Security scan ontwikkelen

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • rob123
  • Registratie: Mei 2010
  • Niet online
Op mijn werk is gevraagd om een security scan te ontwikkelen die gebruikt kan worden
om bij klanten een security scan van hun ICT omgeving uit te kunnen voeren. Ik kan via zoekmachines
vrijwel niets vinden over dit onderwerp. (wel over software om te gebruiken maar niets over hoe je
zo'n scan kunt opzetten en documenteren)

Wat ik heb bedacht is om de scan op te delen in de domeinen fysiek, organisatorisch en technisch,
onderwerpen te kiezen per domein, deze op te splitsen via sub-onderwerpen en dan een deep scan per
sub-onderwerp te ontwikkelen aan de hand van vragen waarbij bij vragen waarbij dat nodig is
handleidingen voor de deep scans in de praktijk zelf te maken.

Nou zijn mijn vragen: Wat vinden jullie van dit plan? Heeft iemand ervaring met het ontwikkelen van
een security scan en heeft hier tips/advies voor? Zijn er richtlijnen voor het opzetten van een
security scan? Hoe zouden jullie dit aanpakken?

Acties:
  • +1 Henk 'm!

  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 21:36

Reptile209

- gers -

Ik zou eens beginnen met per klant vast te stellen wat de doelstellingen van hun security zou moeten zijn. Is het data-integriteit, toegankelijkheid van gegevens/applicaties, beschikbaarheid van gegevens/applicaties, enz. Gaat het om de AIVD, de NS of de kruidenier op de hoek? Welke potentiele bedreigingen zijn er die door de security zouden moeten worden afgevangen (hackers, indringers, diefstal, concurrenten, gegevensverlies, ...)? Welke systemen of procedures zijn er nu al, en voldoen die? Wat mag een en ander kosten? Welke middelen (technisch en mensen) zijn er beschikbaar? Wat als alles misgaat?
Aan de hand daarvan zou je interviews kunnen houden om gedetailleerder op zaken in te gaan. Of het je lukt om een algemene checklist/vragenlijst voor zoiets op te stellen, betwijfel ik. M.i. is het allemaal te situatie-afhankelijk.

Zo scherp als een voetbal!


Acties:
  • 0 Henk 'm!

  • rob123
  • Registratie: Mei 2010
  • Niet online
Bedankt voor je reactie. Toch is het de bedoeling om een algemene security scan te ontwikkelen. Dit zou later per onderwerp eventueel gebruikt kunnen worden in de scan vanwege eisen. Het is dus de bedoeling dat deze erg uitgebreid wordt en een soort van standaard voor het bedrijf wordt om vanaf te starten.

De doelgroep is MKB bedrijven.

Acties:
  • 0 Henk 'm!

  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 21:36

Reptile209

- gers -

Laat dan de vragen waarmee ik begon als startpunt van de scan gebruiken. Sommige MKB'ers zullen zeggen 'dat ze toch een virusscanner hebben bij HetNet', anderen hebben misschien de boel redundant op zwaarbewaakte co-locatie staan. De vragen helpen om het denkproces een beetje te sturen/bloot te leggen en te kijken welke zwakke plekken moeten worden aangepakt.

Zo scherp als een voetbal!


Acties:
  • 0 Henk 'm!

  • rob123
  • Registratie: Mei 2010
  • Niet online
Dat is een goed advies. Bedankt. Hebben nog meer mensen tips, advies of ervaringen?

[ Voor 44% gewijzigd door rob123 op 21-05-2010 15:16 ]


Acties:
  • 0 Henk 'm!

  • Bor
  • Registratie: Februari 2001
  • Nu online

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Waarom kijk je niet eens om je heen om te zien wat andere bedrijven doen op dit vlak? Ik mis een duidelijke visie wat betreft de dienst die je precies wilt aanbieden. Een security scan kan zo veel bevatten om juist erg kort zijn. Moet het een quick scan achtige oplossing worden of juist een zeer uitgebreide scan? Op welke standaard gebieden wil je je standaard richten?

Zit de doelgroep in een bepaalde sector? Met MKB geef je alleen de omvang aan.

