Dit artikel is ook beschikbaar in:
Dit artikel is vertaald met behulp van machinevertaling. Hierin zijn mogelijk foutieve of vreemde vertalingen aanwezig. Vooralsnog denken we dat het waardevol is om dit hulpartikel in jouw moedertaal te kunnen lezen. Laat ons onderaan het artikel weten of het artikel nuttig was en of je nog andere feedback voor ons hebt.

Dit artikel beschrijft enkele van de technieken en procedures die we hanteren.

Bij Easy LMS is de beveiliging van je gegevens onze hoogste prioriteit. We proberen voortdurend onze eigen beveiligingssystemen te doorbreken om zwakke punten op te sporen.

Software architectuur

Easy LMS is gebouwd bovenop ons eigen Content Management Systeem (CMS). Dit systeem is ontwikkeld bovenop het open-source Yii PHP raamwerk. Yii gebruikt een model-view-controller (MVC) gebaseerde architectuur die gestructureerde, schone en onderhoudbare code mogelijk maakt. Yii wordt beschouwd als solide, snel, en veilig.



Yii raamwerk

We maken gebruik van veel van Yii's ingebouwde beveiligingsfuncties, zoals gegevensversleuteling, XSS preventie en gegevens sanitisatie. Invoergegevens van de gebruiker worden altijd op de server gevalideerd, zelfs als ook client-side validatie wordt gebruikt.

Authenticatie

Rol Autorisatie

We hebben verschillende soorten gebruikers die toegang hebben tot het systeem, zoals je kunt zien in het schema hieronder. Per beveiligingsniveau heeft elke rol toegang tot extra delen van het systeem en gegevens. Vanaf het ondersteuningsniveau gebruiken we een soort login die verschilt van een client login als extra beveiligingslaag.



Vaak gestelde vragen

Hieronder staat een lijst van beveiligingsvragen die we vaak krijgen.

Waar staan jullie servers?

Easy LMS draait op een Amazon Web Services cloud, of kortweg AWS. De servers en databases staan fysiek in Frankfurt, Duitsland.

Hoe bescherm je mijn gegevens?

We beschermen je gegevens op verschillende manieren:

Alle gegevens worden opgeslagen in de database die volledig gecodeerd is. Dit betekent dat de gegevens in de databank alleen op specifieke manieren kunnen worden opgevraagd.
Persoonlijke gegevens waar we om vragen worden met een extra laag versleuteling in de databank opgeslagen. Dit betekent dat zelfs als de databank gecompromitteerd wordt, een aanvaller de gegevens niet zou kunnen lezen zonder de sleutel om ze te ontcijferen.
Wachtwoorden worden opgeslagen met een zeer veilig hashing algoritme. Anders dan bij andere gegevens is het onmogelijk het oorspronkelijke wachtwoord uit de hash te achterhalen.
Wachtwoorden worden op geen enkele manier naar iemand gestuurd.
Alle communicatie tussen de cliënt (jij) en de server gaat over een versleutelde verbinding.

Wie heeft toegang tot mijn gegevens?

Jij, te allen tijde. Wij hebben toegang tot sommige van je gegevens, bijvoorbeeld voor ondersteuningsdoeleinden en facturen. We delen je gegevens nooit zonder je toestemming.

Wie heeft toegang tot de databank?

Onze database is alleen toegankelijk voor bevoegde gebruikers. Deze autorisatie wordt door een apart systeem afgehandeld, dus geen enkel Easy LMS account heeft directe toegang tot de database. Dit systeem is alleen bereikbaar van binnen ons eigen interne netwerk.

Verwerken en bewaren jullie persoonlijke gegevens?

We vragen alleen gegevens die we nodig hebben, bijvoorbeeld voor de facturering. We slaan deze gegevens versleuteld op in onze databank.

Heb je een procedure in geval van een datalek?

Ja. Als een gegevenslek wordt ontdekt nemen we onmiddellijk maatregelen om eerst het lek te repareren en externe toegang onklaar te maken. We informeren belanghebbenden binnen 48 uur nadat een gegevenslek is ontdekt.

Welk soort versleuteling gebruiken jullie?

Communicatie gaat over HTTPS (TLS 1.2).
Alle gegevens worden versleuteld met AES-256.
Wachtwoorden worden opgeslagen met bcrypt-hashing.
Persoonlijke gegevens worden opgeslagen met CBC of ECB versleuteling (afhankelijk van type en gebruik).

Hoe gebruiken we versleuteling voor gevoelige gegevens?

Wachtwoorden worden gehashed via bcrypt
Persoonlijke gegevens, andere dan e-mailadressen, worden versleuteld via AES-128-CBC

Ondersteunen jullie single sign-on?

Ja. Over welke SSO methoden we ondersteunen kun je lezen in dit artikel.

