CMS en NEN7510 - Softwareontwikkeling

vrijdag 11 september 2015 14:49

Acties:

0 Henk 'm!

Topicstarter

Bedrijf X levert websites op basis van Wordpress, Jooma of Drupal. Eén klant valt in de zorgbranche. Een kleine speler met een stel parttime werknemers en 50-100 cliënten. Om die reden wil men graag extra functionaliteit via de website, zoals het plannen van afspraken, adreswijzigingen en medicatiewijzigingen.

Daar zit het probleem, want met name bij die laatste categorie worden gegevens genoteerd in webformulieren die privacy gevoelig zijn. Dat betekent dat er een verplichting is om aan NEN 7510 (en de wet bescherming persoonsgegevens) te voldoen.

NEN7510 behelst informatiebeveiliging in de zorg en is een soort iso-norm. Je stelt vast wat je eisen omtrent beveiliging zijn, probeert die te staven, controleert of ze gehaald worden en neemt maatregelen als dat niet zo is.

Het is hierbij gebruikelijk dat als er software van derden gebruikt wordt, de leverancier zich ook laat certificeren of middels een Servive Level Agreement de verantwoording overneemt.

Maar wat moet je in dit verhaal als je een gecertificeerde ISP hebt, netjes SSL gebruikt, maar daarnaast wel alles op Wordpress of Joomla laat draaien? Ik kan de community moeilijk een SLA voorhouden, omdat er geen financiële transactie aan te pas komt zal er ook geen behoefte zijn om die te tekenen.

Daarnaast zou je -lijkt mij- ook met alle leverancies van plug-ins in conclaaf moeten.

Ik ben al een maand aan het zoeken op internet naar de combinaties NEN 7510 of ISO 27001 (internationaal broertje van NEN7510) en CMS, maar ik kan nergens vinden of je je informatiebeveiliging kunt laten certificeren bij gebruik van open source.

Heeft iemand eerder te maken gehad met zulke eisen voor een website? Of weet iemand links naar documentatie die mij een goede richting in kunnen sturen?

maandag 14 september 2015 10:17

Acties:

0 Henk 'm!

Janoz

Moderator Devschuur®

!litemod

Je zegt het zelf al. Aangezien er geen financiële transactie is, wordt het erg lastig om verantwoording te vragen. Maar daarin zit nu precies ook de oplossing. Zoek een partij die wel deze verantwoordelijkheid wil nemen en betaal deze daarvoor. Dit is gelijk ook het grote voordeel van open source. Niet enkel de leverancier, maar iedereen(*) kan die support leveren. Als ik even snel op de Joomla site rondklik vind ik zo al 10 potentiele bedrijven waar je zou kunnen beginnen.

(*) ze zullen wel uitgebreide kennis van het pakket moeten hebben natuurlijk

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

maandag 14 september 2015 10:22

Acties:

0 Henk 'm!

gekkie

Met wordpress en joomla heb je wel dat het installeren van 1 extra niet gevalideerd plugin of update van een plugin zo ongeveer alles omzeep kan helpen. Toch zul je ook security updates moeten blijven doen, ben benieuwd hoe je dat dan "gevalideerd" weet te houden, aan een momentopname heb je dan helaas weinig lijkt me.

maandag 14 september 2015 12:01

Acties:

0 Henk 'm!

TomsDiner

Topicstarter

Janoz schreef op maandag 14 september 2015 @ 10:17:
Je zegt het zelf al. Aangezien er geen financiële transactie is, wordt het erg lastig om verantwoording te vragen. Maar daarin zit nu precies ook de oplossing. Zoek een partij die wel deze verantwoordelijkheid wil nemen en betaal deze daarvoor. Dit is gelijk ook het grote voordeel van open source. Niet enkel de leverancier, maar iedereen(*) kan die support leveren. Als ik even snel op de Joomla site rondklik vind ik zo al 10 potentiele bedrijven waar je zou kunnen beginnen.

