ICT richtlijnen gebruik Loket.nl

Volgen

We ontvangen met enige regelmaat een vragenlijst van een administratiekantoor waarin onze ICT richtlijnen worden uitgevraagd. De meest voorkomende vragen met de bijbehorende antwoorden hebben we hieronder voor je opgesomd.

Loket beschikt over de ISAE-verklaring en als enige online salarisoplossing in Nederland over het Zeker Online Keurmerk. Wat dat precies betekent kun je nalezen op deze site.


Hoe is het licentiemodel opgebouwd?
Ons licentiemodel is opgebouwd aan de hand van het daadwerkelijk aantal jaaropgaven. 


Hoe is het support proces ingericht?
Het support proces is ingericht volgens een 1e, 2e en 3e lijns support helpdesk. Vragen kunnen zowel telefonisch als per e-mail worden ingediend en worden vastgelegd in het ticketsysteem (Zendesk).


Hoe ziet jullie roadmap er uit?
Deze roadmap wordt tijdens onze kwartaalbijeenkomsten besproken. De inhoud hiervan wordt gedeeld via het helpdeskportaal via het volgende artikel: https://helpdesk.loket.nl/hc/nl/articles/360011524379-Roadmap-2020


Hoe ziet de release-kalender er uit? En wat is de frequentie van releases (major/minor)?
De ontwikkeling van Loket.nl vindt plaats via tweewekelijkse oplevermomenten. Nieuwe functionaliteiten worden via nieuwsbrieven en ons helpdeskportaal gecommuniceerd.


Wat is het toegestane onderhoudswindow?
Donderdag(21.30-22.30) en incidenteel zondag (19.00-22.00 uur)


Hoe ziet jullie capaciteitsbeheer er uit? Hieronder wordt verstaan:
- Werklastbeheer (geheugengebruik, aantal jobs, CPU verbruik)
- Middelenbeheer (storage)
- Capaciteit (meet- en financiële gegevens)
Er vindt continu monitoring plaats. Als blijkt dat er structureel te weinig resources zijn wordt dit direct aangepast. Afhankelijk van de aanpassing vindt dit plaats binnen enkele uren tot dagen.


Hoe is het performance management ingericht?
Ook hier vindt continu monitoring plaats. Dit met behulp van verschillende tooling zoals PRTG en Pingdom. Deze informatie is niet opvraagbaar.


Ondersteunt Loket.nl de applicatie Microsoft On-premises?
Nee


Wat voor oplossing is Loket.nl?
Loket.nl is te typeren als SAAS.


Hoe is de oplossing opgebouwd?
Eigen databases in beheer bij KPN.


Is Loket.nl gebaseerd op een multi tenant architectuur? 
ja, daarbij is de data strikt gescheiden op verschillende manieren. Alle data is onderheven aan autorisatie controles.

Maakt Loket.nl gebruik van een standaard architectuur?
Nee. We kennen een eigen architectuur.

 

Does the solution use any standard industry reference architecture?
Hoe wordt de regionale opslag binnen de EU ondersteund?
Regionale dataopslag wordt wel gefaciliteerd middels hosting via KPN in Nederland.

De geback-upte data dient minimaal op twee verschillende locaties te worden opgeslagen en binnen Europa te blijven. Op welke locaties worden de back-ups opgeslagen?
Amsterdam en Waalwijk.

De leverancier dient inzicht te geven in haar back-upstrategie en de daarbij behorende retentietijden.
Wekelijks (full) dagelijks (incremental) en per uur (transactie)


Is het mogelijk om een melding toe te voegen als er onderhoud wordt uitgevoerd of als er een storing is?
Ja

Kan de toepassing offline worden gebruikt en welke data wordt dan offline opgeslagen?
Nee


Ondersteunen jullie maatwerk?
Nee, wij voorzien alleen in een algemene oplossing die door elke klant te gebruiken  is.

