Security

Het informatiebeveiligingsbeleid van AFAS is erop gebaseerd dat alle informatie die klanten via AFAS Online toevoegen of genereren aan de systemen van AFAS Online optimaal beschermd zijn.  AFAS Online hanteert een ‘defense in depth’ strategie: Er zijn dus meerdere beveiligingslagen van toepassing. Mocht één van de lagen falen, dan zal de volgende laag alsnog bescherming bieden. Hiermee wordt de beschikbaarheid, integriteit en vertrouwelijkheid van de applicatie gewaarborgd. Daarnaast worden er geautomatiseerd uitgevoerde aanvallen gedaan en controles op bekende kwetsbaarheden. Verschillende externe partijen voeren hiervoor Security tests bij AFAS uit, dit doro middel van onderzoek waarbij wordt aangetoond of een systeem kwetsbaar is voor aanvallen en wat daarvan de mogelijke impact is.


Computest

Computest heeft alle tests uitgevoerd vanaf haar eigen IP-adressen. Deze informatie is bruikbaar wanneer systeembeheerders later willen controleren of bepaalde aanvallen zijn opgemerkt door bijvoorbeeld intrusion detection systemen of in logbestanden terecht zijn gekomen. Bij de tests is gebruik gemaakt van zowel geautomatiseerde als handmatige controles. In de appendices is ruwe uitvoer van geautomatiseerde controles opgenomen. De aangetroffen kwetsbaarheden zijn door Computest voorzien van een kwetsbaarheidsscore. Hiervoor wordt gebruik gemaakt van het Common Vulnerability Scoring System (CVSS), versie 2. Meer informatie over dit scoresysteem is te vinden op http://www.first.org/cvss/. Iedere kwetsbaarheid kan een score tussen de 1 en 10 krijgen, waarbij 10 de ernstigste kwetsbaarheid aangeeft. Aan het eind van het rapport worden de kwetsbaarheden gesorteerd en op score weergegeven waardoor direct inzichtelijk is welke technische impact de verschillende kwetsbaarheden hebben. Dit kan als uitgangspunt dienen bij het vaststellen van prioriteiten bij het oplossen van de kwetsbaarheden.

Fox IT 

Fox-IT is onderdeel van de NCC Group, wereldwijd expert in cybersecurity en het beperken van cyberrisico’s. Steeds meer organisaties, overal ter wereld, beseffen dat een pro-actieve aanpak van cybersecurity nodig is. Nu er steeds meer internettechnologieën worden ontwikkeld, beschikken geraffineerde cybercriminelen, terroristen en overheden over steeds meer mogelijkheden voor misbruik. Fox-IT investeert continu in het verbeteren van haar producten en diensten, waardoor hun klanten altijd tegen nieuwe dreigingen zijn opgewassen. Ze combineren slimme ideeën met technologie en maken zo innovatieve oplossingen die bijdragen aan een veilige maatschappij. Intelligence is de key factor in alle producten en diensten. De securityspecialisten verzamelen en analyseren 24 uur per dag, 7 dagen per week informatie over de nieuwste dreigingen. Ze beschikken daardoor over een van ’s werelds meest geavanceerde Security Operations Centers (SOC).

Scope

De scope van deze testen verschilt ieder jaar. Voorgaand aan elke test wordt de scope uiteengezet voor een volledige benadering van de te testen aspecten. De scope wordt beschreven in de rapportages.

Uitkomsten van de testen

De uitkomsten van de testenworden teruggekoppeld en indien er aspecten gevonden worden worden deze opgelost. Zodra dit is opgelost wordt dit weer getest, net zo lang tot dat de oplossing gevonden is. Uit veiligheidsoverwegingen worden de detailresultaten uit deze tests niet openbaar gemaakt.
Voor AFAS OutSite kan hier de 'Security Test Summary' worden gedownload.
Voor AFAS InSite kan hier het 'Security Status Report'  worden gedownload.
Voor AFAS Pocket kan hier TPM (Third Party Mededeling) worden gedownload.
Voor AFAS PCC kan hier het 'security status report' worden gedownload.
Voor AFAS Connectoren (API's) kan hier de TPM (Third Party Mededeling) worden gedownload.
Voor de AFAS externe infrastructuur en het interne netwerk kan hier de managementsamenvatting worden gedownload.