Compliance bij xxllnc: Certificeringen zijn meer dan een vinkje
“Het compliancy-proces is voor ons een middel om het beter te doen, zónder dat het developers frustreert.”
Om ervoor te zorgen dat Nederland veilig blijft, stelt de overheid verschillende eisen aan haar leveranciers: beveiligingseisen, privacyregels, stabiliteitseisen, milieueisen, en zo nog heel wat meer. Als maker van software voor de overheid raakt dit dan ook ons dagelijks werk. Het Quality Assurance (QA) team van xxllnc spant zich continu in om te voldoen aan de eisen die gesteld worden. Dat levert niet alleen de nodige certificeringen op, maar daagt ons ook uit producten veiliger en stabieler te maken. “Het compliancy-proces is voor ons een middel om het beter te doen, zónder dat het developers frustreert.” Wat komt daar allemaal bij kijken?
Top 4 aanbestedingseisen
Hackers buiten houden en de data van de burger beschermen; bij het selecteren van software staan die eisen bij klanten helemaal bovenaan. Het Quality Assurance team van xxllnc doet er alles aan om onze oplossingen veilig en stabiel te houden. Vaak weten onze klanten al heel goed wat ze willen. Dit is de top 4 van eisen die we tegenkomen in aanbestedingen:
1. ISO 27001-certificering
Deze internationaal erkende norm op het gebied van informatiebeveiliging richt zich op de procesmatige kant van het beveiligen van informatie. Door deze certificering te behalen, tonen we aan dat we bij al onze processen doorlopend de risico’s voor onze dienstverlening en software in de gaten houden. Daarbij stellen we onszelf vragen als: Welke risico’s bestaan er voor de data van onze klanten? Hoe voorkomen we die risico’s? Als er wat mis gaat, hoe zorgen we dan dat de schade zo beperkt mogelijk is? En hoe zorgen we ervoor dat we de juiste verbeteringen doorvoeren?
De ISO 27001-certificering biedt onze klanten het vertrouwen dat we dat soort processen op orde hebben. Het geeft alleen geen garantie op veiligheid; daarvoor moeten we steeds kritisch naar ons eigen werk blijven kijken. Niet het stickertje, maar de echte veiligheid en verbetering van onze producten is dan ook ons doel.
2. ISAE 3402-standaard
Als je een deel van je activiteiten uitbesteedt aan derden, blijf je eindverantwoordelijk voor processen zoals een veilige gegevensverwerking. Daar is de ISAE 3402-verklaring voor bedacht. Door te voldoen aan deze standaard tonen we aan dat uitbestede diensten bij ons in goede handen zijn, en dat financiële risico’s in onze organisatie goed worden beheerst.
3. DigiD-audit
Softwareleveranciers die een DigiD-inlog aanbieden, moeten door een strenge audit heen. Die toont aan dat je voldoet aan specifieke regels rondom de beveiliging van het product. De basis hiervoor vormen de normen van het Nationaal Cyber Security Centrum . Bij de DigiD audit controleert de auditor bijvoorbeeld of de versleuteling van het berichtenverkeer van en naar onze applicaties wel echt veilig is, en of we wel goed in de gaten houden of er geen kwetsbaarheden in onze software zitten.
4. Webtoegankelijkheid
Wanneer ook mensen met een beperking gebruik kunnen maken van alle mogelijkheden die websites en applicaties bieden, spreken we van webtoegankelijkheid. Volgens de wet moeten websites en mobiele apps van Nederlandse overheidsinstanties voldoen aan bepaalde toegankelijkheidseisen. Wanneer je applicaties en website voldoen aan dit niveau, is de content toegankelijk voor de meeste mensen ongeacht hun beperking.
Hoe pakt ons Quality Assurance team dit aan?
Op deze en andere eisen worden onze producten elk jaar door een auditor gecontroleerd. De auditor maakt dan een rapport met bevindingen en geeft ons een certificering: het bewijs voor onze klanten dat we voldoen aan de getoetste normen. De gevraagde certificeringen voegen we vervolgens toe aan onze inschrijving op aanbestedingen om aan te tonen dat we compliant zijn. Maar dat is alleen wat je als klant op het eerste gezicht ziet, want achter de schermen gebeurt er nog veel meer.
Zo benadrukt QA-lead Jascha Laan dat audits vooral bedoeld zijn als stok achter de deur om serieus aan de slag te gaan met compliance en informatiebeveiliging. “Vinkjes halen is heel makkelijk. Het is goed mogelijk om zo’n audit te halen zonder serieus met beveiliging bezig te zijn. Een certificering is het stickertje dat we op ons product plakken, maar wij zien het vooral als bijkomstigheid. Als wij het echte beveiligingswerk goed doen, ons er serieus mee bezig houden, halen we de audit heus wel. Het compliancy-proces is voor ons een middel om te streven naar verbetering, zónder dat het developers frustreert.”
Nóg veiliger in xxllnc Cloud
De praktische vertaling van dit streven is de Continuous Integration/Continuous Delivery-aanpak (CI/CD), waarbij controlestappen in het proces worden ingebakken. Wanneer een developer bijvoorbeeld een stukje programmeercode maakt, kan een op de achtergrond draaiende tool waarschuwen voor onveilige dependencies (afhankelijkheden) die ontstaan door het invoegen van bestaande code. De tool is zó ingesteld dat de developer wel verder kan met zijn werk. Wanneer hij toch de onveilige code zou willen publiceren, wordt dit geblokkeerd en verschijnt een uitleg waarom dit niet veilig is.
Behalve dat het risico-gebaseerd denken binnen xxllnc naar een steeds hoger niveau wordt getild, onderstreept Jascha een andere positieve stap op beveiligingsgebied: xxllnc Cloud. Dit is een nieuw, veilig en schaalbaar platform waarop alle apps van onze dochterondernemingen (zoals Inforing en Berkeley Bridge) kunnen draaien volgens de nieuwe technieken. Daar verbinden en integreren we applicaties met elkaar en ontwikkelen we door volgens de principes van Common Ground. “Doordat de verschillende applicaties van onze dochterondernemingen allemaal naar xxllnc Cloud bewegen, geeft dit de kans om alle teams op een veilige en moderne manier te laten werken. De veilige basis van het xxllnc Cloud Platform helpt daar enorm bij.”
Behoefte aan nog meer zekerheid? SaaS-verzekering
We noemden het al: veiligheid draait om risico-gebaseerd denken en maatregelen nemen om mogelijke risico’s af te dekken. Maar wat nu als alle xxllnc-medewerkers verongelukken tijdens een bedrijfsuitje? Of als we failliet gaan? Ook in zo’n noodsituatie moeten jouw processen gewoon doordraaien, dat ben je aan de burger verplicht.
We kunnen je geruststellen: voor een klein bedrag per maand kunnen klanten bij ons een zogeheten SaaS-verzekering (Software-as-a-Service) afsluiten. Mocht xxllnc om wat voor reden dan ook niet meer in staat zijn de applicaties te laten draaien, dan neemt een hierin gespecialiseerde derde partij onze rol over. Zij houden de cloud-applicaties zo lang in de lucht als nodig is om te verhuizen naar een nieuwe tool. Met deze verzekering kun je als overheidsorganisatie dus nog een extra vinkje zetten.