 

Is alle data uit de applicatie te ontsluiten anders dan via een GUI?
Ja, grotendeels via onze API. Zie hiervoor https://developer.loket.nl/


Welke mechanismen (bijvoorbeeld directe database toegang, webservices) ondersteunt de applicatie waarmee data kan worden ontsloten? 
API, FTP


Is het mogelijk om data te anonimiseren ten behoeven van testdoeleinden?
Loket.nl faciliteert niet bij het anonimiseren ten behoeven van testdoeleinden.


Op welke wijze is privacy by design in de applicatie en het ontwikkelproces gewaarborgd? 
In de ontwikkelomgeving worden geen daadwerkelijke persoonsgegevens gebruikt.


Op wat voor wijze is privacy by default in de applicatie vormgegeven?
Binnen de applicatie wordt gebruik gemaakt van rechten(sets) die actief moeten worden toegekend aan gebruikers.


Op wat voor wijze is geregeld dat persoonsgegevens (bijvoorbeeld na het verlopen van de wettelijke bewaartermijn) worden verwijderd of worden geanonimiseerd?
Wettelijke bewaartermijnen worden hierbij in acht genomen. De provider kan zelf kiezen of deze data automatisch opgeschoond dient te worden.


Op wat voor wijze is geregeld dat persoonsgegevens in een niet-productie omgeving zijn geanonimiseerd of gepseudonimeerd?
In de niet-productie omgeving wordt geen gebruik gemaakt van daadwerkelijke persoonsgegevens. In incidentele gevallen wordt productie data geanonimiseerd middels een script. 


Welke bijzondere persoonsgegevens worden opgeslagen bij de leverancier?
Zie hiervoor de verwerkersovereenkomst


Welke (sub)verwerkers worden door de leverancier ingeschakeld om de dienst/applicatie beschikbaar te stellen?
Qwoater (DMS)


Er dient een “Incident Notification Procedure” te zijn om BDO te informeren omtrent beveiligingsincidenten en mogelijke datalekken. Deze notificatie dient binnen 24 uur te gebeuren. Deze procedure is beschikbaar?
Zie hiervoor de ISAE3402 verklaring


Is er een eigen ontwikkelomgeving beschikbaar voor mijn kantoor?
Nee


Middels welke encryptietechniek wordt het dataverkeer versleuteld?
TLS 1.2

 

Wat is de URL waarmee de applicatie ter beschikking wordt gesteld?
Dit is afhankelijk van de provider. In de meeste gevallen is dat:
https://online.loket.nl/Vsp.Prd.Loket/Account/LogOn
https://online.loket.nl/Vss.Prd.Loket/Account/LogOn


Is de applicatie meertalig?
Ja, we ondersteunen op dit moment naast Nederlands, Engels en Duits.


Wat zijn de prestatieverwachtingen?
Response tijden worden door de gebruiker als snel ervaren.


Welke doelgroep maakt gebruik van de applicatie?
Administratie- en accountantskantoren, werkgevers binnen het MKB.

Met welke frequentie bezoek de doelgroep de applicatie?
Dagelijks.

 

Wat voor soort interactie kan er worden verwachten? (Denk aan het verschil tussen alleen browsen versus uploaden van grote bestanden)
Het kunnen uitvoeren van de HR- Salarisadministratie. 


Ondersteunt de applicatie een SSO inlog? (Single Sign On)
Ja


Hoe beschermt de applicatie gevoelige data?
Data is gedeeltelijke encrypted in de database (bijvoorbeeld wachtwoorden). Daarnaast zijn alle back-ups encrypted.


Op wat voor wijze voorkomt de toepassing de risico's zoals die door het OWASP zijn gedefinieerd?
We hebben een strikt beveiligingsbeleid waar ook ontwikkelrichtlijnen in zijn opgenomen. Er vindt continue monitoring plaats o.b.v. de sensoren van Fox IT en dagelijkse penetratietesten door Whitehat Security (buiten reguliere werktijden).


Wat voor soort data wordt er opgeslagen?
Documenten (Word/PDF/etecera) en afbeeldingen (pasfoto’s, logo’s)

 

Wat is het verwachte datavolume in aantallen en GB’s per jaar?
120 GB opslag

 

De online dienst van de leverancier dient beschikbaar te worden gesteld in een beveiligd datacenter. Is dat ook zo?
We maken gebruik van twee redundant uitgevoerde datacenters van KPN die ISO 27001 gecertificeerd zijn.