(*) ze zullen wel uitgebreide kennis van het pakket moeten hebben natuurlijk

Die kan ik dus niet vinden, wel hosts die 7510-proof hosting aanbieden (of ISO27001), en vervolgens óók CMS-sen voor je willen installeren, maar een belletje leert dat die dan niet onder de 7510 valt (omdat dat product niet onder hun verantwoordelijkheid gedistribueerd wordt, en de 7510 slaat dan puur op de hosting)

En inderdaad: plugins kun je vergeten, of je moet ze meenemen in je veiligheidsplan. En hoe we dat moeten doen....

maandag 14 september 2015 12:10

Acties:

0 Henk 'm!

gekkie

Ken die normen niet maar als het net zo'n wasseneus is als de veiligheidscertificering in de bouw (of de al bekende iso-9001 .. wie heeft er geen)

Hangt het er heel erg vanaf hoe serieus je er zelf mee om wil gaan en komt het vaak vooral neer op proberen aansprakelijkheid als er eens wat gebeurd proberen te minimaliseren.

Probleem met elke web-based oplossing is dat er nogal wat gevaarlijke punten zijn waarbij je er eigenlijk geeneen kan uitsluiten. Data kan buit gemaakt worden door een compromise van zowel de server als de client. En aangezien de client eigenlijk alles van de server aan code vertrouwd (enigzins te limiteren tot verificatie van een SSL certificaat, maarja als je server compromised is heb je daar ook weinig aan. En nog maar niet gesproken over alle cross-site-scripting bugs die ook nog steeds in browsers gevonden worden)

Kortom ontzettend strake permanente monitoring en policies.. extreem korte sessies etc .. en het uitgangspunt als het er op lijkt dat er ook maar iets niet in de haak is toegang ontzeggen. Wellicht wel met gevolg dat gebruikers het een

systeem vinden omdat het met enige regelmaat dienst weigert.

[ Voor 79% gewijzigd door gekkie op 14-09-2015 12:18 ]

maandag 14 september 2015 12:11

Acties:

0 Henk 'm!

Janoz

Moderator Devschuur®

!litemod

Je moet niet naar hosters zoeken, maar naar Joomla profesionals die deze SLA durven te leveren. En als je die niet kunt vinden dan rest je nog slechts 2 opties:

1. Je eigen interne processen en kennis niveau zo inrichten dat je zelf kunt voldoen aan die eisen.
2. De klus niet aannemen.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

woensdag 16 september 2015 00:14

Acties:

0 Henk 'm!

TomsDiner

Topicstarter

Allereerst: je kunt prima discussieren over 9001, NEN7510-7513, ISO 27001 en anderen, maar enkele normen zijn gewoon verplicht. De bouw zit met veilige huizen, de zorgsector met het probleem dat al je data aan 3 voorwaarden moet voldoen:

Altijd beschikbaar. (Voorbeeld: moet er gereanimeerd worden, of heeft de cliënt een non-reanimatieverklaring?)
Betrouwbare info (Wie heeft wat in het patiëntendossier toegevoegd, en wie neemt de verantwoordelijkheid voor bijvoorbeeld dosering)
Veilig (Komt het nooit op straat te liggen)

Als ik zelf patiënt zou zijn, maar ook als verantwoordelijke voor een zorginstelling, zou ik voor alle punten een 99.99xx% aan zekerheid willen. En ik zou het fijn vinden als mijn collega's (en beunhazen in de branche) ook minimaal verplicht werden tot hetzelfde.

In deze branche zijn (gelukkig) de normen verplicht, en er zijn zware boetes voor niet nakomen. En ik heb begrepen dat de zorgauthoriteit niet alleen dreigt, maar op dit punt redelijk handhaaft.

En ja: het gaat niet lekker in de branche. Alles is te duur, nieuwe wetgeving vertraagt de betalingen van verricht werk, en de wetgeving verandert zeer snel waardoor de kleintjes in de zorgbranche het zeer moeilijk hebben. Als voorbeeld moest ik vorige week een declaratie voor een iWmo patient indienen bij de gemeente. Vijf uur thuishulp per week vergoed 320 euro. In complimenteerde het bedrijf, want dit levert nog wel marges op, tot de klant zei dat dit de maandvergoeding voor vijf uur per week was.... Ik ben 15 jaar loonadministrateur geweest in veel sectoren, en was verbaasd dat je hier nog mee kon draaien.

Ik sta ook achter de filosofie van bedrijf X om low budget oplossingen aan te bieden om kleine bedrijven een steuntje in de rug te geven, vandaar dat we kijken naar open source.

