AFAS Online

Security


Het informatiebeveiligingsbeleid is erop gebaseerd dat alle informatie die klanten via AFAS Online toevoegen of genereren aan de systemen van AFAS Online optimaal beschermd zijn.

De volgende begrippen staan daarbij centraal:

  • Beschikbaarheid: Is de data beschikbaar op het gewenste moment?
  • Integriteit: Is de data correct?
  • Vertrouwelijkheid: hebben alleen geautoriseerde personen toegang tot de data?

Preventie en detectie

AFAS Online hanteert een ‘defense in depth’ strategie. Er zijn dus meerdere beveiligingslagen van toepassing. Mocht één van de lagen falen, dan zal de volgende laag alsnog bescherming bieden. Dit is van toepassing om de beschikbaarheid, integriteit en vertrouwelijkheid van de applicatie te waarborgen.

AFAS Online gebruikt de volgende onderdelen:

  • De systemen zijn geïnstalleerd met het ‘Least privilege principe’.
  • Verschillende anti-virus en anti-malware maatregelen zijn geïmplementeerd.
  • ‘Applicatie allowlisting’ is ingericht.
  • Alerting op basis van verdachte log-gebeurtenissen.
  • Minimaal jaarlijkse manuele attack- and penetration tests door externe partijen zoals Computest.
  • Dagelijkse scans/base-lining op bekende kwetsbaarheden met behulp van Marvin_ van Computest.
  • 24x7 netwerkmonitoring op basis van Managed Detection and Response van Fox-IT.
  • Patchbeleid om securitypatches zeer snel uit te rollen.
  • Constante job-rotation onder de systeembeheerders.
  • Applicatie en server hardening.
  • VLAN scheiding en gebruik van een zero-trust model.
  • Content scanning: AFAS Online controleert de door gebruikers vastgelegde gegevens op virussen en andere malware op plaatsen waar deze gevaar kunnen vormen voor de infrastructuur van AFAS Online.
  • Just-in-time administration: tijdelijk geldige beheer accounts.
  • Moderne TLS-verbindingen: At least TLS 1.2.
  • Verplichte sterke authenticatie.
  • Gescheiden Out-Of-Band (OOB) netwerken.
  • Automatische DDoS mitigatie.

Bekende kwetsbaarheden

We registreren bekende kwetbaarheden. Sommige zijn voor AFAS Online van toepassing. In dit overzicht staan de door ons gevolgde kwetsbaarheden. 

Datalek

Ontdek je een 'datalek' of denk je op een andere manier dat er iets mis is met de security van AFAS Online, vul dan dit formulier in. We nemen dan zo snel mogelijk contact met je op! Klik hier (alleen beheerders) voor een overzicht van de ingestuurde security issues.

Het ongeoorloofd toegang tot data of systemen van AFAS Online verschaffen is niet toegestaan. AFAS Software BV zal aangifte doen bij waarneming van deze activiteiten.

Veel gestelde vragen over AFAS Online Security

Is er een koppeling mogelijk met het eigen SIEM van de klant?
AFAS heeft een SIEM waar security events worden geanalyseerd op bijvoorbeeld verdachte/afwijkende activiteiten. We hebben (nog) geen ondersteuning om dit soort logs naar een eigen SIEM toe te sturen voor eigen analyses. Veel logs zijn namelijk niet te scheiden per specifieke klant of gebruiker, we kunnen deze dus niet zomaar één op één beschikbaar stellen. Als de wens is om alle inlogpogingen (bekende gebruikers  en anonieme) te kunnen analyseren, dan advieren we om de SSO optie te gaan gebruiken. De logging is daardoor beschikbaar via de eigen Identity Provider (bijvoorbeeld Microsoft Entra ID) en aan te sluiten op een SIEM.

Is de applicatie ontwikkeld met de OWASP in Scope?
Ja, OWASP is in scope bij product development. Daarnaast wordt er op dagelijkse basis middels een vulnerability scan gescand naar kwetsbaarheden (o.a. die onderdeel zijn van OWASP) en vindt er minimaal op jaarlijkse basis een pentest plaats door een derde partij.

Bekijk ook