We ontvangen met enige regelmaat een vragenlijst van een administratiekantoor waarin onze ICT richtlijnen worden uitgevraagd. De meest voorkomende vragen met de bijbehorende antwoorden hebben we hieronder voor je opgesomd.
Loket beschikt over de ISAE-verklaring en besteed veel aandacht aan de veiligheid van de applicatie. Wat dat precies betekent kun je nalezen op deze site.
Je kunt deze verklaring aanvragen via het contactformulier op de website.
Hoe is het licentiemodel opgebouwd?
Ons licentiemodel is opgebouwd aan de hand van het daadwerkelijk aantal jaaropgaven.
Hoe is het support proces ingericht?
Het support proces is ingericht volgens een 1e en 2elijns helpdesk. Vragen kunnen zowel telefonisch als per e-mail worden ingediend en worden vastgelegd in het ticketsysteem (Zendesk).
Hoe ziet de release-kalender er uit? En wat is de frequentie van releases?
De ontwikkeling van Loket.nl vindt plaats via tweewekelijkse oplevermomenten. Nieuwe functionaliteiten worden via nieuwsbrieven en ons helpdeskportaal gecommuniceerd.
Wat is het toegestane onderhoudswindow?
Maandagavond(21.30-22.30) en incidenteel zondag (19.00-22.00 uur)
Hoe ziet jullie capaciteitsbeheer er uit? Hieronder wordt verstaan:
Er vindt continu monitoring plaats. Microsoft Azure stelt ons in staat om automatisch op en af te schalen qua capaciteit binnen bepaalde grenzen. Als blijkt dat er structureel te weinig resources zijn wordt dit direct aangepast. Afhankelijk van de aanpassing vindt dit plaats binnen enkele uren tot dagen.
Hoe is het performance management ingericht?
Ook hier vindt continu monitoring plaats. Dit met behulp van verschillende tooling zoals Application Insights. Deze informatie is niet opvraagbaar.
Ondersteunt Loket.nl de applicatie Microsoft On-premises?
Nee
Wat voor oplossing is Loket.nl?
Loket.nl is te typeren als SAAS.
Hoe is de oplossing opgebouwd?
Eigen databases gehost in Microsoft Azure.
Is Loket.nl gebaseerd op een multi tenant architectuur?
Ja, daarbij is de data strikt gescheiden op verschillende manieren. Alle data is onderheven aan autorisatie controles.
Maakt Loket.nl gebruik van een standaard architectuur?
Nee. We kennen een eigen architectuur.
De geback-upte data dient minimaal op twee verschillende locaties te worden opgeslagen en binnen Europa te blijven. Op welke locaties worden de back-ups opgeslagen?
We zitten in West-Europe (Amsterdam) en gebruiken alleen maar services die geconfigureerd kunnen worden om geen data buiten deze regio op te slaan, zoals op deze pagina beschreven. https://azure.microsoft.com/en-us/explore/global-infrastructure/data-residency/#more-information"
De leverancier dient inzicht te geven in haar back-upstrategie en de daarbij behorende retentietijden.
Maandelijks (full), wekelijkse (full), point-in-time restore (7 dagen). De full restores worden drie maanden bewaard.
Is het mogelijk om een melding toe te voegen als er onderhoud wordt uitgevoerd of als er een storing is?
Ja
Vanuit waar versturen we mails nu met Amazon?
Wij versturen de mail vanaf het eu-central-1 datacenter van amazon, dat is dus vanuit Frankfurt. https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html
Kan de toepassing offline worden gebruikt en welke data wordt dan offline opgeslagen?
Nee
Ondersteunen jullie maatwerk?
Nee, wij voorzien alleen in een algemene oplossing die door elke klant te gebruiken is.
Is alle data uit de applicatie te ontsluiten anders dan via een GUI?
