Zo helpt Intermax u te voldoen aan DigiD 2.0

28 juli 2017
Intermax redactie

Intermax bezit een DigiD TPM verklaring. Deze verklaring biedt partijen die DigiD inzetten op hun websites de zekerheid dat deze veilig door ons gehost worden. Daarnaast hoeven deze bedrijven niet constant zelf een aparte security scan uit te laten voeren voor het hostinggedeelte van hun website. Hierdoor worden de auditkosten beperkt tot het applicatiedeel. Dat kan tot wel 50% van de totale kosten schelen. Sinds 1 juli 2017 geldt er een nieuw normenkader voor de DigiD audit, DigiD 2.0. In dit artikel vertellen we u meer over deze nieuwe norm, en over hoe Intermax u hierbij kan helpen.

Waarom een nieuw DigiD normenkader?

Het Ministerie van Binnenlandse Zaken heeft een aantal overwegingen gegeven voor het uitbrengen van de DigiD 2.0 norm:

  1. Het Nationaal Cyber Security Centrum (NCSC) heeft nieuwe beveiligingsrichtlijnen voor webapplicaties uitgebracht. Het nieuwe normenkader is aangepast aan deze nieuwe richtlijnen.
  2. De initiële opdracht die het Ministerie heeft om het DigiD normenkader gedurende de tijd te verzwaren of uit te breiden. Dit vergroot de effectiviteit en veiligheid van het DigiD stelsel.
  3. De wens van het Ministerie om de auditlast van de DigiD assessment te verminderen.
Richtlijnen uit de eerste versie van het DigiD normenkader zijn samengevoegd met richtlijnen uit versie 2.0. Bepaalde richtlijnen zijn op deze manier uitgebreid, terwijl er ook een aantal richtlijnen zijn vervallen en toegevoegd. Zo worden nieuwe risico’s afgedekt, en wordt het normenkader effectiever en actueler. Op punten waar het normenkader de afgelopen jaren bewezen effect heeft gehad, wordt de audit bovendien verlicht.

De focus van het nieuwe normenkader ligt op de volgende onderwerpen:

  • Logging en monitoring: de beveiliging van zowel informatie als de onderliggende infrastructuur is belangrijk voor de beschikbaarheid van applicaties en voor de vertrouwelijkheid van netwerkverkeer en data.
  • Veilig programmeren: er dient te worden gewaarborgd dat beveiliging goed wordt ingebouwd in applicaties. Dit sluit ook mooi aan bij de ‘security by design’ instructies die we in de AVG terugvinden.
  • Incidentdetectie en –opvolging.
Doordat versie 2.0 inhoudelijk niet bijzonder veel afwijkt van versie 1.0, hoeven partijen die binnen versie 1.0 hebben geïnvesteerd in verbeteringen niet bang te zijn dat deze verloren gaan. Er dient slechts een omnummering plaats te vinden. Daarnaast moet het controledossier op bepaalde onderdelen herschikt worden. Hiervoor is een omnummertabel beschikbaar.

Welke DigiD versie is verplicht?

Wordt de aansluiting na 1 november 2017 geactiveerd, dan moet verplicht worden voldaan aan het nieuwe normenkader. Indien de DigiD aansluiting van uw organisatie is geactiveerd tussen 1 juli en 1 november 2017, kunt u kiezen welk normenkader u wilt hanteren.

Intermax helpt u te voldoen aan DigiD 2.0

Om uw organisatie te helpen voldoen aan DigiD 2.0 werkt Intermax met Guardian360: het online security platform dat continu scant op meer dan 80.000 kwetsbaarheden. De ingebouwde compliancy module van Guardian360 geeft direct inzicht in welke onderdelen wel of niet voldoen aan de DigiD 2.0 normen. Zo weet u dus altijd of er technische afwijkingen zijn. Is dit het geval, dan kan er snel actie worden ondernomen om de ontstane issue te verhelpen. Hiermee toont u aan dat u compliant en in control bent. De historie van opgeloste kwetsbaarheden is bovendien uitstekend bewijsmateriaal voor de auditor bij een audit. Guardian360 gaat bovendien verder dan het nieuwe normenkader voorschrijft. U kunt bijvoorbeeld aantoonbaar maken dat u opvolging heeft gegeven aan eerdere incidenten.

Tot 1 januari 2018 maakt het Guardian360 platform afwijkingen in zowel het oude als het nieuwe normenkader inzichtelijk. Daarna zijn alleen nog afwijkingen van de nieuwe norm zichtbaar. Historische gegevens zijn dan nog wel op te vragen.

Buiten het checken van de security met Guardian360 is het belangrijk een veilig platform af te nemen, dat is voorzien van de juiste hardening en maatregelen tegen nog onbekende dreigingen. Ook dient er volgens de nieuwe norm voldoende logging en alarmering plaats te vinden op afwijkingen. Al deze zaken die horen bij een correcte DigiD 2.0 implementatie, zijn bij Intermax standaard onderdeel van de dienstverlening.