Janoz schreef op maandag 14 september 2015 @ 12:11:
Je moet niet naar hosters zoeken, maar naar Joomla profesionals die deze SLA durven te leveren. En als je die niet kunt vinden dan rest je nog slechts 2 opties:

1. Je eigen interne processen en kennis niveau zo inrichten dat je zelf kunt voldoen aan die eisen.
2. De klus niet aannemen.

We willen graag aan 1 voldoen, maar ik ben van mening dat de CMS-sen veilig houden zo verschrikkelijk lastig is... En omdat wij zorg-maatwerk verstopt in plug-ins moeten toevoegen zal dit nog lastiger worden.

Maar het is mij niet gelukt deze Joomla profs te vinden, want ik zou graag met ze bellen. Kun jij me anders desnoods DM wat info geven?

woensdag 16 september 2015 00:33

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

TomsDiner schreef op woensdag 16 september 2015 @ 00:14:
Kun jij me anders desnoods DM wat info geven?

Hou dit a.u.b. voor zo ver als mogelijk gewoon in dit topic (zie ook "mail/DM me" is ongewenst en dit). Zodat mensen met eenzelfde vraag die in de toekomst middels een Google/GoT/whatever zoekmachine op dit topic stuiten ook nog iets hebben aan die informatie.

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

woensdag 16 september 2015 09:07

Acties:

0 Henk 'm!

gekkie

TomsDiner schreef op woensdag 16 september 2015 @ 00:14:
Allereerst: je kunt prima discussieren over 9001, NEN7510-7513, ISO 27001 en anderen, maar enkele normen zijn gewoon verplicht. De bouw zit met veilige huizen, de zorgsector met het probleem dat al je data aan 3 voorwaarden moet voldoen:
Altijd beschikbaar. (Voorbeeld: moet er gereanimeerd worden, of heeft de cliënt een non-reanimatieverklaring?)
Betrouwbare info (Wie heeft wat in het patiëntendossier toegevoegd, en wie neemt de verantwoordelijkheid voor bijvoorbeeld dosering)
Veilig (Komt het nooit op straat te liggen)
Als ik zelf patiënt zou zijn, maar ook als verantwoordelijke voor een zorginstelling, zou ik voor alle punten een 99.99xx% aan zekerheid willen. En ik zou het fijn vinden als mijn collega's (en beunhazen in de branche) ook minimaal verplicht werden tot hetzelfde.

In deze branche zijn (gelukkig) de normen verplicht, en er zijn zware boetes voor niet nakomen. En ik heb begrepen dat de zorgauthoriteit niet alleen dreigt, maar op dit punt redelijk handhaaft.

En ja: het gaat niet lekker in de branche. Alles is te duur, nieuwe wetgeving vertraagt de betalingen van verricht werk, en de wetgeving verandert zeer snel waardoor de kleintjes in de zorgbranche het zeer moeilijk hebben. Als voorbeeld moest ik vorige week een declaratie voor een iWmo patient indienen bij de gemeente. Vijf uur thuishulp per week vergoed 320 euro. In complimenteerde het bedrijf, want dit levert nog wel marges op, tot de klant zei dat dit de maandvergoeding voor vijf uur per week was.... Ik ben 15 jaar loonadministrateur geweest in veel sectoren, en was verbaasd dat je hier nog mee kon draaien.

Ik sta ook achter de filosofie van bedrijf X om low budget oplossingen aan te bieden om kleine bedrijven een steuntje in de rug te geven, vandaar dat we kijken naar open source.

[...]

We willen graag aan 1 voldoen, maar ik ben van mening dat de CMS-sen veilig houden zo verschrikkelijk lastig is... En omdat wij zorg-maatwerk verstopt in plug-ins moeten toevoegen zal dit nog lastiger worden.

Maar het is mij niet gelukt deze Joomla profs te vinden, want ik zou graag met ze bellen. Kun jij me anders desnoods DM wat info geven?

Allereerst de vraag of je data die je in wordpress en joomla wilt stoppen uberhaupt voor de voorbeelden in 1 gebruikt gaat worden. Is het werkelijk zo dat je die beschikbaarheid nodig hebt voor kwesties van leven of dood ?

