richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Clients/Junis/Veiligheidseisen aan Leveranciers Junis.md

7.4 KiB
Raw Blame History

Gebaseerd op:

Junis Veiligheidseisen aan Leveranciers

Deze veiligheidseisen zijn van toepassing op software en diensten, die aan Junis geleverd worden.

Testen

  • Junis mag de veiligheid van de geleverde diensten laten testen door een onafhankelijke partij. De leverancier zal dit faciliteren.
  • Junis mag deze tests op ieder moment uit laten voeren zolang de dienstenovereenkomst van kracht is, met inachtneming van een redelijke termijn waarmee de leverancier vooraf op de hoogte wordt gesteld.
  • De leverancier zal Junis direct en volledig informeren over de resultaten en bevindingen.
  • De leverancier zal de aan Junis geleverde software ten minste jaarlijks laten testen op veiligheid, door een deskundige onafhankelijke partij. De testen worden uitgevoerd op de software zelf, externe en interne netwerkverbindingen, en de interne systemen van de leverancier. De resultaten van deze tests worden, met naamsvermelding van de partij die de tests heeft uitgevoerd, gedeeld met Junis.
  • Voor de testresultaten die met Junis gedeeld worden mag de leverancier een passende geheimhoudingsovereenkomst gebruiken.

Kwetsbaarheden

  • De leverancier zal Junis tijdig informeren over in de geleverde software aangetroffen kwetsbaarheden.
  • De leverancier zal alle kritische kwetsbaarheden waarvan hij/zij op de hoogte is, en die relevant kunnen zijn voor Junis, binnen 60 dagen repareren. Als dat niet mogelijk is, zal de leverancier Junis hierover onmiddellijk informeren.
  • De leverancier zal Junis vóór de start van de dienstenovereenkomst informeren over welke kwetsbaarheden als kritisch gedefinieerd worden.

Beveiligingsmaatregelen

In het product of de dienstverlening

  • Voor toegangsverlening voor gebruikers kan de software integreren met Azure Single Sign-On van Microsoft.
  • De software ondersteunt Role Based Access.
  • De software gebruikt secure HTTP headers, session management 1 , en session cookies met tenminste de 'HttpOnly' en 'Secure' flags.
  • Banners, headers, URL's en foutmeldingen mogen geen gegevens over de configuratie bevatten.
  • Broncode-commentaren zijn niet voor eindgebruikers toegankelijk.
  • Op invoer en uitvoer van data worden normalisatie, validatie en beperking toegepast.
  • Indien nodig wordt content omgezet in een formaat dat geen schade kan veroorzaken.
  • Logbestanden over het gebruik van de software worden gegenereerd en opgeslagen, beveiligd tegen toegang door onbevoegden, en bevatten voldoende details om incidenten te herleiden naar natuurlijke personen.
  • De dienstverlening mag geen gebruik maken van end-of-life componenten.
  • De gegevens van Junis zijn functioneel en logisch gescheiden van die van andere afnemers van de dienst.
  • De performance lijdt niet onder de piekbelasting van andere afnemers van de dienst.