Heb je back-ups?

Ja, dat hebben we. We maken dagelijks snapshots van onze database met een bewaarperiode van 35 dagen.

Welke software platforms gebruik je?

Ubuntu ≥ 18,04
Alpine ≥ 3,12
Apache ≥ 2.4
PHP ≥ 7.4
MariaDB ≥ 10.4

Voer je code beoordelingen uit?

Ja, alle veranderingen aan de code vereisen een code review. Een verandering kan niet in productie gaan zonder de goedkeuring van ten minste twee ontwikkelaars.

Wat voor soort ondersteuning heb je?

Je kunt ons bereiken via onze website. Onze support afdeling is beschikbaar van 08:30 uur tot 23:00 uur (CET), maandag tot en met vrijdag. Onze ondersteuningsadviseurs spreken Nederlands, Engels, Duits, Frans, Portugees en Spaans. In alle andere talen bieden we ondersteuning met behulp van automatische vertaling.

Hoe lang duurt het om op een verzoek te reageren?

Dat hangt af van het soort verzoek, maar meestal binnen 48 uur. Gemiddeld antwoorden we je binnen 67 minuten.

Voer je penetratietesten uit?

We onderzoeken dit. Sommige van onze klanten voeren hun eigen pentests op ons systeem uit en delen hun resultaten. Het spreekt vanzelf dat alle problemen die zich voordoen onmiddellijk onze aandacht krijgen.

Kan ik een penetratietest uitvoeren?

We nodigen je uit om dat te doen, veel van onze andere klanten hebben dat ook gedaan. We vragen je wel om ons dat vooraf te laten weten, zodat we weten dat er wat extra druk op onze servers kan komen te staan.

Hoe vaak vernieuwen jullie de software?

Voortdurend. We werken voortdurend aan verbeteringen van de beveiliging van de software en aan nieuwe functies. Als er een oplossing is voor een bug of een beveiligingsprobleem, zetten we die onmiddellijk in.

Hoe test je je software?

We testen onze software zowel handmatig als automatisch. Vóór elke inzet doorloopt ons systeem verschillende stadia. Eén daarvan is de testfase. Tijdens deze fase voert een geautomatiseerd systeem duizenden automatische tests uit, zoals unit tests, functionele tests, en integratietests. Dit zorgt ervoor dat alle veranderingen die we aan onze software aanbrengen geen andere functionaliteit of beveiligingsmaatregelen breken. Zelfs als maar één test faalt, wordt de build afgekeurd en teruggestuurd naar ontwikkeling om te herstellen.

Hebben alle medewerkers die met gegevensverwerking belast zijn zich verplicht tot gegevensgeheim?

Ja, elk van onze medewerkers ondertekent een verklaring dat hij of zij nooit informatie zal delen met partijen die er niet bij betrokken zijn.

Zijn er verhardingsprocessen ingesteld?

Ja, dat hebben we:

Alle beveiligingspatches van onze besturingssystemen zijn geïnstalleerd.
We hebben anti-virus en anti-spyware geïnstalleerd op al onze systemen.
We hebben endpoint bescherming geïnstalleerd.
Alle inloggegevens, zowel op onze werkstations als in het platform, moeten sterk zijn. We gebruiken waar nodig twee-factor authenticatie.
We vergrendelen alle PC's automatisch als iemand zijn werkstation verlaat.
We hebben een firewall geïnstalleerd.

Hoe wordt de scheiding gehandhaafd tussen het bedrijfsnetwerk met zijn geloofsbrieven en de productieomgeving?

De credentials van het bedrijfsnetwerk zijn anders dan die van de productieomgeving. We staan geen toegang tot de productieomgeving toe met een vorm van SSO vanuit het bedrijfsnetwerk. Inloggen op de productie omgeving werkt dus met andere credentials, die alleen beschikbaar zijn voor devops en sysadmins. Toegangslogs worden bijgehouden.

Hoe is je toegangs- en sleutelbeheer georganiseerd?

De CTO is verantwoordelijk voor het toegangs- en sleutelbeheer en het toekennen van autorisaties. We verlenen alleen toegang als dat nodig is voor het werk van de medewerker.

Zijn jullie GDPR-compliant?

De GDPR werd van kracht op 25 mei, 2018. We zijn blij te kunnen bevestigen dat Easy LMS volledig GDPR-compliant is. We hebben ons Privacybeleid, Algemene voorwaarden en bewerkingen volgens de GDPR. Als je een overeenkomst voor gegevensverwerking met ons nodig hebt, laat het ons weten en we sturen je een digitaal document om te ondertekenen. Meer informatie over de GDPR en wat die inhoudt vind je hier.

Was dit artikel behulpzaam ?
annuleren
Dank je wel !