Security
Security is essentieel voor de dienst Aangetekend Mailen en niet alleen om de vereiste juridische waarde te verkrijgen, maar ook om de privacy van berichten en documenten te waarborgen. De balans tussen de mate van veiligheid enerzijds en de gebruiksvriendelijkheid anderzijds is een belangrijke afweging die wij voortdurend maken. Mogelijke risico’s worden zoveel mogelijk uitgesloten en/of beperkt waarbij er een veelheid aan maatregelen wordt genomen en waarbij de dienst nauwlettend wordt gecontroleerd op een juist werking ervan. Regelmatig wordt de dienst getest door onafhankelijke partijen al dan niet in opdracht van onze Business Partners of (corporate) klanten.
Enkele maatregelen uitgelicht:
Veiligheid
- Gekwalificeerde vertrouwensdienstverlener; Aangetekend BV en IPEX N.V./ S.A. hebben een notering op de EU Trust List als gekwalificeerde vertrouwensdienstverleners die een gekwalificeerde vertrouwensdienst, Aangetekend Mailen Plus, verleent en van het toezichthoudende orgaan de status gekwalificeerde heeft gekregen conform de eIDAS-Verordening. De eisen die gesteld worden aan gekwalificeerde verleners van vertrouwensdiensten zijn stringent en gaan veel verder dan bijvoorbeeld een ISO27001 certificering en beschreven in artikel 24 van de eIDAS-Verordening. De EU Trust list: https://eidas.ec.europa.eu/efda/tl-browser/#/screen/tl/NL en https://eidas.ec.europa.eu/efda/tl-browser/#/screen/tl/BE
- ISO27001:2013 gecertificeerd door Lloyds Register; ISO27001 is een internationale standaard die gaat over informatiebeveiliging. De standaard beschrijft eisen voor het ontwerpen, implementeren, controleren, beoordelen, bijhouden en verbeteren van gedocumenteerde Information Security Management Systems. Elke 12 maanden wordt deze standaard extern getoetst waardoor de informatiebeveiliging blijft gewaarborgd. Aangetekend BV eist ook van haar toeleveranciers dezelfde standaard.
- Operational Risk Management, Security & Architecture (OSA) trajecten zijn doorlopen voor en door Banken & Verzekeraars.
- ‘Ethical Hackers’ toetsen op regelmatige basis de veiligheid van de dienst (PEN-testen) al dan niet in opdracht van corporate klanten.
Onze Belgische Agent IPEX S.A. voldoet aan bovenstaande eisen
- ISO 9001:2015 Kwaliteitsbeheersysteem voor al hun processen. Dit kwaliteitsborgingssysteem helpt de IPEX-groep te voldoen aan de vereisten en verwachtingen van hun klanten en de vereisten in wet- en regelgeving. Op die manier wordt de klanttevredenheid en de continue verbetering van onze organisatie en processen dankzij dit systeem bevordert. ISO9001 heeft betrekking op verkoop, levering, klantenservice, technische ondersteuning, beheer en onderhoud van producten, systemen en netwerken voor IT en outsourcingoplossingen voor zakelijke klanten.
- ISO 14001:2015 Milieubeheersysteem voor al hun processen. Het systeem garandeert onze klanten een continue verbetering van de prestaties en de bescherming van het milieu (bijvoorbeeld door milieuvervuiling te voorkomen). De norm helpt ons bij het beheer van de milieurisico’s waarmee al onze activiteiten gepaard gaan.
- ISO 27001:2013 Informatiebeveiligingssysteem voor al hun processen. Beveiliging van informatie (interne informatie en van onze klanten afkomstige informatie) is een van onze belangrijkste zorgen. Dit beheersysteem garandeert een gestructureerde en veilige methode voor de verwerking van informatie en de bescherming ervan tegen mogelijke bedreigingen.
De effectieve implementatie van bovengenoemde beheersystemen wordt gecontroleerd en gecertificeerd door:
- SGS ISO9001:2015, ISO14001:2015 en ISO27001:2013
Gegevens blijven binnen Europa
- De datacentra waar Aangetekend Mailen gebruik van maakt zijn ISO27001 gecertificeerd en staan op Nederlandse bodem (dus ook binnen de EER).
- Bescherming van de data is overeengekomen in Verwerkersovereenkomsten conform de AVG/GDPR.
- Nadat de Aangetekende Mail is opgehaald/geweigerd of de ophaaltermijn is verstreken wordt de feitelijke inhoud verwijderd van de Aangetekend Mailen server, enkel de metadata rondom de communicatie wordt bewaard.
Veilige verbinding tussen Verzender en Ontvanger
- Per organisatie/proces wordt er een eigen Aangetekend Mailen server ingericht met SSL certificaat waardoor er een beveiligde verbinding (Secure SMTP – TLS) kan worden opgetuigd tussen andere mailservers en webpagina’s (https://).
- Aangetekende Mails worden in een encrypted omgeving bewaard totdat dat de mail is opgehaald/geweigerd of de ingestelde ophaaltermijn is verstreken.
- Encryption-keys worden separaat van de klant specifieke omgeving bewaard.
Ophalen van een Aangetekende Mail door ontvanger
- Voordat de Aangetekend Mailen server de mail vrijgeeft wordt een CE-ID (32-bits) gevraagd, wanneer 3 pogingen falen wordt het IP-adres geblokkeerd.
- Over alle met de aankondigingsmail meegestuurde bijlagen wordt een Hash code berekend (SHA256). De ontvanger kan deze code eventueel benutten om de echtheid van het bericht te controleren.
Backup en patches van Aangetekend Mailen servers
- Backups worden dagelijks automatisch uitgevoerd en op een colocatie weggeschreven.
- Security patches worden dagelijks gescand en automatisch geïnstalleerd.
Updates en Beheer van Aangetekend Mailen server
- De doorontwikkeling vindt plaats volgens het ‘security by design’ principe waarbij de OWASP wordt geraadpleegd.
- Updates worden ontwikkeld en opgeleverd gebruikmakend van een OTAP omgeving.
- Beheer wordt preventief uitgevoerd door gekwalificeerd gescreend personeel gebruikmakend van monitoring systeem die de juiste werking van elke Aangetekend Mailen server op 32 punten in de gaten houdt.
- Veilige passwords voor SSH toegang via enkel bekende IP-adressen voor ontwikkelaars.
- Anti SPAM maatregelen worden continue aangescherpt gebruikmakend van onder andere Reverse DNS, SPF, SSMTP, DKIM, DMARC en DANE.
Er zijn meer Security maatregelen genomen rondom de dienst Aangetekend Mailen welke geclassificeerd zijn als bedrijfsvertrouwelijk. Meer informatie rondom Security kan gedeeld worden op verzoek, na ondertekening van een NDA en op locatie kantoor van Aangetekend BV.