwetsbaarheid van code-afhankelijkheden wordt dagelijks gescand. Dit wordt gedaan met behulp van vier verschillende tools: Openbare CVE's, privé kwetsbaarheidsdatabase, open source afhankelijkheid met XSS (Cross-site scripting) en open source afhankelijkheid met RCS (Remote code execution).

Container- en serverscans worden continu uitgevoerd en telkens wanneer code wordt gepusht. Deze scans richten zich op het detecteren van kwetsbaarheden in OS-pakketten binnen onze Alpine Linux-gebaseerde omgeving. Openbare CVE's en privé-kwetsbaarheidsdatabases worden gebruikt voor het scannen. Ze kunnen bijvoorbeeld verouderde versies van OpenSSL identificeren die bufferoverloop- of RCE-risico's (remote code execution) kunnen vormen.

Onze infrastructuur- en netwerkscans vinden elke 18 uur plaats en voldoen aan strenge normen, waaronder CIS-vereisten (Center of Internet Security), PCI DSS v3.2.1 (Payment Card Industry Data Security Standard) en de best practices van onze hostingprovider op het gebied van basisbeveiliging. Deze scans zijn ontworpen om misconfiguraties te identificeren, zoals onversleutelde wachtrijen of het ontbreken van twee-factor authenticatie voor administratieve gebruikers.