Ja, grotendeels via onze API. Zie hiervoor https://developer.loket.nl/
Welke mechanismen (bijvoorbeeld directe database toegang, webservices) ondersteunt de applicatie waarmee data kan worden ontsloten?
API, FTP
Is het mogelijk om data te anonimiseren ten behoeven van testdoeleinden?
Loket.nl faciliteert niet bij het anonimiseren ten behoeven van testdoeleinden.
Op welke wijze is privacy by design in de applicatie en het ontwikkelproces gewaarborgd?
In de ontwikkelomgeving worden geen daadwerkelijke persoonsgegevens gebruikt.
Op wat voor wijze is privacy by default in de applicatie vormgegeven?
Binnen de applicatie wordt gebruik gemaakt van rechten(sets) die actief moeten worden toegekend aan gebruikers.
Op wat voor wijze is geregeld dat persoonsgegevens (bijvoorbeeld na het verlopen van de wettelijke bewaartermijn) worden verwijderd of worden geanonimiseerd?
Wettelijke bewaartermijnen worden hierbij in acht genomen. De provider kan zelf kiezen of deze data automatisch opgeschoond dient te worden.
Op wat voor wijze is geregeld dat persoonsgegevens in een niet-productie omgeving zijn geanonimiseerd of gepseudonimeerd?
In de niet-productie omgeving wordt geen gebruik gemaakt van daadwerkelijke persoonsgegevens. In incidentele gevallen wordt productie data geanonimiseerd middels een script.
Welke bijzondere persoonsgegevens worden opgeslagen bij de leverancier?
Zie hiervoor de verwerkersovereenkomst
Welke (sub)verwerkers worden door de leverancier ingeschakeld om de dienst/applicatie beschikbaar te stellen?
Qwoater (DMS)
Is er een eigen ontwikkelomgeving beschikbaar voor mijn kantoor?
Nee
Middels welke encryptietechniek wordt het dataverkeer versleuteld?
TLS 1.2 met de volgende Cipher suites:
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
Wat is de URL waarmee de applicatie ter beschikking wordt gesteld?
https://login.loket.nl/
Is de applicatie meertalig?
Ja, we ondersteunen op dit moment naast Nederlands, Engels en Duits.
Wat zijn de prestatieverwachtingen?
Response tijden worden door de gebruiker als snel ervaren.
Welke doelgroep maakt gebruik van de applicatie?
Administratie- en accountantskantoren, werkgevers binnen het MKB.
Met welke frequentie bezoek de doelgroep de applicatie?
Dagelijks.
Wat voor soort interactie kan er worden verwachten? (Denk aan het verschil tussen alleen browsen versus uploaden van grote bestanden)
Het kunnen uitvoeren van de HR- Salarisadministratie.
Ondersteunt de applicatie een SSO inlog? (Single Sign On)
Ja
Hoe beschermt de applicatie gevoelige data?
Data is gedeeltelijke encrypted in de database (bijvoorbeeld wachtwoorden). Daarnaast zijn alle back-ups encrypted.
Op wat voor wijze voorkomt de toepassing de risico's zoals die door het OWASP zijn gedefinieerd?
We hebben een strikt beveiligingsbeleid waar ook ontwikkelrichtlijnen in zijn opgenomen. Er vindt continue monitoring plaats door onze security partner Pinewood en dagelijkse penetratietesten door Whitehat Security (buiten reguliere werktijden).
Wat voor soort data wordt er opgeslagen?
Documenten (Word/PDF/etecera) en afbeeldingen (pasfoto’s, logo’s)
De online dienst van de leverancier dient beschikbaar te worden gesteld in een beveiligd datacenter. Is dat ook zo?
We maken gebruik van de diensten van Microsoft Azure van Microsoft die ISO 27001 en ISO 27018 gecertificeerd zijn. Zie voor meer informatie: https://learn.microsoft.com/en-us/azure/compliance/offerings/offering-iso-27001
De toegang tot de datacenters moet 24 uur per dag, 7 dagen per week worden bewaakt door een professionele beveiligingsdienst, elektronische beveiligde toegangsdeuren en videocamera’s. Is dat het geval?