Kun je iets meer achtergrond geven over de ervaring die je hebt op dit vlak en met het ontwikkelen van nieuwe producten?

[ Voor 12% gewijzigd door Bor op 24-05-2010 13:06 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


Acties:
  • 0 Henk 'm!

  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 27-09 22:07

MAX3400

XBL: OctagonQontrol

Voorbeeld van gemiddelde security-breach:

- een Post-It met een password erop (aan de monitor of in de bovenste la van een ladenblok)
- unsecured WLAN
- touchscreen kassa aangesloten op de interne boekhouding

Sorry, maar een scan ontwikkelen zit er niet in; je zal gewoon per omgeving/klant even wat moeten porren met vingers en wat simpele tools. Denk dat je dan al genoeg vindt om jezelf goed te verkopen.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof


Acties:
  • 0 Henk 'm!

  • new_guy
  • Registratie: Oktober 2009
  • Laatst online: 21:55

Acties:
  • 0 Henk 'm!

  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 15-07 15:35

leuk_he

1. Controleer de kabel!

Meer generiek:

iso 27000

Het is toch veel mooien een bedrijf een iso certificaat te kunnen geven?

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.


Acties:
  • 0 Henk 'm!

  • Bor
  • Registratie: Februari 2001
  • Nu online

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

MAX3400 schreef op maandag 24 mei 2010 @ 13:08:
Voorbeeld van gemiddelde security-breach:

- een Post-It met een password erop (aan de monitor of in de bovenste la van een ladenblok)
- unsecured WLAN
- touchscreen kassa aangesloten op de interne boekhouding

Sorry, maar een scan ontwikkelen zit er niet in; je zal gewoon per omgeving/klant even wat moeten porren met vingers en wat simpele tools. Denk dat je dan al genoeg vindt om jezelf goed te verkopen.
Dat hangt er helemaal vanaf. Je zet nu heel erg in op tooling en technische zaken terwijl ik denk dat een eerste scan niet direct de diepte in hoeft te gaan. Een scan is wat anders dan bv een penetratietest. Juist ook het organisatorische belichten is vaak nodig.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


Acties:
  • 0 Henk 'm!

  • rob123
  • Registratie: Mei 2010
  • Niet online
Bor de Wollef:

We weten dat andere bedrijven scans aanbieden maar het lijkt me niet dat ze daar inzicht in gaan geven aangezien zij deze ook zelf ontwikkeld/gekocht hebben. Een ander bedrijf waar mee we contact hebben opgenomen weigerde in ieder geval alle medewerking.

Er is al een quick scan in ontwikkeling door een collega. Mijn inbreng moet een zeer uitgebreide scan worden. Wat bedoel je met standaard gebieden? Normen? Er is geen specifieke doelgroep waar wij ons op richten. Mijn ervaring met security is het meewerken aan eerdere scans die op maat waren gemaakt en consultancy op beheer/beveiliging gebied. Maar ik heb nog maar enkele jaren ervaring. Op het gebied van nieuwe producten heb ik geen ervaring.

new_guy/drunkfux:

Bedankt voor de tips. Ik ga het bekijken.

MAX3400:

Ik ben het eigenlijk wel eens met de reactie van Bor op jou post. Toch bedankt voor je inbreng.

leuk_he:

Daar had ik ondertussen ook al informatie over gevonden. Toch bedankt voor het goede advies!

Hebben nog meer mensen tips, advies of ervaringen?

[ Voor 5% gewijzigd door rob123 op 25-05-2010 16:23 ]


Acties:
  • 0 Henk 'm!

  • Bor
  • Registratie: Februari 2001
  • Nu online

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Als er al een quick scan is zou ik de uitkomst daarvan als input gebruiken voor een meer diepte scan. Wil je direct al een zeer uitgebreid aanbod of wil je beginnen met een enkel onderwerp (of een paar onderwerpen) welke je goed hebt uitgewerkt?

Wat betreft het kijken naar andere bedrijven bedoel ik niet het daadwerkelijk contact opnemen om producten door te bespreken maar juist alleen te kijken naar het aanbod en de omschrijving van diensten. Daaruit kun je vast wel het eea afleiden.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


Acties:
  • 0 Henk 'm!

