Laatst bijgewerkt: juni 2023
Als leverancier van websites en webshops beseffen wij welke rol wij hebben in het aanbieden van een professioneel CMS systeem, en zo ook de gedeelde verantwoordelijkheid voor een veilig beheer van deze gegevens. Hierbij doen wij ons best om gepaste veiligheidsmaatregelen te bieden om ons systeem en werkprocessen zo veilig mogelijk te maken. Hierbij blijven wij kijken naar ontwikkelingen, en zal het systeem doorlopend ontwikkelen.
Alle onze servers zijn redundant uitgevoerd. Dat wil zeggen dat er twee harde schijven zijn die elkaar spiegelen. Dat betekent in de praktijk dat op het moment dat de ene harde schijf kapot gaat, neemt de andere harde schijf het direct over, zonder downtime.
De dagelijkse back-ups worden door ons verzorgd, en worden op een externe server buiten het netwerk voor langere tijd opgeslagen. Dit betreffen volledige server back-ups, van de websites, tot bestanden tot de email en diens settings.
Daarnaast worden dagelijks op meerdere momenten spiegel back-ups gemaakt van de gehele server, die eenvoudig terug te zetten zijn. Deze back-ups zijn wel gericht op de gehele server voor alle klanten, niet op account niveau. Dit zal alleen bij calamiteiten toegepast worden…
Er zijn altijd wel mogelijkheden om specifieke data & bestanden handmatig terug te zetten, dit op aanvraag. Hierbij kunnen wij vergoeding vragen.
Wanneer eindklanten een account maken op de website, bewaren wij de standaard NAW gegevens in de database. Wij bewaren nooit betalingsgegevens zoals bankrekeningen of creditkaart nummers, slechts een betalings-referentie ID naar de betaalprovider bij een order. Alle wachtwoorden wordt meerdere manier gehashed en met een moderne methode encryped op militair niveau. NAW gegevens van de klant gegevens zijn wel leesbaar in het systeem en database.
Al onze websites kunnen worden voorzien van een SSL certificaat. Standaard gebruiken wij hier certificaten van ‘Lets Encryped’ voor, die wij kosteloos aanbieden. Ook kunnen wij betaalde certificaten verzorgen. De website is dan niet meer bereikbaar via http:// maar alleen nog via https:// ook te herkennen aan met een slotje in de adresbalk (s staat voor secure) . Met een SSL certificaat wordt alle communicatie tussen bezoeker en de website versleuteld, en wordt nagenoeg onleesbaar voor meekijkers.
De SSL versleutelde backoffice toegang van ons Eblocks CMS wordt afgevangen met een combinatie van een unieke URL, gebruikersnaam en wachtwoord, welke encryped is opgeslagen in de database. Daarnaast kunnen alleen gebruikers toegang krijgen tot de Eblocks backoffice vanaf een geverifieerd IP adres.
Standaard verloopt al onze email die wij hosten op onze servers via spamexperts, een accurate externe spamfilter dienst. Alle e-mails die na de Spam Experts filter binnenkomt op onze servers worden nogmaals gescand op spam & fishing, etc. *
Alle communicatieverbindingen tussen een mailclient en onze mailserver dienen veilig middels SSL/TLS of StartTLS te worden opgezet. Hierdoor is het (bijna) onmogelijk om de bericht communicatie tijdens transport tussen mailclient en server uit te lezen.
* Bovenstaand geldt niet (standaard) als er gekozen wordt voor bijv een MS365 opzet.
Wel goed om te weten is dat het verzenden van email nooit gezien mag worden als veilig. Email kan je zien als een ansichtkaart: Iedere postbode die de kaart in handen krijgt, kan openlijk lezen wat er instaat, en van / naar wie deze verzonden is. Tijdens verzending van een email van verzender naar ontvanger kan de email meerdere tussenstations passeren.
Alle uitgaande email die via onze webservers verlopen, worden ook gescreend door mailfilters via een mailproxy. Bij standaard imap / pop3 email (zoals geinstalleerd op telefoon of outlook pc) verloopt de verzending via een mailproxy van onze webhosting partner Transip. Alle emails die verzonden worden via een eblocks CMS module, zoals een klant aanmeld bevestiging e-mail, order confirmatie-email of een nieuwsbrief, maken wij gebruik van de mailproxy van Amazon SES.
Deze mail proxies vinden het belangrijk om een goede reputatie te behouden, en screenen alle te verwerken email op spam, virusssen en correcte technische settings, en kunnen uitgaande email tegenhouden als een van deze punten niet lijken te kloppen.
Standaard is er een limiet ingesteld van max 200 uitgaande emails per emailaccount per dag, wat ruim genoeg is voor normaal gebruik. (dit is aan te passen). Hiermee kunnen we voorkomen dat een misbruikt account grote hoeveelheden spam kan verzenden, en de webserver blacklist op een blacklist beland.
