Dit artikel beschrijft een aantal technieken en procedures die we hanteren.
Bij Easy LMS heeft de beveiliging van uw gegevens de hoogste prioriteit. We proberen voortdurend onze eigen beveiligingssystemen te doorbreken om zwakke punten te identificeren.
Software architectuur
Easy LMS is gebouwd bovenop ons eigen Content Management Systeem (CMS). Dit systeem is ontwikkeld bovenop het open-source Yii PHP framework. Yii gebruikt een model-view-controller (MVC) gebaseerde architectuur die gestructureerde, schone en onderhoudbare code mogelijk maakt. Yii wordt beschouwd als solide, snel en veilig.
Yii raamwerk
We gebruiken veel van de ingebouwde beveiligingsfuncties van Yii, zoals gegevensversleuteling, XSS-preventie en gegevenszuivering. Invoergegevens van gebruikers worden altijd gevalideerd op de server, zelfs als er ook validatie aan de clientzijde wordt gebruikt.
Authenticatie
Rolautorisatie
We hebben verschillende soorten gebruikers die toegang hebben tot het systeem, zoals je kunt zien in het diagram hieronder. Per beveiligingsniveau heeft elke rol toegang tot extra delen van het systeem en gegevens. Vanaf het supportniveau gebruiken we een type login dat verschilt van een client login als extra beveiligingslaag.
Veelgestelde vragen
Hieronder staat een lijst met beveiligingsvragen die we vaak krijgen.
Waar staan jullie servers?
Easy LMS draait op een Amazon Web Services cloud, kortweg AWS. De servers en databases bevinden zich fysiek in Frankfurt, Duitsland.
Hoe beschermen jullie mijn gegevens?
We beschermen je gegevens op verschillende manieren:
Alle gegevens worden opgeslagen in een database die volledig versleuteld is. Dit betekent dat de gegevens in de database alleen op specifieke manieren kunnen worden opgevraagd.
Persoonlijke gegevens waar we om vragen, worden in de database opgeslagen met een extra encryptielaag. Dit betekent dat zelfs als de database gecompromitteerd is, een aanvaller de gegevens niet kan lezen zonder de sleutel om ze te decoderen.
Wachtwoorden worden opgeslagen met behulp van een zeer veilig hashing-algoritme. In tegenstelling tot andere gegevens is het onmogelijk om het originele wachtwoord uit de hash te halen.
Wachtwoorden worden op geen enkele manier naar iemand verzonden.
Alle communicatie tussen de client (jij) en de server verloopt via een versleutelde verbinding.
Wie heeft toegang tot mijn gegevens?
Jij, te allen tijde. Wij hebben toegang tot sommige van je gegevens, bijvoorbeeld voor ondersteuningsdoeleinden en facturen. We delen je gegevens nooit zonder jouw toestemming.
Wie heeft toegang tot de database?
Onze database is alleen toegankelijk voor geautoriseerde gebruikers. Deze autorisatie wordt afgehandeld door een apart systeem, dus geen enkel Easy LMS account heeft direct toegang tot de database. Dit systeem is alleen bereikbaar vanuit ons eigen interne netwerk.
Verwerken en bewaren jullie persoonlijke gegevens?
We vragen alleen om gegevens die we nodig hebben, bijvoorbeeld voor facturering. We slaan deze gegevens versleuteld op in onze database.
Hebben jullie een procedure in geval van een datalek?
Ja. Als er een datalek wordt ontdekt, ondernemen we onmiddellijk actie om eerst het lek te repareren en externe toegang uit te schakelen. We informeren belanghebbenden binnen 48 uur nadat een datalek is ontdekt.
Wat voor soort encryptie gebruiken jullie?
Communicatie verloopt via HTTPS (TLS 1.2).
Alle gegevens worden versleuteld met AES-256.
Wachtwoorden worden opgeslagen met bcrypt-hashing.
Persoonlijke gegevens worden opgeslagen met CBC- of ECB-encryptie (afhankelijk van type en gebruik).
Ondersteunen jullie single sign-on (SSO)?
Ja. Je kunt meer lezen over de SSO-methoden die we ondersteunen.
Hebben jullie back-ups?
Ja, die hebben we. We maken dagelijks snapshots van de database met een bewaarperiode van 35 dagen.
Wat voor soort ondersteuning hebben jullie?
Je kunt ons bereiken via onze website. Onze supportafdeling is beschikbaar van 08:30 tot 16:30 (CET), maandag tot en met vrijdag. Onze supportconsultants spreken Nederlands, Engels, Duits en Pools. We bieden ondersteuning in alle andere talen met behulp van automatische vertaling.