If yup, just don't do it .. in iedergeval niet in een general purpose CMS met allemaal zooi die je totaal niet nodig hebt. En eigenlijk ook niet webbased.
Lean en mean maken in een taal die goed te checken is met code checkers etc., geen webbased platform maar een client server waarbij beschikbaarheid beter te garanderen valt en een client die ook probeert zo strikt mogelijke alles te checken en niet alles op de kleur van de ogen van de server gelooft (iets wat bij webbased vrij lastig is).

If nope, dan is dit dus een wens en geen eis en zal eis 3 (en misschien 2) dus altijd moeten prevaleren.

Maar je zal dan dus een code-audit van de wordpress/joomla base + je eigen plugins moeten doen (en die continue herhalen voor de wijzigingen / security updates) en dat zal een niet echt low-budget optie zijn vrees ik, zeker niet als er een aansprakelijkheid aan hangt met hoge boetes. (al zal dat ook hier pas zijn als de "shit hit the fan". Want naast dat je hoopt dat het veilig wordt, wil je daarmee ook die aansprakelijkheid daarmee uiteraard afwentelen op de audit partij.

woensdag 16 september 2015 09:30

Acties:

0 Henk 'm!

UniCache2

TomsDiner schreef op vrijdag 11 september 2015 @ 14:49:
....
Dat betekent dat er een verplichting is om aan NEN 7510 (en de wet bescherming persoonsgegevens) te voldoen.

Dit klopt al niet helemaal, de NEN 7510 is in principe niet verplicht, maar bij het leveren van verantwoorde zorg door de zorginstelling moeten de patiëntgegevens op 'adequate wijze' worden beveiligd. Informatiebeveiliging valt daarmee onder het toezicht van de Inspectie voor de Gezondheidszorg (IGZ). IGZ gebruikt de NEN 7510 bij het toetsen of zorginstellingen de juiste maatregelen treffen voor deze adequate informatiebeveiliging.

TomsDiner schreef op vrijdag 11 september 2015 @ 14:49:
NEN7510 behelst informatiebeveiliging in de zorg en is een soort iso-norm. Je stelt vast wat je eisen omtrent beveiliging zijn, probeert die te staven, controleert of ze gehaald worden en neemt maatregelen als dat niet zo is.

Ook niet helemaal correct. De NEN7510, het broertje van de NEN 27001, beschrijft niets meer of minder dan een kwaliteits management systeem (ISMS) voor de zorg. Het is dan ook de vertaling van ISO 27001 specifiek gemaakt voor de zorg. Een certificering op deze standaard zegt dan ook eigenlijk feitelijk niets over hoe goed de organisatie beveiligd is, maar juist over hoe goed de organisatie een managementsysteem ingericht heeft voor informatiebeveiliging (vergelijkbaar met 9001).

TomsDiner schreef op vrijdag 11 september 2015 @ 14:49:
Ik ben al een maand aan het zoeken op internet naar de combinaties NEN 7510 of ISO 27001 (internationaal broertje van NEN7510) en CMS, maar ik kan nergens vinden of je je informatiebeveiliging kunt laten certificeren bij gebruik van open source.

Je kunt je prima laten certificeren voor NEN7510, of NEN27001, hiervoor zijn via Google voldoende partijen te vinden. Denk echter wel na over het nut hiervan. Nogmaals: Zo'n certificering zegt eigenlijk niks over of je echt veilig bent of niet. Beter zou zijn zelf een risico analyse uit te voeren m.b.v. de NEN 7510 (gratis te verkrijgen) en vervolgens de NEN 7510 te implementeren. Hier is geen certificering voor nodig. Alleen als een derde partij van jou vraagt om die certificering zou je dit kunnen overwegen, anders alleen maar weggegooid geld. Een assurance verklaring zou hierbij veel nuttiger zijn (zoals een SOC1), maar dat is een heel ander verhaal.

woensdag 16 september 2015 13:07

Acties:

0 Henk 'm!

Boelie-Boelie

TomsDiner schreef op vrijdag 11 september 2015 @ 14:49:
Om die reden wil men graag extra functionaliteit via de website, zoals het plannen van afspraken, adreswijzigingen en medicatiewijzigingen.