Via het CMS is het mogelijk om de zogenaamde cookie opt-in te activeren. Gebruikt u trackers waarmee u analytische data verzameld en al dan niet met derden deelt, dient uw bezoeker altijd eerst toestemming te geven voor u analytische data mag verzamelen
Ingezonden formulieren, orders en klantgegevens van uw klanten worden opgeslagen in de onze database. Het is aan u te besluiten hoe lang deze data bewaard dient te blijven. Als shop systeem bewaren wij de accountdata van uw klanten in principe zolang de webshop actief is. Alle wachtwoorden van eindklanten worden met zeer sterke encryptie opgeslagen, en kunnen niet terug ontsleuteld worden naar een leesbaar formaat. (ook niet bij een gewenste export). Wij bewaren wel bedragen en transactie ID’s bij de orders, maar nooit bank of creditcard informatie
Wij verzenden toegangsdata, zoals bijvoorbeeld wachtwoord en gebruikersnaam, altijd gescheiden. Dat kan een combinatie zijn van een pas als signal/whatsapp, email en een Onetimer. De Onetimer is een SSL beveiligde website die een unieke URL genereerd met bijvoorbeeld een deel van de accountinformatie die voor korte periode de data bewaard, en slechts 1x geopend kan worden. Zorg dat uw password manager bij de hand heeft om de data te kopiëren.
Ons systeem is door de jaren heen opgebouwd met vele pagina's code. Grotendeels is dit eigen code, maar ook wij maken gebruik van opensource code. Bijvoorbeeld de tekst editor waar wij dankbaar gebruik van maken en die een andere partij ontwikkeld heeft. In de backoffice zijn maatregelen genomen dat er niet zomaar scripts van buitenaf geladen zouden kunnen worden, en zijn maatregelen getroffen tegen crossscripting. De gehele code van ons Eblocks CMS is herzien om bekende kwetsbaarheden als ‘mysql injectie’ te voorkomen. Recentelijk hebben wij een penetratie test laten uitvoeren en succesvol doorstaan.
Zowel op onze servers, als op het hosting netwerk maken wij gebruik van firewalls. Daarnaast worden verdachte inlogpogingen gescand en geblacklisted. De server is voorzien van monitoring tools, waarbij we de uptime in de gaten houden. Het is alleen mogelijk om met beveiligde verbinding in te loggen op onze servers.
Ondanks al deze maatregelen, is het goed om te beseffen dat niets in de IT echt veilig is. Daarom is het altijd van belang om ook zelf goed te kijken naar uw lokale omgeving, en nooit zomaar een bijlage in een verdachte email opent. En dat u uw personeel goede instructies geeft. Deel ook NOOIT gebruikersaccounts met elkaar, en gebruik goede passwordmanagers..
Het upgraden van uw digitale veiligheid kan nog verder gaan. Denk aan een dedicated serveromgeving (zonder de server te moeten delen met andere klanten), maar ook het opzetten van een spiegelservers(s) in andere datacentra. Of loadbalancing om pieken beter te verdelen... Op verzoek kunnen wij gericht naar uw case kijken wat gewenst is.
Soms is het nodig voor een project om gevoelige data te delen met ons als ontwikkelaar. Hiervoor zorgen wij dat wij op gepaste methode letten op de veiligheid van de gedeelde data, en deze informatie nooit bewust zonder uw toestemming aan derden zullen verstrekken, mits het binnen de wetgeving valt. Het kan wel zijn dat we -in goed overleg - data moeten delen met bijvoorbeeld een derde partij / uitvoerder als dit vereist is voor het project.
Veel technische processen die wij onderhouden kunnen gezien worden als bedrijf kritisch voor de uptime van de website en email. Voor goed onderhoud en ondersteuning maken wij ook gebruik van specialisten die toegang kunnen hebben tot bijvoorbeeld de webserver. Hiervoor zorgen wij voor unieke toegang met bijbehorende rechten die deze specialist nodig heeft, gewaarborgd met een public key.
Uw gegevens worden gedeeld met samenwerkende partijen zoals onze boekhouder en transport bedrijven . Wij zijn wettelijk verplicht om onze administratie voor minimaal 7 jaar te bewaren, na laatste verlenging-/betalingstermijn. Wij delen uw gegevens alleen voor het kunnen uitvoeren van onze primaire taken , en niet met derden voor promotionele doeleinden zonder uw bewuste toestemming.
· Onze boekhouder / Accountant
· Online boekhoud software
· Telefoondiensten
· Betaaldiensten (zoals mollie)
· Technische Partners waarmee wij samenwerken
· Drukwerk / promotiepartners
· Transport diensten bij verzending goederen
· Domeinnaam register partners
· Email worden gedeeld met Emailproxy- en hostingpartners
(zoals Amazon, spamexperts en Transip)
Verwerkers verantwoordelijke
Binnen Art Digital is Remco Vogelpoel (eigenaar) de verwerkers verantwoordelijke(FG)
Art Digital
Brieneshof 7
6715DD Ede
0318-623280
info@artdigital.nl