Hoe lang duurt het om een verzoek te beantwoorden?
Dit hangt af van het type verzoek, maar meestal binnen 24 uur.
Voert u penetratietests uit?
We kijken hiernaar. Sommige van onze klanten voeren hun eigen pentests uit op ons systeem en delen hun resultaten. Het spreekt voor zich dat alle problemen die zich voordoen onze onmiddellijke aandacht krijgen.
Kan ik een penetratietest uitvoeren?
We nodigen je uit om dit te doen, net als andere klanten hebben gedaan. We vragen je wel om ons dit van tevoren te laten weten, zodat we kunnen anticiperen op eventuele extra druk op onze servers.
Hoe vaak updaten jullie de software?
Voortdurend. We werken voortdurend aan het verbeteren van de beveiliging van de software en voegen nieuwe functies toe. Wanneer er een oplossing is voor een bug of een beveiligingsprobleem, implementeren we deze onmiddellijk.
Hoe test u uw software?
We testen onze software zowel handmatig als automatisch. Voor elke implementatie doorloopt ons systeem verschillende fasen. Een daarvan is de testfase. Tijdens deze fase voert een geautomatiseerd systeem duizenden geautomatiseerde tests uit, zoals unit tests, functionele tests en integratietests. Dit zorgt ervoor dat de wijzigingen die we in onze software aanbrengen geen andere functionaliteit of beveiligingsmaatregelen kapot maken. Zelfs als er maar één test mislukt, wordt de build afgekeurd en teruggestuurd naar ontwikkeling om te repareren.
Zijn alle medewerkers die belast zijn met gegevensverwerking verplicht tot geheimhouding?
Ja, al onze medewerkers ondertekenen een verklaring dat ze nooit informatie zullen delen met partijen die er niet bij betrokken zijn.
Hebben jullie hardening-processen?
Ja, dat hebben we:
Alle beveiligingspatches van onze besturingssystemen zijn geïnstalleerd.
We hebben anti-virus en anti-spyware geïnstalleerd op al onze systemen.
We hebben endpointbeveiliging geïnstalleerd.
Alle inloggegevens, zowel op onze werkstations als in het platform, moeten sterk zijn. Waar nodig gebruiken we twee-factor authenticatie.
We vergrendelen alle pc's automatisch wanneer iemand zijn werkstation verlaat.
We hebben een firewall.
Hoe wordt de scheiding tussen de referenties van het bedrijfsnetwerk en de productieomgeving afgedwongen?
De referenties van het bedrijfsnetwerk verschillen van die van de productieomgeving, wat een extra beveiligingslaag toevoegt. De referenties van de productieomgeving zijn alleen beschikbaar voor DevOps en SysAdmins. Toegangslogboeken worden bijgehouden.
Hoe is het beheer van toegang en sleutels georganiseerd?
Elk systeem heeft een eigenaar die verantwoordelijk is voor de toegang en het sleutelbeheer. We wijzen alleen toegang toe als dat nodig is voor het werk van de medewerker en alle toegangsverzoeken worden bijgehouden en gecontroleerd.
Zijn jullie GDPR-compliant?
De GDPR is op 25 mei 2018 van kracht geworden. We zijn blij te kunnen bevestigen dat Easy LMS volledig GDPR-compliant is. We hebben ons privacybeleid, onze algemene voorwaarden en onze activiteiten aangepast aan de GDPR. Onze Gegevensverwerkingsovereenkomst is beschikbaar op onze website en maakt deel uit van onze Algemene Voorwaarden. Lees meer over GDRP en wat het inhoudt.
Zijn jullie ISO 27001-gecertificeerd?
Ja! Wij zijn ISO 27001-gecertificeerd. Dit betekent dat we een beheersysteem voor informatiebeveiliging (ISMS) hebben dat voldoet aan internationale normen om ervoor te zorgen dat uw gegevens veilig bij ons zijn. Het helpt ons ook om onze beveiliging voortdurend te verbeteren en hoe we omgaan met mogelijke incidenten.
Bieden jullie twee-factor authenticatie voor beheerders?
Ja! Elke beheerder kan twee-factor authenticatie (2FA) instellen in zijn profiel. Elke beheerder moet zelf 2FA instellen. Deze functie kan niet worden afgedwongen door een algemene beheerder of de accounteigenaar. Lees meer over het instellen van 2FA.