Nou heb ik je klant niet gesproken, maar ik denk dat men dit helemaal niet per se via de website wil, maar dat men een eenvoudig bereikbaar, online systeem wil voor 'het plannen van afspraken, adreswijzigingen en medicatiewijzigingen'. Dan vraagt men helemaal niet om WordPress oid; dat lijkt meer op een CRM. Dus daar zou ik de oplossing zoeken (als je dat kan en wilt leveren).

Verder gaat ISO 27001 (over NEN kan ik nix zeggen) idd over een 'managementsysteem', dus het vastleggen en professionaliseren van processen, welke risico's er zijn, wie wat zal doen indien er een risico ontstaat, etc. Wanneer je volgens de auditor over al die dingen goed genoeg hebt nagedacht en beschreven hebt, kun je zo'n certificaat regelen, maar je hoeft risico's niet hebben opgelost.

Een oplossing voor je open source-probleem kan zijn dat je je pakket regelmatig op lekken laat testen en zelf patches maakt, of het een derde laat doen. Of je installeert het on premise op een dedicated systeem met beperkte toegang en mogelijkheden (geen Flash, Java, etc.). Dan zijn ook risico's afgedekt, door jou, zonder bijvoorbeeld pluginmakers met jouw probleem lastig te vallen.

Cogito ergo dubito

woensdag 16 september 2015 13:11

Acties:

0 Henk 'm!

Bigs

Ik snap het probleem niet zo; als Bedrijf X een oplossing levert en die onderhoudt (volgens afspraken in onderhouscontract/SLA), dan ligt de verantwoordelijkheid omtrent NEN 7510 gewoon bij hen. Ze kunnen zich dus ook gewoon laten certificeren en op die manier oplossingen volgens NEN 7510 aanbieden. Ongeacht of de code nu zelf geschreven is of van open source afkomstig is.

woensdag 16 september 2015 17:36

Acties:

0 Henk 'm!

DJMaze

Ik ontwikkel zelf een OpenSource CMS en loop zelf regelmatig tegen de beveiliging van data aan.
En dat gaat zelfs nog een stuk verder vanwege het opslaan van creditcard nummers en de rits aan eisen die daar aan worden gesteld.

Ik wil je best een NEN 7510 aanbieden op mijn CMS, maar dat heeft weinig zin als poort 3306 van buitenaf beschikbaar is of je gebruikt shared hosting of je hebt phpmyadmin draaien.

Goed, dan wil ik nog best tegen betaling de wensen van je klant programmeren en de data encrypted opslaan met een public/private key, maar dan kan je weer niet makkelijk door data zoeken.

Een systeem valt/staat op basis van de zwakste schakel.

Maak je niet druk, dat doet de compressor maar

woensdag 16 september 2015 23:41

Acties:

0 Henk 'm!

TomsDiner

Topicstarter

UniCache2 schreef op woensdag 16 september 2015 @ 09:30:
[...]

Dit klopt al niet helemaal, de NEN 7510 is in principe niet verplicht, maar bij het leveren van verantwoorde zorg door de zorginstelling moeten de patiëntgegevens op 'adequate wijze' worden beveiligd. Informatiebeveiliging valt daarmee onder het toezicht van de Inspectie voor de Gezondheidszorg (IGZ). IGZ gebruikt de NEN 7510 bij het toetsen of zorginstellingen de juiste maatregelen treffen voor deze adequate informatiebeveiliging.

Sinds 2010 is NEN7510 verplicht voor bedrijven die met zorggegevens werken. Dit is me vandeweek nog bevestigd door Activaris (een brancheorganisatie) (in de situatie van de gegevens die vastgelegd moeten worden)

UniCache2 schreef op woensdag 16 september 2015 @ 09:30:

Ook niet helemaal correct. De NEN7510, het broertje van de NEN 27001, beschrijft niets meer of minder dan een kwaliteits management systeem (ISMS) voor de zorg. Het is dan ook de vertaling van ISO 27001 specifiek gemaakt voor de zorg. Een certificering op deze standaard zegt dan ook eigenlijk feitelijk niets over hoe goed de organisatie beveiligd is, maar juist over hoe goed de organisatie een managementsysteem ingericht heeft voor informatiebeveiliging (vergelijkbaar met 9001).

[...]