Ja
In het datacenter moeten voorzieningen aanwezig zijn tegen brand- en waterschade. Is dat het geval?
Ja
Het datacenter moet zijn voorzien van een redundant uitgevoerde regeling van de stroomvoorziening, temperatuur en luchtvochtigheid. Is dat het geval?
Ja
De leverancier dient te beschikken over een 2e datacenter dat in geval van uitwijk- en calamiteiten kan worden ingezet voor de online dienst. Is dat het geval?
Ja
Het 2e datacenter dient op minimaal 10 km afstand van het productie datacenter te liggen. Is dat het geval?
Ja
De leverancier dient een beschikbaarheid percentage van de online dienst te garanderen van minimaal 99,8% per maand. Is dat het geval?
Ja
De datacenter locaties van de leverancier zijn ISO 27001 gecertificeerd. De leverancier dient de scope van de certificering aan te geven.
Zie ISAE3402 verklaring
De servers van de leverancier bevinden zich achter een firewall om ongeautoriseerde toegang via het internet te voorkomen. Is dat het geval?
Ja
De leverancier dient zorg te dragen dat de gehele ICT- infrastructuur vrij blijft van malware (virussen, spyware, rootkits, trojans etc.). Is dat het geval?
Ja
De leverancier dient zorg te dragen dat de serverinfrastructuur actueel blijft voor wat betreft patches en servicepacks van het besturingssysteem en applicaties. Is dat het geval?
Ja
De online dienst dient te beschikken over redundante internetverbindingen. Dit houdt in dat er meerdere lijnen zijn, zodat bij uitval van één lijn de communicatie via een andere route kan doorlopen. Is dat het geval?
Ja
Al het dataverkeer moet worden geanalyseerd door Intrusion Prevention System (IPS), application layer firewall of een ander advanced threat protection mechanisme.
Indien het verkeer afwijkt van het toegestane patroon moet het betreffende verkeer direct worden geblokkeerd. Dit om aanvallen van hackers snel te kunnen ‘blokkeren’. Wat voor security voorziening wordt hiervoor gebruikt?
Microsoft Azure application gateway WAF v2.
De gehele ICT- infrastructuur moet compleet redundant zijn uitgevoerd om een hoge beschikbaarheid te kunnen garanderen en nergens een bottleneck te hebben. Is dat het geval?
Ja
Zijn er kengetallen, beschikbaarheidsindicatoren en/of beschrijvingen van de toepassing voorhanden op basis waarvan de gezondheid en operationele status van de toepassing kan worden gevolgd? Is het duidelijk op welke onderdelen van de applicatie functionele auditing moet worden toegepast?
Ja
Is de toepassing voorzien van een mechanisme waarmee bij piekbelasting het gedrag automatisch verandert? Kan de toepassing bijvoorbeeld verzoeken in een wachtrij plaatsen en deze verwerken als de algemene performance dit toestaat? Denk hierbij aan de mogelijkheid tot autoscaling.
Ja (autoscaling en queueing)
Applicaties/informatiesystemen dienen HTML 5 compliant te zijn (in geval van een web applicatie), waarbij geldt dat de applicatie responsive moet zijn. Is de applicatie HTML5 compliant?
Ja
Er mag geen afhankelijkheid zijn van componenten welke op de client geïnstalleerd moeten worden en geen onderdeel zijn van het OS (denk daarbij aan ActiveX componenten of Silverlight componenten). Is de applicatie afhankelijk van componenten die niet standaard op het OS zijn geïnstalleerd?
Nee
Hoe is foutafhandeling vormgegeven indien de applicatie afhankelijk is van andere applicaties?
Er wordt een melding getoond dat externe data niet opgehaald kan worden.