De toegang tot de datacenters moet 24 uur per dag, 7 dagen per week worden bewaakt door een professionele beveiligingsdienst, elektronische beveiligde toegangsdeuren en videocamera’s. Is dat het geval?
Ja


In het datacenter moeten voorzieningen aanwezig zijn tegen brand- en waterschade. Is dat het geval?
Ja


Het datacenter moet zijn voorzien van een redundant uitgevoerde regeling van de stroomvoorziening, temperatuur en luchtvochtigheid. Is dat het geval?
Ja


De leverancier dient te beschikken over een 2e datacenter dat in geval van uitwijk- en calamiteiten kan worden ingezet voor de online dienst. Is dat het geval?
Ja


Het 2e datacenter dient op minimaal 10 km afstand van het productie datacenter te liggen. Is dat het geval? 
Ja


De leverancier dient een beschikbaarheid percentage van de online dienst te garanderen van minimaal 99,8% per maand. Is dat het geval?
Ja

 

De datacenter locaties van de leverancier zijn ISO 27001 gecertificeerd. De leverancier dient de scope van de certificering aan te geven.
Zie ISAE3402 verklaring


De servers van de leverancier bevinden zich achter een firewall om ongeautoriseerde toegang via het internet te voorkomen. Is dat het geval?
Ja


De leverancier dient zorg te dragen dat de gehele ICT- infrastructuur vrij blijft van malware (virussen, spyware, rootkits, trojans etc.). Is dat het geval?
Ja


De leverancier dient zorg te dragen dat de serverinfrastructuur actueel blijft voor wat betreft patches en servicepacks van het besturingssysteem en applicaties. Is dat het geval?
Ja

 

De online dienst dient te beschikken over redundante internetverbindingen. Dit houdt in dat er meerdere lijnen zijn, zodat bij uitval van één lijn de communicatie via een andere route kan doorlopen. Is dat het geval?
Ja

 

Al het dataverkeer moet worden geanalyseerd door Intrusion Prevention System (IPS), application layer firewall of een ander advanced threat protection mechanisme.

Indien het verkeer afwijkt van het toegestane patroon moet het betreffende verkeer direct worden geblokkeerd. Dit om aanvallen van hackers snel te kunnen ‘blokkeren’. Wat voor security voorziening wordt hiervoor gebruikt?

Wij beschikken over redundant uitgevoerde IPS via KPN


De gehele ICT- infrastructuur moet compleet redundant zijn uitgevoerd om een hoge beschikbaarheid te kunnen garanderen en nergens een bottleneck te hebben. Is dat het geval?
Ja

 

Zijn er kengetallen, beschikbaarheidsindicatoren en/of beschrijvingen van de toepassing voorhanden op basis waarvan de gezondheid en operationele status van de toepassing kan worden gevolgd? Is het duidelijk op welke onderdelen van de applicatie functionele auditing moet worden toegepast?
Ja

 

Is de toepassing voorzien van een mechanisme waarmee bij piekbelasting het gedrag automatisch verandert? Kan de toepassing bijvoorbeeld verzoeken in een wachtrij plaatsen en deze verwerken als de algemene performance dit toestaat? Denk hierbij aan de mogelijkheid tot autoscaling.
Ja (geen autoscaling, wel queueing)

 

Applicaties/informatiesystemen dienen HTML 5 compliant te zijn (in geval van een web applicatie), waarbij geldt dat de applicatie responsive moet zijn. Is de applicatie HTML5 compliant?
Ja


Er mag geen afhankelijkheid zijn van componenten welke op de client geïnstalleerd moeten worden en geen onderdeel zijn van het OS (denk daarbij aan ActiveX componenten of Silverlight componenten). Is de applicatie afhankelijk van componenten die niet standaard op het OS zijn geïnstalleerd?
Nee



Hoe is foutafhandeling vormgegeven indien de applicatie afhankelijk is van andere applicaties?
Er wordt een melding getoond dat externe data niet opgehaald kan worden.



 

 

 

Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 0 van 0