Dit artikel is ook beschikbaar in:
Dit artikel beschrijft een aantal van de technieken en procedures die we hebben.

Bij Easy LMS heeft de beveiliging van je gegevens de hoogste prioriteit. We proberen voortdurend onze eigen beveiligingssystemen te doorbreken om zwakke punten te identificeren.

Software-architectuur

Easy LMS is gebouwd op ons eigen Content Management Systeem (CMS). Dit systeem is ontwikkeld bovenop het open-source Yii PHP framework. Yii maakt gebruik van een model-view-controller (MVC) gebaseerde architectuur die zorgt voor gestructureerde, schone en onderhoudbare code. Yii wordt beschouwd als solide, snel en veilig.



Yii-Raamwerk

We maken gebruik van veel van de ingebouwde beveiligingsfuncties van Yii, zoals gegevensversleuteling, XSS-preventie en gegevenssanering. Invoergegevens van gebruikers worden altijd gevalideerd op de server, zelfs als er ook gebruik wordt gemaakt van client-side validatie.

Authenticatie

Rolautorisatie

We hebben verschillende soorten gebruikers die toegang hebben tot het systeem, zoals je kunt zien in het diagram hieronder. Per beveiligingsniveau heeft elke rol toegang tot extra onderdelen van het systeem en gegevens. Vanaf het supportniveau en hoger gebruiken we een type login dat afwijkt van een client login als extra beveiligingslaag.



Veelgestelde vragen

Hieronder staat een lijst met beveiligingsvragen die we vaak krijgen.

Waar staan jullie servers?

Easy LMS draait op een Amazon Web Services cloud, of kortweg AWS. De servers en databases bevinden zich fysiek in Frankfurt, Duitsland. Je gegevens worden beschermd door het Privacy Shield. Lees meer over Amazon hosting, privacy en EU regels hier. Als je een Enterprise Owl Account hebt en je wilt gegevens op een andere locatie kunnen opslaan, neem dan contact met ons op voor meer informatie.

Hoe bescherm je mijn gegevens?

We beschermen je gegevens op verschillende manieren:

Persoonlijke gegevens die we vragen worden met behulp van encryptie in de database opgeslagen. Dit betekent dat zelfs als de database gecompromitteerd is, een aanvaller de data niet zou kunnen lezen zonder de sleutel om deze te ontcijferen.
Wachtwoorden worden opgeslagen met behulp van een zeer veilig hashing algoritme. In tegenstelling tot andere gegevens is het onmogelijk om het originele wachtwoord uit de hash te halen.
Wachtwoorden worden op geen enkele manier naar iemand gestuurd.
Alle communicatie tussen de client (jij) en de server verloopt via een versleutelde verbinding.

Wie heeft er toegang tot mijn gegevens?

Dat doe je altijd. We hebben toegang tot een aantal van je gegevens, bijvoorbeeld voor ondersteuningsdoeleinden en facturen. We delen je gegevens nooit zonder jouw toestemming.

Wie heeft er toegang tot de database?

Onze database is alleen toegankelijk voor geautoriseerde gebruikers. Deze autorisatie wordt door een apart systeem afgehandeld, dus geen enkel Easy LMS account heeft direct toegang tot de database. Dit systeem is alleen bereikbaar vanuit ons eigen interne netwerk.

Verwerken en opslaan van persoonlijke gegevens?

We vragen alleen om gegevens die we nodig hebben, bijvoorbeeld voor de facturering. Deze gegevens slaan we versleuteld op in onze database.

Heb je een procedure in geval van een datalek?

Ja, als er een datalek wordt gedetecteerd zullen we onmiddellijk actie ondernemen om het lek eerst te repareren en de externe toegang uit te schakelen. We zullen de belanghebbenden binnen 48 uur op de hoogte brengen van het gedetecteerde datalek.

Welk type encryptie gebruik je?

Communicatie gaat over https (SSL, TLS 1.2)
Wachtwoorden worden opgeslagen met behulp van bcrypt-hashing
Persoonlijke gegevens worden opgeslagen met CBC of ECB encryptie (afhankelijk van type en gebruik)

Hoe gebruiken we versleuteling voor gevoelige gegevens?

Wachtwoorden worden gehasht via blowfish
E-mailadressen zijn versleuteld via aes-128-ecb
Andere persoonlijke informatie wordt versleuteld via aes-128-cbc

Ondersteunt u Single sign-on?

Ja, we ondersteunen de volgende SSO-methoden:

Azuurblauw AD
CAS
OKTA
AFAS Live
OAuth
SAML

Heb je back-ups?

Ja, dat doen we. We maken dagelijks snapshots van onze database met een bewaartermijn van 35 dagen.