Je kunt je prima laten certificeren voor NEN7510, of NEN27001, hiervoor zijn via Google voldoende partijen te vinden. Denk echter wel na over het nut hiervan. Nogmaals: Zo'n certificering zegt eigenlijk niks over of je echt veilig bent of niet. Beter zou zijn zelf een risico analyse uit te voeren m.b.v. de NEN 7510 (gratis te verkrijgen) en vervolgens de NEN 7510 te implementeren. Hier is geen certificering voor nodig. Alleen als een derde partij van jou vraagt om die certificering zou je dit kunnen overwegen, anders alleen maar weggegooid geld. Een assurance verklaring zou hierbij veel nuttiger zijn (zoals een SOC1), maar dat is een heel ander verhaal.

Klopt, het zegt minder over kwaliteit, meer over het "in control" zijn van de kwaliteit. Dat weet ik, maar misschien heb ik het als uitleg voor de mensen die het niet kennen te verplicht neergezet.

En ik heb begrepen dat wij ons als beste vrijwillig kunnen laten certificeren, omdat deze klant moet.

RobIII schreef op woensdag 16 september 2015 @ 00:33:
[...]

Hou dit a.u.b. voor zo ver als mogelijk gewoon in dit topic (zie ook "mail/DM me" is ongewenst en dit). Zodat mensen met eenzelfde vraag die in de toekomst middels een Google/GoT/whatever zoekmachine op dit topic stuiten ook nog iets hebben aan die informatie.

Srry. Dat deed ik om reclame-verzoeken te voorkomen.

Bigs schreef op woensdag 16 september 2015 @ 13:11:
Ik snap het probleem niet zo; als Bedrijf X een oplossing levert en die onderhoudt (volgens afspraken in onderhouscontract/SLA), dan ligt de verantwoordelijkheid omtrent NEN 7510 gewoon bij hen. Ze kunnen zich dus ook gewoon laten certificeren en op die manier oplossingen volgens NEN 7510 aanbieden. Ongeacht of de code nu zelf geschreven is of van open source afkomstig is.

Bij NEN7510 zul je je softwareleverancier aan moeten spreken, om het middels SLA of neven certificering op te lossen.

DJMaze schreef op woensdag 16 september 2015 @ 17:36:
Ik ontwikkel zelf een OpenSource CMS en loop zelf regelmatig tegen de beveiliging van data aan.
En dat gaat zelfs nog een stuk verder vanwege het opslaan van creditcard nummers en de rits aan eisen die daar aan worden gesteld.

Ik wil je best een NEN 7510 aanbieden op mijn CMS, maar dat heeft weinig zin als poort 3306 van buitenaf beschikbaar is of je gebruikt shared hosting of je hebt phpmyadmin draaien.

Goed, dan wil ik nog best tegen betaling de wensen van je klant programmeren en de data encrypted opslaan met een public/private key, maar dan kan je weer niet makkelijk door data zoeken.

Een systeem valt/staat op basis van de zwakste schakel.

Wij zijn afhankelijk van formulieren en andere oplossingen in Fabrik, een Joomla plugin. Daarmee kun je zonder PHP te schrijven toch aardig wat dingen doen. Maatwerk leveren. Ik weet dat Fabrik in het verleden meerdere malen serieuze lekken heeft gehad (lekker PHP uploaden naar de server vorig jaar zomer nog), maar de wens is hier Fabrik te blijven gebruiken. En ja, de wens van de klant is ook om medische gegevens op te slaan. Er riep iemand hierboven CRM, maar denk maar aan ECD, het Electronische Cliënten Dossier. Een ECD systeem is zeer duur, en het bedrijf hoopt op deze manier partiële low budget oplossingen daarvoor te bieden.

donderdag 17 september 2015 00:01

Acties:

0 Henk 'm!

gekkie

TomsDiner schreef op woensdag 16 september 2015 @ 23:41:
[...]
Wij zijn afhankelijk van formulieren en andere oplossingen in Fabrik, een Joomla plugin. Daarmee kun je zonder PHP te schrijven toch aardig wat dingen doen. Maatwerk leveren. Ik weet dat Fabrik in het verleden meerdere malen serieuze lekken heeft gehad (lekker PHP uploaden naar de server vorig jaar zomer nog), maar de wens is hier Fabrik te blijven gebruiken. En ja, de wens van de klant is ook om medische gegevens op te slaan. Er riep iemand hierboven CRM, maar denk maar aan ECD, het Electronische Cliënten Dossier. Een ECD systeem is zeer duur, en het bedrijf hoopt op deze manier partiële low budget oplossingen daarvoor te bieden.