  • rob123
  • Registratie: Mei 2010
  • Niet online
Bedankt voor je reactie en tips. De bedoeling is een zeer uitgebreid aanbod welke goed is uitgewerkt. Inderdaad worden deze onderwerpen gekozen afhankelijk van de uitkomst van de quick scan.

[ Voor 6% gewijzigd door rob123 op 31-05-2010 10:58 ]


Acties:
  • 0 Henk 'm!

  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 20:32
Als je redeneert vanuit iemand die wil inbreken dan denkt deze out of the box. Die volgt niet een standaard patroon want dan werkt het niet. Een checklist zorgt er dus alleen voor dat je in elk geval de standaard issues niet vergeet. Goed beveiligen gaat echter verder, je moet proberen een stap verder te denken en dat doe je vrijwel alleen maar door te bekijken wat een mogelijke inbreker wil.

Acties:
  • 0 Henk 'm!

  • rob123
  • Registratie: Mei 2010
  • Niet online
Bedankt voor je tips djluc. Je hebt wel gelijk.

[ Voor 27% gewijzigd door rob123 op 02-06-2010 13:59 ]


Acties:
  • +5 Henk 'm!

  • rob123
  • Registratie: Mei 2010
  • Niet online
Een te late update:

Het eindproduct van mij en een toenmalig collega is in 2011 uiteindelijk geworden:
1 Een quick-scan website bestaande uit een vragenlijst en een resultaat in de vorm van vakjes met kleuren.
Daarna kon met het bedrijf contact worden opgenomen worden voor de uitgebreide scan.
2 Het framework compleet gemaakt. Het framework is uiteindelijk gespiegeld aan de ISO27002 norm.
Het framework bestond uiteindelijk uit drie domeinen. Die werden opgesplitst in entiteiten. Die werden
uitgediept in domeinonderwerp diagrammen (inclusief de top 3 toen meest gebruikte soft- en hardware) en
uiteindelijk in uitgebreide deep scan checklists.
3 Een security scan koffer met de benodigde handvaten. Die bestonden o.a. uit checklisten en sjablonen.

Er is veel veranderd sinds 2011. Er bestond toen nog geen OSSIM :)

Heb daarna via zelfstudie CISSP doorgenomen. Er is veel openbare informatie van de RU en TU/e beschikbaar. Daar stop ik nu al heel wat jaren van mijn vrije tijd in.

Als iemand nog goede bronnen of adviezen heeft of gewoon nog iets kwijt wil dan is dat uiteraard altijd welkom!

Acties:
  • +1 Henk 'm!

  • DJMaze
  • Registratie: Juni 2002
  • Niet online
De beste scan is ransomware...

Het is immers de enige software die steeds met "succes" in het nieuws is.

[ Voor 56% gewijzigd door DJMaze op 13-05-2021 18:17 ]

Maak je niet druk, dat doet de compressor maar


Acties:
  • +2 Henk 'm!

  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 21:41

CAPSLOCK2000

zie teletekst pagina 888

rob123 schreef op donderdag 13 mei 2021 @ 16:38:
Een te late update:

Het eindproduct van mij en een toenmalig collega is in 2011 uiteindelijk geworden:
Wauw. Dit moet de beste kick van een 11 jaar oud topic ooit zijn. Respect. _/-\o_
1 Een quick-scan website bestaande uit een vragenlijst en een resultaat in de vorm van vakjes met kleuren.
Daarna kon met het bedrijf contact worden opgenomen worden voor de uitgebreide scan.
2 Het framework compleet gemaakt. Het framework is uiteindelijk gespiegeld aan de ISO27002 norm.
Het framework bestond uiteindelijk uit drie domeinen. Die werden opgesplitst in entiteiten. Die werden
uitgediept in domeinonderwerp diagrammen (inclusief de top 3 toen meest gebruikte soft- en hardware) en
uiteindelijk in uitgebreide deep scan checklists.
3 Een security scan koffer met de benodigde handvaten. Die bestonden o.a. uit checklisten en sjablonen.

