Applicatie security

Security en privacy gewaarborgd

Wanneer je apps via web of mobiel aan klanten of eindgebruikers biedt, heeft het beveiligen van data en beschermen van privacy topprioriteit. Elements bouwt digitale platforms en mobiele apps volgens de laatste security standaarden. Zo zorgen we dat de platforms van onze opdrachtgevers altijd optimaal beveiligd zijn.

Advies over Security

Security van het hoogste niveau

Door bij de implementatie van een app of digitaal platform continu rekening te houden met databeveiliging en privacy, zorg je ervoor dat aan de laatste security eisen wordt voldaan. We noemen dit Security en Privacy by Design. Dit is de onderdeel van onze standaard werkwijze. Omdat beveiliging en privacy vanaf het begin een integraal onderdeel zijn van je applicatie, zorgen we ervoor dat dit zo goed mogelijk aansluit op de functionaliteit van je platform. Zo biedt je de beste user experience en beschikken gebruikers over een veilige app.

Databeveiliging

Afhankelijk van de toepassing van de applicatie dient het niveau van beveiliging worden bepaald. Wordt er via de app data verzameld over gebruikers? Welke informatie wordt er opgeslagen? Waar staat de data opgeslagen en wie kunnen er bij deze gegevens? Wanneer er persoonsgegevens als BSN nummers of medische gegevens verwerkt worden dan is maximale bescherming van data noodzakelijk. Denk aan het verplichten van een pincode of biometrische verificatie, maar ook encryptie: het versleuteld opslaan en versturen van gegevens. Software voor overheden bevat daarom altijd Multifactor Authentication (2FA).

De AVG onderscheidt drie noodzakelijke IT-beveiligingsniveaus op basis van bedrijfsgrootte en gegevenstype. De niveaus zijn: basis, gemiddeld en hoog. Elk niveau heeft zijn eigen specifieke regels voor het verwerken van persoonsgegevens.

Security en risico kwalificatie

Om te garanderen dat security en privacy maatregelen worden getroffen (Security by Design), is bij elk project altijd een security en privacy lead betrokken. Deze expert maakt ook onderdeel uit van ons interne Security Experts Team, het team dat expertise levert voor projecten om veiligheid te borgen.

Binnen het design houden we altijd rekening met die van OWASP voor algemeen geldende security guidelines en principles en onze eigen best practices om security uitdaging zo goed mogelijk op te lossen.

1. Requirement tot design

Voor we beginnen met het ontwerpen van een app of platform doen we uitgebreid onderzoek waar het digitale product aan moet voldoen. De resultaten uit dit onderzoek zetten we om naar concrete design criteria. Onze werkwijze is erop gericht om vanaf stap 1 in het proces op gestructureerde manier security maatregelen in te bouwen en dit te documenteren binnen onze projecten. Vanuit de klantvraag; de functionele wens, ontwikkelen we een risicoclassificatie matrix. Op basis van deze matrix identificeren we veiligheidsrisico’s, en stellen we de mate van beveiliging die benodigd is vast.

2. Probleem identificatie

Met het in kaart brengen van potentiële problemen, bepalen we waar risico’s kunnen liggen. Dit doen we binnen de domeinen fysiek, softwarematig en gebruikers. Veel voorkomende risico's liggen doorgaans in communicatie tussen systemen, transport van data tussen gebruikers en databases en beveiliging van apparaten. Door digitale platformen in ieder geval altijd via een SSL verbinding aan te bieden en data encrypted te versturen verkleinen we de kans op lekken.

3. Aanvalsoppervlak

Het aanvalsoppervlak van een digitaal systeem wordt bepaald aan het aantal manieren dat een aanvaller kan gebruiken om een systeem aan te vallen. Het is belangrijk het aanvalsoppervlak van een digitaal platform zo klein mogelijk te houden. Met ons risicokwalificatie matrix zorgen we dat we dat de hoeveelheid mogelijke aanvalsoppervlakken beperken.

4. Oplevering

Binnen Elements zorgen we ervoor dat al onze deliverables voldoen aan onze security by design principes. Zo documenteren we alle werkzaamheden en volgen wij de OWASP richtlijnen voor cyberbeveiliging.

Elementeers in overleg aan tafel
"We houden dingen graag zo eenvoudig mogelijk. Onze processen, ons bedrijf en onze oplossingen"
- Erwin van Hasselt, Managing Partner bij Elements

Kwaliteitscontrole

Binnen ons ontwikkelproces passen wij een drietal vormen van kwaliteitscontrole toe:
- Geautomatiseerde controle
- Code reviews
- Audits
- 3rd party penetratietest

Geautomatiseerde controle

Binnen ons ontwikkelproces wordt opgeleverde code automatisch gescand op een vereist kwaliteitsniveau. Dit doen we in een een zogenaamde Continuous Integration (CI) omgeving gebruikmakend van speciaal hiervoor bestemde software. Deze software scant onder meer op veel gemaakte fouten, onnodige complexiteit, potentiële beveiligingslekken, maar ook ook het gebruik van andere software waarvan het bekend is dat deze lekken bevatten.

Code reviews

Wanneer de geautomatiseerde controle de kwaliteit van de code accepteert, wordt deze ter review aan een collega developer aangeboden. In deze review wordt gekeken of de code volgens onze best practices en standaarden is gerealiseerd en geen fouten bevat.

Audits

Aan het einde van ieder project wordt er een interne security audit uitgevoerd door de security en privacy lead, voordat de code daadwerkelijk in productie gaat. In deze audit wordt vastgesteld of van design tot oplevering is voldaan aan onze eigen standaard: Is alle documentatie op orde en zijn alle keuzes juist gedocumenteerd, zijn de geautomatiseerde controles correct uitgevoerd en hebben reviews plaatsgevonden

3rd party penetratietest

Wij adviseren altijd om een pentest uit te laten voeren door een derde partij. De security specialisten van Elements voeren altijd controles uit, maar een externe blik is belangrijk. Externe pentesters hebben veel ervaring met uiteenlopende software en applicaties en kennen veel getroffen security maatregelen. Zo krijgen organisaties een realistisch beeld van de kwetsbaarheid van hun platform. De inzichten uit deze tests, helpen ons de security maatregelen te verfijnen en kwetsbaarheden te verhelpen.

Behoefte aan een veilig platform of app?

Ben je op zoek naar een partner voor het ontwikkelen van secure apps of platforms? Bel Erwin op 06-20475439. Of laat een bericht achter via onderstaand formulier en we nemen binnen 1 werkdag contact met je op.

Secure apps door Elements

Wij nemen security zeer serieus. We hebben dan ook veel ervaring met het ontwikkelen en implementeren van apps die aan de hoogste veiligheidseisen moeten voldoen. Hieronder vind je twee voorbeelden van onze security cases, maar bekijk vooral ook ons volledige overzicht voor meer informatie.