Search

Security

Security is een belangrijk onderwerp in onze checklist, Belangrijk is dat de eventuele privacy gevoelige gegevens veilig zijn. Rondom dit onderwerp is een aantal vragen opgenomen in de checklist.

Controles

Voor het onderwerp Security voeren we de onderstaande controles uit:

  1. SEC_1: Er staan geen deelnemersbestanden in de opgeleverde applicatie
    Bij de ontwikkeling van een applicatie is het vaak nodig om met test deelnemer bestanden te werken. Hiermee kunnen verschillende situaties nagebootst en gecontroleerd worden. We hebben het beleid dat we intern alleen anonieme deelnemer bestanden willen hebben. Daarnaast hebben we als beleid dat deze bestanden geen onderdeel zijn van de applicatie, maar op een andere locatie staan. Dit voorkomt het risico dat bij oplevering van een applicatie ook test deelnemer bestanden opgestuurd worden.
  2. SEC_2: Deelnemersbestanden die ten behoeve van de applicatie gebruikt worden zijn anoniem
    Zie bij het bovenstaande punt beschreven.Wanneer een applicatie wordt getest, kan gebruik gemaakt worden van deelnemersbestanden. Om de deelnemer te beschermen, wordt hierbij enkel gebruik gemaakt van anonieme bestanden.
  3. SEC_3: allowSettingUservariablesThroughUrl heeft default waarde False
    In oudere versies van Futurama was het mogelijk om objecten binnen het Futurama model een bepaalde waarde te geven via de URL. Dit wordt nu niet meer toegestaan. Voor compatibiliteits redenen is het mogelijk om het oude gedrag te handhaven. Dit is echter niet het gewenste gedrag. In onze opleveringen staan we dus standaard dit gedrag niet toe. 
  4. SEC_4: onlyAllowCallsToVisibleButtons heeft default waarde True
    Dit punt dwingt af dat alleen op knoppen binnen een Futurama applicatie geklikt worden die daadwerkelijk voorkomen op de betreffende pagina. De niet gewenste configuratie is als er ook knoppen op andere pagina's in het Futurama model geklikt kan worden.
  5. SEC_5: Deelnemer gegevens encryptie vindt plaats met unieke SALT waarde per deelnemer
    Om gegevens van deelnemers goed te beveiligen, hebben we als beleid om deze te versleutelen. Versleuteling kan op twee manieren. Manier 1 is om voor elke deelnemer dezelfde twee wachtwoorden te kiezen. Manier 2 is een veiligere manier waarbij er een wachtwoord gebruikt wordt dat voor alle deelnemers gelijk is, en een deelnemer afhankelijk wachtwoord (de zogenaamde SALT-waarde). We hebben als beleid om voor deze manier van versleutelen van deelnemer bestanden te kiezen.