Als iemand nog goede bronnen of adviezen heeft of gewoon nog iets kwijt wil dan is dat uiteraard altijd welkom!
Controleer je dat ook of vertrouw je ze op hun woord?

Ik heb aan de lopende band bedrijven die alle vragen op mijn vragenlijst beantwoorden met niet meer dan een groen vinkje of een verwijzing naar hun ISO-certificering zonder ook maar te vermelden welke. Dat zegt dus maar weinig over hoe veilig die software/website nou echt is. Negen van de tien keer kan ik binnen een paar minuten wel iets vinden dat niet in orde is, ook al hebben ze net op mijn fomuliertje ingevuld dat ze er aan voldoen.

Ik geloof dus niemand meer en wil bewijzen zien. Laat maar een penetration test doen en stuur me het rapport. Daar zitten de meesten bepaald niet op te wachten, maar er valt bij ons veel geld te verdienen dus vaak krijg ik mijn zin (maar ook lang niet altijd). Waar het echt lastig, zo niet onmogelijk, wordt zijn de partijen die alles uitbesteden aan de mega IT-bedrijven. Dan krijg ik op al mijn vragen terug "vraag maar aan Amazon" of "daar is Microsoft voor verantwoordelijk". Nu geloof ik helemaal dat Amazon en Microsoft het wel redelijk op orde hebben maar ik kan niet zo veel met geloof. Zeker om dat je die software/site/app/vm toch zelf zal moeten bouwen en configureren.

Dat geeft steeds meer wrijving want mijn gebruikers kan het allemaal niet boeien. Die willen die ene applicatie gebruiken en IT moet maar zorgen dat het veilig is. Het eindigt eigenlijk altijd in een teleurstellend compromis.

This post is warranted for the full amount you paid me for it.


Acties:
  • 0 Henk 'm!

  • rob123
  • Registratie: Mei 2010
  • Niet online
DJMaze schreef op donderdag 13 mei 2021 @ 18:16:
De beste scan is ransomware...
[...]
Ik volg sinds 2012 uiteraard security.nl op de voet.

[ Voor 4% gewijzigd door rob123 op 17-05-2021 19:56 ]


Acties:
  • 0 Henk 'm!

  • rob123
  • Registratie: Mei 2010
  • Niet online
CAPSLOCK2000 schreef op vrijdag 14 mei 2021 @ 00:00:
[...]

Wauw. Dit moet de beste kick van een 11 jaar oud topic ooit zijn. Respect. _/-\o_
Dit is het grootste compliment wat ik ooit heb gehad voor mijn mijn en mijn collega's werk. Degene met die ik toen werkte is door gestroomd naar de universiteit. Werkt nu in een spinoff bedrijf

Controleer je dat ook of vertrouw je ze op hun woord?

Ik heb aan de lopende band bedrijven die alle vragen op mijn vragenlijst beantwoorden met niet meer dan een groen vinkje of een verwijzing naar hun ISO-certificering zonder ook maar te vermelden welke. Dat zegt dus maar weinig over hoe veilig die software/website nou echt is. Negen van de tien keer kan ik binnen een paar minuten wel iets vinden dat niet in orde is, ook al hebben ze net op mijn fomuliertje ingevuld dat ze er aan voldoen.

Ik geloof dus niemand meer en wil bewijzen zien. Laat maar een penetration test doen en stuur me het rapport. Daar zitten de meesten bepaald niet op te wachten, maar er valt bij ons veel geld te verdienen dus vaak krijg ik mijn zin (maar ook lang niet altijd). Waar het echt lastig, zo niet onmogelijk, wordt zijn de partijen die alles uitbesteden aan de mega IT-bedrijven. Dan krijg ik op al mijn vragen terug "vraag maar aan Amazon" of "daar is Microsoft voor verantwoordelijk". Nu geloof ik helemaal dat Amazon en Microsoft het wel redelijk op orde hebben maar ik kan niet zo veel met geloof. Zeker om dat je die software/site/app/vm toch zelf zal moeten bouwen en configureren.

Dat geeft steeds meer wrijving want mijn gebruikers kan het allemaal niet boeien. Die willen die ene applicatie gebruiken en IT moet maar zorgen dat het veilig is. Het eindigt eigenlijk altijd in een teleurstellend compromis.

