Beveiliging op ondernemingsniveau waarop je kunt vertrouwen

• De organisatie implementeert tools voor aanvalsbewaking, zoals netwerkgebaseerde indringingsdetectie en -preventie, en webapplicatie-firewalls.
• Daarnaast worden Layer 7-webapplicatie-firewalls ingezet.

• Anti-malware is geïnstalleerd op alle eindpunten (desktops, laptops, smartphones en tablets).
• App-code signing, sandboxing en bestandsquarantaine worden toegepast op alle smartphones en tablets.
• EDR/XDR-technologie wordt gebruikt als anti-malware-agent op alle desktops en laptops.
• EDR/XDR wordt beheerd en gemonitord door een 24/7 Security Operations Center (SOC).
• Anti-malware wordt centraal beheerd en uitsluitend gemonitord door geautoriseerd personeel.

• De organisatie implementeert controles die de toegang tot gegevens beperken tot vertrouwde servers en applicaties via versleutelde kanalen met sterke authenticatie.
• Er zijn controles die de toegang tot kritieke toepassingen en gegevens van derden beperken tot vertrouwde apparaten of eindpunten, uitsluitend via versleuteling en sterke authenticatie.
• Multi-factor authenticatie (MFA) is geïmplementeerd voor medewerkers om toegang te krijgen tot gegevens in kritieke applicaties.
• Toegang tot gegevens is beperkt, zodat consultants die toegang nodig hebben tot onze applicaties ook een vertrouwd eindpunt moeten gebruiken.

• Inkomende HTTPS-verbindingen zijn beschermd met minimaal TLS 1.2-versleuteling.
• Vergelijkbare beveiliging wordt gebruikt voor andere typen versleutelde verbindingen zoals IPsec, SSH of SFTP.
• Asymmetrische bestands- of berichtversleuteling gebruikt RSA met minimaal 2048-bits sleutels of ECC met standaardcurves zoals P256.
• Symmetrische bestands- of berichtversleuteling gebruikt AES met minimaal 256-bits lengte.
• Eindpunten (desktops, laptops, smartphones en tablets) zijn beschermd met volledige harde schijfversleuteling.
• Off-site databaseback-ups zijn beschermd met sterke versleuteling.
• E-mails worden versleuteld tijdens verzending via het internet, server-naar-server, inkomend en uitgaand, met opportunistische TLS-versleuteling.
• Specifieke e-maildomeinen zijn beschermd met verplichte TLS-transitversleuteling.
• De Merchant API vereist het gebruik van cryptografische handtekeningen voor zowel inkomende verzoeken als uitgaande antwoorden, naast TLS-transitversleuteling. Dit garandeert bewijs van bezit en minimaliseert het risico op een MITM-aanval.
• De checkout-service gebruikt per-sessie punt-tot-punt asymmetrische versleuteling voor gevoelige eindgebruikersgegevens, zoals wachtwoorden of challenge-codes.

• Lokale host Layer 3-firewallapparaten worden intern gebruikt ter ondersteuning van de implementatie van toegangscontrolelijsten (ACL's).
• Layer 3-firewallapparaten worden gebruikt om het netwerkverkeer tussen het publieke internet en de organisatie te controleren.
• Layer 7-firewallapparaten worden gebruikt om het verkeer tussen het publieke internet en de dienst van de organisatie te inspecteren en te controleren.
• Netwerk-ACL's worden gebruikt om communicatie tussen het netwerk, de sites en de clouds van de organisatie te controleren.
• Systeem-ACL's worden gebruikt om systeemtoegang of objecttoegang (bijvoorbeeld opslagobjecten) te controleren.
• ACL's worden beheerd door geautoriseerde medewerkers en zijn gebaseerd op functiebeschrijvingen (voor systeem-ACL's) of vooraf goedgekeurde netwerkontwerpen (netwerk-ACL's).
• ACL's worden regelmatig herzien (op basis van classificatie) of wanneer er grote wijzigingen optreden.

• Logische toegangscontrole is geïmplementeerd voor alle systemen en diensten binnen de organisatie.
• Toegangsrechten worden toegewezen via een goedkeuringsproces en zijn gerelateerd aan de functiebeschrijving.
• Toegangsrechten worden toegewezen op basis van het principe van minimale privileges.
• Toegangsrechten worden periodiek herzien op basis van de classificatie van het systeem/de dienst.

• Gecentraliseerde logregistratie is geïmplementeerd voor applicaties die deelnemen aan het aanbieden van de betalingsdienst van de organisatie.
• Logs zijn toegankelijk voor geautoriseerde medewerkers, gebaseerd op het need-to-know-principe.
• Het logbeheer systeem wordt beheerd door geautoriseerde medewerkers.
• Het logbeheer systeem genereert waarschuwingen op basis van vooraf gedefinieerde criteria.

• De organisatie implementeert een MDM-oplossing voor eindpuntapparaten (desktops, laptops, smartphones en tablets), voor zowel medewerkers als langdurige consultants binnen de organisatie.
• De MDM-oplossing controleert wie toegang heeft tot elk eindpunt met behulp van voorwaardelijke toegang en twee-factor authenticatie.
• De MDM-oplossing beheert eindpuntinstellingen zoals toegestane applicaties, evenals beveiligingsinstellingen zoals versleuteling en inloggegevens. De MDM-oplossing beheert eindpuntupdates zoals het besturingssysteem en applicatie-updates die indien nodig naar specifieke apparaten kunnen worden gepusht.
• De MDM-oplossing kan worden gebruikt om eindpunten die zijn kwijtgeraakt te vergrendelen of op afstand te wissen.
• De MDM-oplossing wordt beheerd door geautoriseerde medewerkers.

• De organisatie implementeert multi-factor authenticatie (MFA) voor zowel diensten die worden geleverd als geconsumeerd door de organisatie.
• De organisatie implementeert verschillende benaderingen van MFA op basis van systeem-/dienst-/gegevensclassificatie:
  1. Hardware-token MFA
  2. Apparaatcertificaten
  3. Gebruikerscertificaten
  4. Software-token MFA (zoals TOTP)
  5. SMS (tekst) MFA

Beveiligingsupdates worden automatisch geïnstalleerd.

Wijzigingen in de broncode worden cryptografisch ondertekend door de ontwikkelaar met behulp van GPG met een privésleutel op een persoonlijke HSM.

• De organisatie implementeert een kwetsbaarheidsbeheerprogramma voor interne en publiekelijk blootgestelde activa en diensten.
• De organisatie implementeert een broncode kwetsbaarheidsscanner.
• De organisatie voert wekelijks een kwetsbaarheidsbeoordeling uit van interne en publiekelijk blootgestelde activa en diensten, waarbij kwetsbaarheden worden geprioriteerd op basis van hun ernst.