Security policy QIT online

Laatste update: 28/11/2019

Inleiding

 

QIT-online is een webtoepassing ter ondersteuning van hulpverleners in de geestelijke gezondheidszorg, gebouwd door QIT bvba.

Omdat in QIT-online belangrijke en zeer persoonlijke informatie wordt verzameld en bewaard, spant QIT bvba zich tot het uiterste in om de juistheid van gegevens te garanderen en om gegevens alleen ter beschikking te stellen aan personen die daartoe geautoriseerd zijn.

Dit document biedt een overzicht van de maatregelen die QIT bvba heeft genomen om de kwaliteit en beveiliging van informatie te garanderen en ongeautoriseerd gebruik te voorkomen.

 

QIT-online beveiliging

 

Veilige verbindingen

De QIT-online web toepassing is enkel bereikbaar via een versleutelde HTTPS verbinding. Er wordt gebruik gemaakt van het sterke AES-128 bit encryptie algoritme. Alle communicatie tussen de laptop, desktop, tablet of mobiele telefoon van de hulpverlener en de applicatie wordt dus versleuteld. Hetzelfde geldt voor alle verbindingen die tot stand gebracht worden door de cliënten van deze hulpverleners.

 

Afgeschermde toegang

QIT-online gebruikt salted hashed paswoorden, met voor elk paswoord een eigen salt. Een salt is een random getal dat door software gegenereerd wordt om de versleuteling van paswoorden te versterken. Alle paswoorden worden op die manier versleuteld alvorens ze worden opgeslagen in de databank.

 

Beveiligde applicatie-omgeving

Alle programmacode werd uit de webroot verwijderd. Alle gegevens die de gebruiker invult, wordt gefilterd, ongeacht van waar deze komt.

 

Gescheiden omgevingen met gecontroleerde overdracht

QIT-online beschikt over strikt gescheiden omgevingen voor software ontwikkeling (development), user acceptance testing (staging) en productie. Overdracht van code tussen deze omgevingen gebeurt op een gecontroleerde manier na autorisatie van QIT bvba.

 

Technische beveiliging in de ontwikkelingsmethodologie (PHP Symfony)

De webapplicatie van QIT-online is gebouwd met de programmeertaal PHP en specifiek met het Symfony framework (https://symfony.com/). Er wordt een REST API gebruikt als protocol voor communicatie tussen de back-end applicatie en de front-end applicatie (deze is gebouwd met React). Het Symfony framework voorziet belangrijke principes ter beveiliging. Binnen de applicatie worden de API endpoints beveiligd via stateless authorization (JWT).

 

Subverwerkers QIT-online

 

 

DigitalOcean beveiliging

 

QIT-online wordt gehost bij DigitalOcean, één van de toonaangevende hosting providers wereldwijd. DigitalOcean levert uitgebreide garanties op gebied van kwaliteit, veiligheid en bescherming van de privacy.

 

ISO/IEC 27001:2013 kwaliteitslabel DigitalOcean

DigitalOcean is sinds 2018 in het bezit van een ISO/IEC 27001:2013 certificaat.

ISO/IEC 27001:2013 is het resultaat van een uitgebreide externe audit op het gebied van Security Management. Dit certificaat biedt de meest verregaande garanties voor de veiligheid van de hostingomgeving, vergelijkbaar met wat banken aan hun klanten aanbieden.

De ISO 27001:2013 norm, ontstaan uit de Engelse "Code of Practice for Information Security Management (BS7799)”, verwijst naar een management systeem speciaal voor informatieveiligheid (Information Security Management System ISMS) en specificeert hoe men security risico's aantoonbaar kan beheersen.

 

De ISO 27001:2013 norm betreft alle aspecten van informatiebeveiliging:

  • Beleidsmatig (management)

  • Organisatorisch (verantwoordelijkheden)

  • Bedrijfsmiddelen (infrastructuur, netwerk, systemen en overige bedrijfsmiddelen)

  • Personeel (huisregels, fouten, diefstal, fraude, misbruik)

  • Fysiek (sloten, brandbeveiliging)

  • Communicatie en operatie (beheer van systemen, processen en procedures)

  • Toegangscontrole (paswoord, biometrie)

  • Systeem- en softwareontwikkeling en onderhoud (documentatie, processen)

  • Continuïteit (calamiteiten voorzieningen)

  • Regelgeving (Wet Computercriminaliteit, Wet Bescherming Persoonsgegevens)

 

Bekijk hier het DigitalOcean ISO/IEC 27001:2013 certificaat.

 

Terms of Service Agreement: https://www.digitalocean.com/legal/terms-of-service-agreement/

Privacy Policy: https://www.digitalocean.com/legal/privacy-policy/ 

DMCA Copyright Policy: https://www.digitalocean.com/legal/dmca-copyright-policy/ 

Trademark Notification Policy: https://www.digitalocean.com/legal/trademark-notification-policy/ 

Transparency Report: https://www.digitalocean.com/legal/transparency-report/ 

Law Enforcement Policy: https://www.digitalocean.com/legal/law-enforcement-guidelines/ 

Acceptable Use Policy: https://www.digitalocean.com/legal/acceptable-use-policy/ 

Hatch Terms of Service Policy: https://www.digitalocean.com/legal/hatch-terms-of-service/ 

Marketplace T&C: https://www.digitalocean.com/legal/marketplace-vendor-terms/ 

Data Security: https://www.digitalocean.com/legal/data-security/ 

Certifications: https://www.digitalocean.com/legal/certifications/ 

GDPR: https://www.digitalocean.com/legal/gdpr/ 

Privacy Shield: https://www.digitalocean.com/legal/privacy-shield/ 

Contact Security: https://www.digitalocean.com/legal/contact-security/ 

 

Panenco BVBA beveiliging

 

QIT bvba doet exclusief beroep op Panenco bvba voor alle dienstverlening met betrekking tot de webapplicatie. Deze verantwoordelijkheden betreffen zowel analyse, architectuur, design als software ontwikkeling. Panenco bvba is een professionele dienstverlener met vooraanstaande (internationale) klanten, en draagt confidentialiteit hoog in het vaandel. Om volledig in haar verantwoordelijkheden te voldoen, heeft Panenco bvba (beperkte) toegang tot productiegegevens. De nodige onderlinge overeenkomsten zijn aanwezig om de integriteit van de data te garanderen.

 

https://www.panenco.com/data-security-policy

Updates m.b.t. deze security policy

QIT online behoudt zich het recht om de security policy te wijzigen overheen de tijd.