Ik begrijp het.

Ik controleer alles tot op de op de . en controleer het net zolang tot dat ik het 100% zeker weet. Mijn leidinggevende heeft ooit gezegd dat hij mij blind vertrouwd dat het werk goed gebeurd.

Dat cloud gebeuren zag ik al op mijn opleiding aan komen dat dat fout ging. Met Microsoft (en Google om iemand te helpen) nog aan mee gedaan. Maar dat is het laatste account van de "groten" wat dicht gaat hier. Ga sinds enkele jaren vol voor Open Source.

[ Voor 10% gewijzigd door rob123 op 21-05-2021 09:11 . Reden: 00000000 ]


Acties:
  • 0 Henk 'm!

  • rob123
  • Registratie: Mei 2010
  • Niet online
DJMaze schreef op donderdag 13 mei 2021 @ 18:16:
De beste scan is ransomware...

Het is immers de enige software die steeds met "succes" in het nieuws is.
In Maastricht was het te open. Te weinig afgeschermd. Ze liepen achter. Wij hadden in 2008 al een beveiliginsgcentrum met vingerafdrukscanner als toegang (heel eventjes onze experts kregen het niet werkend, kapot of te ingewikkeld? Zie debacle overheid met vingerafdrukscanners op paspoort nationale database. Inclusief veel boeken over beveiliging in 2008.Er was toen wel al Nessus. Maar wij hadden toen met collega's in een project een honeypot aan Snort gekoppeld en andere medewerkers programmeerden white/black listing.Uiteindelijke na zoeken bleek met een zoekopdracht dat Surf al een SIEM in ontwikkeling had. We werkten toen met BackTrack (alleen voor wifi) Later is dat Kali Linux geworden. Helaas ben ik aan het boek daarvan vrijwel niet toegekomen. Wel in 2008 wifi hack projectje gedaan en deden we toen malware analyses en waren we bezig met (kuch) Oracle forms.

Ik kan wel wat programmeren basic (Commodore 64) en Qbasic (DOS/W3.11), VisualBasic.net en Java (lang geleden) en Clean. (iets minder lang geleden)

Hot is nu python maar ga zelf liever beginnen met C.

C beginnen ze mee op de RU. Daar heb ik het meeste interesse in. Ik heb al een heel boekenlijstje in mijn bladwijzers staan.

Wil later liever programmeren voor de alternatieven van Android en iOS. Heb nu pas een "nieuwe" HTC-HD2 gekocht. (oude doet het nog steeds met nieuwe accu) Liep in 2009 al voor op Android en iOS. Nu met een mod er op. Echt gaaf. Kunt allerlei dingen aanpassingen die je bij Andoid(root)/Linageos hoogstens kunt

Het liefst ga ik voor Librem 14 en PureOS. Maar ik wil dat pas als het is uitontwikkeld. Wil graag Matrix gaan gebruiken. Mogelijk in combinatie NextCloud.

[ Voor 106% gewijzigd door rob123 op 21-05-2021 09:37 ]


Acties:
  • 0 Henk 'm!

  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 18:20

kodak

FP ProMod
Ik vraag me af of er met die mogelijkheid tot scannen en inzicht nog veel resultaten bereikt zijn om het bij klanten 'veiliger' te krijgen.

Dat je als bedrijf ziet dat het klanten mogelijk van pas kan komen dat ze een security scan doen en hulpmiddelen maakt lijkt me pas de eerste stap.

Acties:
  • 0 Henk 'm!

  • rob123
  • Registratie: Mei 2010
  • Niet online
Er moet ook budget, mankracht, belang en management bereidheid zijn uiteraard.

Acties:
  • 0 Henk 'm!