In welke mate komt deze kenschets dan ook maar in de buurt van de gedachte achter het "in-control" zijn volgens de aangehaalde normen ?

Wat Ik lees in het hier bovenstaande: alle signalen zijn er dat je het waarschiijnlijk niet in voldoende mate veilig gaat krijgen en een bedrijf en klanten die daar kennelijk geen oog voor hebben.
Vooral wensen in wat bekend is en ontwikkelings- en gebruiksgemak, waaraan vervolgens alles ondergeschikt is gemaakt, ook veiligheid. Kortom qua intentie / wil om het veilig te krijgen en houden zie ik het eigenlijk al niet goedkomen ...

En al missers genoeg gehad daarin in wel of niet budget systemen (eindhovense diagnostiek-voor-u waar die 50-plus-gaylord in had zitten snuffelen ... wat geloof ik ook niet echt een heel ingewikkelde hack bleek).

Denk dat joomla en wordpress beide bijvb standaard maar weinig mogelijkheden tot een beetje uitgebreide intrusion detection bieden. Evenmin dat non/less guessable object id's standaard zijn.
Naja ga zo maar door op het standaard owasp lijstje .. het is niet opgezet vanuit de intrinsieke gedachte tot een compact en veilig systeem, lean en mean .. tailored for a single job. Als je het echt veilig wil hebben dan zul je het toch vanuit die basis moeten ontwikkelen.

DJMaze schreef op woensdag 16 september 2015 @ 17:36:
Ik ontwikkel zelf een OpenSource CMS en loop zelf regelmatig tegen de beveiliging van data aan.
En dat gaat zelfs nog een stuk verder vanwege het opslaan van creditcard nummers en de rits aan eisen die daar aan worden gesteld.

Of CC-nummers nou perse gevoeligere informatie zijn weet ik niet. Informatie kan soms gevoeliger zijn omdat het in tegenstelling tot een CC-nummer de validatie ervan niet in te trekken is waarmee het waardeloos wordt. De informatie over de aankoop van die paarse dildo met gouden stippen voor je potentiele ashley madison liefje kan nog wel eens gevoeliger zijn. Zo ook de medische gegevens.

[ Voor 34% gewijzigd door gekkie op 17-09-2015 00:21 ]

donderdag 17 september 2015 08:42

Acties:

0 Henk 'm!

Bigs

TomsDiner schreef op woensdag 16 september 2015 @ 23:41:
[...]

Bij NEN7510 zul je je softwareleverancier aan moeten spreken, om het middels SLA of neven certificering op te lossen.

Wat ik bedoel te zeggen is dat jullie de softwareleverancier zijn binnen de overeenkomst.

Je maakt het ingewikkelder dan het is. Wordpress gebruikt ook diverse functies uit de PHP standard library.. wil je de PHP ontwikkelaars ook betrekken in je verhaal dan? Zo kun je wel door biljven gaan.

donderdag 17 september 2015 12:10

Acties:

0 Henk 'm!

Renquin

Houd er ook rekening mee dat per 1 januari de Wet Datalekken in gaat (is recent door de 1e kamer geaccepteerd).
Voor zover aan mij uitgelegd door onze huisjurist komt dit erop neer dat er behoorlijk zware boetes uitgegeven gaan worden als er, via welke manier dan ook, data gelekt is.
Mits er door je klant in het contract gezet word dat jij verantwoordelijk bent om alles te beveiligen zodat deze lekken niet voor kunnen komen en er komt een lek, dan ben je echt goed de sjaak.

Het was al geen pretje om leverancier voor de zorg te zijn, maar de regels worden alleen maar strenger.

Overigens hebben wij een aantal leveranciers die 7510 gecertificeerd zijn, maar zegt dit inderdaad niet zo heel veel over hoe veilig ze zijn.
Als het patiëntgegevens betreft, zoals nu bij jou ook het geval is, zorgen wij er altijd voor dat we de oplossingen intern draaien en de gebruikers daar vanaf huis enkel bij kunnen via een vpn naar de virtuele thuiswerk desktop.

Want a cookie?!