Veiligheid

Je content veilig opslaan. Dat wil jij en dat willen wij. Daarom zorgen we dat de nieuwe versie van de Contentkalender voldoet aan de zelfde privacy en veiligheidsvoorwaarden als de huidige versie. Deze pagina wordt actief geüpdate, heb je vragen, of wil je verduidelijking? Bel Luuk: +316 158 678 85.

Nieuw hostingplatform

Om de Contentkalender nog beter te maken, is het nodig om over te stappen naar een nieuw hostingplatform: Xano. Xano is, net als ons huidige platform Betty Blocks, ISO 27001 gecertificeerd. Meer over de certificatie van Xano lees je op hun website. Dit betekent dat we, qua veiligheid, aan dezelfde eisen voldoen als eerder, maar alleen met een nieuwe sub verwerker.

Veiligheidsmaatregelen XANO:

Xano heeft een lijst met veiligheidsmaatregelen gepubliceerd. Een goed overzicht hiervan vind je op hun site (Best Practices - Xano Documentation). De database van XANO voldoet aan alle veiligheidseisen die gesteld worden door de ISO27001 normering en andere normeringen, zoals te lezen is op hun securitypagina. Belangrijke maatregelen:

  • Xano houdt per item bij wie er welke wijzingen hebben gemaakt. Hiermee kan men tot 20 versies terug kijken. Er wordt standaard gewerkt in branches waarbij er interne afspraken zijn dat er pas een merge wordt uitgevoerd nadat er aan bepaalde kwaliteitscriteria (lees: review, test en acceptatie) is voldaan.
  • Xano zorgt elke dag voor volledige backups. Deze backups gaan tot drie dagen terug. Herstel is enkel mogelijk voor de volledige database. Binnen de applicatie zelf werken we zoveel als mogelijk met soft deletes waarbij data pas na 30 dagen fysiek wordt verwijderd.
  • Binnen Xano kan gebruikgemaakt worden van een live- en testersie van de data. Hierbij is het gebruikelijk dat men ontwikkelt in de testversie van de database. Voor grotere ontwikkelingen is het mogelijk om een database te clonen en op die manier volledig afzonderlijk van de productieomgeving aanpassingen te testen.

Veiligheidsmaatregelen EsperantoXL:

Naast een database van XANO, waar onze back-end gevestigd is, draait onze front-end op een eigen hosting-server. Deze wordt beheerd via Cloud86. De toegang tot de code van de front-end wordt alleen gedeeld met bevoegde personen. Iedere wijziging wordt opgeslagen en kan teruggedraaid worden. In samenwerking met EsperantoXL, onze ontwikkelpartner wordt zorg gedragen dat dit zo veilig en compliant mogelijk gebeurt. Een aantal afspraken hiervoor zijn:

  • Waar mogelijk wordt iedere inlog gekoppeld door middel van een SSO-koppeling. Waar dit niet mogelijk is, wordt een 2-factor-authenticatie vereist.
  • Waar gebruikgemaakt wordt van plug-ins, worden deze niet extern ingeladen, en er wordt actief gemonitord op kwetsbaarheden van deze plug-ins.
  • Gegevens worden altijd verstuurd door middel van een SSL-verbinding.
  • Geregeld worden er sessie georganiseerd om de ontwikkelaars te wijzen op de OWASP top 10.
  • Ieder stuk code wordt gereviewd, voordat deze live gezet wordt.
  • Er wordt gebruikgemaakt van geavanceerde wachtwoordmanager waarmee ze ten alle tijde inzicht hebben in wie toegang heeft tot en gebruikmaakt van centraal opgeslagen wachtwoorden.
  • Plugins die gebruikt worden in de applicatie worden intern meegenomen in de code en niet extern ingeladen. Daarnaast zijn er verschillende checks aanwezig die tijdens het bouwen deze plug-ins checken op kwetsbaarheden.