  • rob123
  • Registratie: Mei 2010
  • Niet online
Had weer eventjes tijd betreffende de ransomware
Wat ik even zo snel kan verzinnen. (er is nog geen scan voor gemaakt door door mij)
- OSI layer 8: herhalend goede educatie geven en kennis herhalend testen scheelt al veel. Belonen i.p.v.
klagen!
- Software gebouwd op FOSS of inhouse zelf ontwikkeld
- Indien mogelijk eigen hardware ontwikkelen (Net zoals o.a. Apple/Google/Amazon (gedeeltelijk) doet)
FOSS voor zover mogelijk
- Web op Linux
- Juridisch alles dichtgetimmerd
- Screening personeel (voor zover juridisch mogelijk)
- Alles dicht timmeren en open zetten als het echt niet anders kan zoals op een werkende manier net
zoals bij DAF:USB stick er in werkt niet ICT komt aangesneld.
- Offline wachtwoordopslag bijvoorbeeld Keepass
- Alles on premise - website redundantie bij EER hoster (niet Cloudflare)
- Offline backups op locatie in kelder in beton en faraday cage in een brandwerende kluis in de kelder, dag
week, maand, jaar, net hoever je wilt gaan
- Houdt rekening met rampen, oorlogen en EMP
- Belangrijke zaken op papier (dus niet alleen financieel)
- Backup in EER (bijv. Noorwegen) 100% in eigen beheer
- Backup op ander continent(en) onder zelfde voorwaarden (bijv. Noorwegen en Alaska (?)
- Probeer zo veel mogelijk bij te blijven met quantumencryptie (ik heb daar verder niet meer kennis van dan de tweakers.net artikelen

Maar ja, dit is afhankelijk van grootte, wensen bedrijf, wensen management en budget natuurlijk! Er zijn MKBers die fantastisch innovatief zijn en hebben een NAS staan en als daar dan ransomware op staat hebben ze pech of betalen.

Als jullie nog meningen, ervaringen of kennis bronnen hebben waar jullie goede ervaringen mee hebben? Wil niet in mijn eigen "bubbel' blijven....

[ Voor 12% gewijzigd door rob123 op 23-05-2021 11:20 ]


Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
Ik heb een lege kick van je topic weggegooid. Ajb ook ontopic blijven, discussies over een gijzelvirus of algemene beveiliging kunnen in eigen topics. Ik zal me dus ook inhouden en niet in gaan op je lijst, er van uitgaande dat dat niet je scan checklist is.

De vraag was al gesteld, maar toch: controleer je dat ook of vertrouw je ze op hun woord? En heeft de invuller de kennis van zaken om het in te vullen? Belangrijke aspecten bij de evaluatie van de antwoorden.
CAPSLOCK2000 schreef op vrijdag 14 mei 2021 @ 00:00:
Ik geloof dus niemand meer en wil bewijzen zien. Laat maar een penetration test doen en stuur me het rapport. Daar zitten de meesten bepaald niet op te wachten, maar er valt bij ons veel geld te verdienen dus vaak krijg ik mijn zin (maar ook lang niet altijd). Waar het echt lastig, zo niet onmogelijk, wordt zijn de partijen die alles uitbesteden aan de mega IT-bedrijven. Dan krijg ik op al mijn vragen terug "vraag maar aan Amazon" of "daar is Microsoft voor verantwoordelijk". Nu geloof ik helemaal dat Amazon en Microsoft het wel redelijk op orde hebben maar ik kan niet zo veel met geloof. Zeker om dat je die software/site/app/vm toch zelf zal moeten bouwen en configureren.
Inderdaad wordt ook als antwoord op zo'n 'vinkenlijst' te makkelijk verwezen naar de hoster - ook waar een groot deel van inrichting en beheer niet daar liggen. En een specifieke verklaring van Amazon c.s. dat ze op alle lagen verantwoordelijk zijn voor 'jouw' omgeving ga je niet krijgen. 'Alles' kan op bijv Azure maar als de dienstverlener zelf de voordeur open zet heb je er niets aan.

Doe idd zelf een pentest (als je een grote klant bent / je die extra kosten kan dragen) of eis dat ze het zelf jaarlijks doen. Dan willen ze misschien roepen dat MS het niet toestaat dat er wordt gepentest, dat is niet waar die staan dat expliciet wel toe (onder voorwaarden, https://www.microsoft.com...rules-of-engagement?rtc=3). Hoe dan ook, je hebt een (verwerkers- en gewone) overeenkomst met de dienstverlener en niet met MS.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Pagina: 1