Bij de leverancier

  • Alle netwerkverbindingen die de leverancier gebruikt om gegevens van Junis op te slaan of toegankelijk te maken, moeten tenminste een "A" kwalificering van SSL Labs (zie https://www.ssllabs.com). Als de kwalificering gedurende 3 maanden lager dan "A" is, zal de leverancier Junis daarvan op de hoogte stellen. Vanaf dat moment is de leverancier verplicht de kwalificering binnen 3 maanden terug te brengen naar "A".
  • De leverancier gebruikt multifactor authenticatie (“MFA”) voor alle VPN verbindingen met zijn/haar interne netwerken, voor alle verbindingen naar de productieomgeving van de leverancier, voor toegang tot e-mail, en voor alle overige diensten en software waarin data van Junis wordt opgeslagen of verwerkt.
  • De leverancier installeert software patches voor kritische kwetsbaarheden op zijn/haar productieomgeving, endpoints en endpointsmananagementsystemen zodra ze beschikbaar zijn.
  • De leverancier voert pro-actieve bewaking uit naar verdachte of kwaadaardige activiteiten op zijn/haar productie- en bedrijfsomgevingen, en handelt adequaat wanneer zulke activiteiten worden waargenomen.
  • De leverancier scant zijn/haar interne en externe netwerkverbindingen regelmatig. Wanneer kwetsbaarheden worden aangetroffen worden die direct gerepareerd.
  • De leverancier onderhoudt een adequate begrenzing tussen bedrijfs- en productieomgevingen. Personeel in dienst of ingehuurd door de leverancier krijgt alleen toegang tot de productieomgeving wanneer dat voor de dienstverlening noodzakelijk is.

Beveiligingsincidenten

  • De leverancier zal Junis binnen 72 uur na kennisneming van een beveiligingsincident hiervan schriftelijk op de hoogte stellen. Junis zal deze informatie niet delen met derden tenzij ze daar wettelijk toe verplicht is.
  • De kennisgeving door de leverancier zal de volgende informatie bevatten: bekende details van het incident, de status van het onderzoek door de leverancier, en het mogelijk aantal personen waarop het incident betrekking heeft.
  • Kosten die door Junis gemaakt moeten worden als gevolg van een beveiligingsincident door de leverancier worden verhaald op de leverancier.

Regelgeving en conformiteit

  • De leverancier heeft een geldige certificering voor tenminste één van de volgende normen: ISO 27001, SSAE 16/SOC 1, of SOC 2 en kan hiervoor bewijs overleggen.
  • De leverancier gebruikt een Secure Development Lifecycle (“SDL”) voor de ontwikkeloing van zijn/haar producten en diensten. Wanneer Junis daarom vraagt zal de leverancier zijn/haar beleid hiervoor overleggen, samen met documentatie waaruit de implementatie van dit beleid blijkt.
  • Als Junis dat verzoekt, zal de leverancier zijn/haar beveiligingsbeleid overleggen, samen met documentatie waaruit de implementatie van dit beleid blijkt.
  • De leverancier zal op verzoek aan Junis een specificatie verstrekken van alle softwarecomponenten en broncode van derden, die onderdeel uitmaken van de aan Junis geleverde software of diensten, of die gebruikt zijn in de totstandkoming daarvan.
  • Alle persoonsgegevens zoals bedoeld onder de Algemene Verordening Gegevensbescherming worden opgeslagen en verwerkt binnen de EU.
  • De leverancier stelt ten minste de zelfde veiligheidseisen aan haar leveranciers en door haar gebruikte producten, als in dit document door Junis aan de leverancier gesteld worden.
  • De leverancier zal data van Junis niet buiten de productieomgeving plaatsen tenzij op nadrukkelijk verzoek van Junis. Data van Junis mag niet naar telefoons, laptops of andere draagbare apparatuur of media gedownload worden. De leverancier zal data van Junis vernietigen als Junis daarom vraagt.
  • Junis blijft eigenaar van alle informatie die zij in de software verwerkt of opslaat.
  • Het niveau van dienstverlening is opgenomen in een Service Level Agreement. De afgesproken service levels zijn gekoppeld aan meetbare waarden. De leverancier rapporteert hierover periodiek aan Junis.

Dienstverlening

  • Bij beëindiging van de dienstverlening zal de leverancier alle data van Junis verstrekken in een vorm die Junis, of een door haar aangewezen partij, kan verwerken.
  • Bij beëindiging van de dienstverlening zal de leverancier alle vertrouwelijke gegevens van en over Junis uit zijn/haar systemen verwijderen.
  • De leverancier heeft door inzet van een trusted third party of een escrow-regeling maatregelen getroffen om dataverlies bij beëindiging van de dienstverlening te voorkómen.