Welke softwareplatformen gebruiken jullie?

Debian ≥ Jessie
Apache ≥ 2,4
PHP ≥ 7,2
MariaDB ≥ 10,2

Voer je code reviews uit?

Ja, alle wijzigingen van de code vereisen een code review. Een wijziging kan niet in productie gaan zonder de goedkeuring van ten minste twee ontwikkelaars.

Wat voor soort ondersteuning heb je?

Je kunt ons bereiken via onze website. Onze supportafdeling is beschikbaar van 09:30 uur tot 23:00 uur (CET). Onze supportconsultants spreken Nederlands, Engels, Frans, Portugees en Spaans. Wij bieden ondersteuning aan alle andere talen met behulp van automatische vertaling.

Hoe lang duurt het om op een verzoek te reageren?

Dit is afhankelijk van het type verzoek, maar meestal binnen 48 uur. Gemiddeld beantwoorden we je binnen 67 minuten.

Voer je penetratietesten uit?

We onderzoeken dit. Sommige van onze klanten voeren hun eigen pentests uit op ons systeem en delen hun resultaten. Het spreekt voor zich dat eventuele problemen die zich voordoen onze onmiddellijke aandacht krijgen.

Kan ik een penetratietest uitvoeren?

We nodigen je uit om dat te doen, veel van onze andere klanten hebben dat ook. We vragen je wel om het ons van tevoren te laten weten, zodat we weten dat er misschien wat extra druk op onze servers komt te staan.

Hoe vaak update je de software?

Doorlopend. We werken voortdurend aan verbeteringen van de softwarebeveiliging en aan nieuwe functies. Wanneer er een bug of een beveiligingsprobleem is opgelost, zetten we dit direct in.

Hoe test je je software?

We testen onze software zowel handmatig als automatisch. Voor elke implementatie doorloopt ons systeem verschillende stadia. Een daarvan is de testfase. Tijdens deze fase voert een geautomatiseerd systeem duizenden geautomatiseerde tests uit, zoals unit-tests en functionele tests. Dit zorgt ervoor dat de wijzigingen die we in onze software aanbrengen geen andere functionaliteit of veiligheidsmaatregelen doorbreken. Zelfs als slechts één test faalt, wordt de bouw afgewezen en teruggestuurd naar de ontwikkeling om te herstellen.

Gebruik je Adobe Flash?

Nee, dat doen we niet, en dat zullen we ook nooit doen.

Hebben alle medewerkers die opdracht hebben gekregen om gegevens te verwerken, zich verplicht tot geheimhouding van de gegevens?

Ja, elk van onze medewerkers ondertekent een verklaring dat hij of zij nooit informatie zal delen met partijen die er niet bij betrokken zijn.

Hebben jullie enige verhardingsprocessen?

Ja, dat doen we:

Alle beveiligingspatches van onze besturingssystemen zijn geïnstalleerd.
We hebben anti-virus en anti-spyware op al onze systemen geïnstalleerd.
We hebben endpointbeveiliging geïnstalleerd.
Alle inloggegevens, zowel op onze werkstations als op het platform, moeten sterk zijn. We gebruiken twee-factor-authenticatie wanneer dat nodig is.
We vergrendelen alle PC's automatisch wanneer iemand zijn werkstation verlaat.
We hebben een firewall geplaatst.

Hoe wordt de scheiding tussen het bedrijfsnetwerk met zijn referenties en de productieomgeving afgedwongen?

De referenties van het bedrijfsnetwerk zijn anders dan die van de productieomgeving. We staan geen toegang tot de productieomgeving toe met behulp van een vorm van SSO uit ons bedrijfsnetwerk. Het inloggen op de productieomgeving werkt dus met verschillende credentials, die alleen beschikbaar zijn voor devops en sysadmins.

Hoe is je toegang en sleutelbeheer georganiseerd?

De CTO is verantwoordelijk voor het toegangs- en sleutelbeheer en het toewijzen van autorisaties. We wijzen alleen toegang toe als dat nodig is voor de functie van de medewerker.

Ben je GDPR-compliant?

De GDPR is op 25 mei 2018 in werking getreden. We zijn blij te kunnen bevestigen dat Easy LMS volledig voldoet aan de GDPR. We hebben onze Privacy Policy, Terms & Conditions en operaties volgens de GDPR geüpdatet. Als je een Processor Agreement met ons nodig hebt, laat het ons weten en we sturen je een digitaal document om te ondertekenen. Meer informatie over de GDPR en wat het inhoudt is te vinden hier.

Was dit artikel behulpzaam ?
annuleren
Dank je wel !