In meer detail

Beleid

Paragin heeft een uitgebreide set van veiligheidsprocedures over een scala aan onderwerpen. Medewerkers en partners worden geïnformeerd en getraind over deze policies en afwijkingen daarvan worden geregistreerd.

Nieuwe medewerkers nemen deel aan een bewustzijnstrainingen rondom best practices, ISO 27001 en databeveiliging. Intern wordt regelmatig informatie gedeeld over nieuwe ontwikkelingen, uitkomsten uit steekproeven en leermomenten uit incidenten. Het management van Paragin is hier nauw bij betrokken, we zien dit als een kerntaak van Paragin en willen zo richting alle betrokkenen het belang hiervan onderstrepen.

Best practices

Gaat u binnen uw organisatie om met gevoelige persoonsgegevens of neemt u belangrijke summatieve toetsen af? Wij kunnen u helpen om dit proces zo veilig mogelijk binnen uw organisatie in te richten. Onze software biedt ondersteuning voor diverse vormen van authenticatie zodat alleen de juiste personen bij de gegevens kunnen, maar biedt bijvoorbeeld ook de mogelijkheid om uw toetsen zo af te schermen dat ze op een veilige manier kunnen worden afgenomen (met netwerkrestricties, toegang via speciale browsers en meer).

In onze software is het beleid dat gebruikers in principe nergens toegang toe hebben, tot daar expliciet een uitzondering op wordt gemaakt (‘need to know’). Op deze manier kan het nooit gebeuren dat één van uw gebruikers per ongeluk gevoelige gegevens kan inzien.

Monitoring

Alle systemen, netwerken en hardware worden 24/7 actief gemonitord. Bij (mogelijke) problemen of pogingen van derden om binnen te komen, worden diverse alarmsystemen en notificaties naar verschillende niveaus ingezet. Alle acties en requests naar en van servers worden gelogd, en kunnen worden geanalyseerd bij forensisch onderzoek of bijvoorbeeld mogelijke gevallen van (examen)fraude.

Disaster Recovery

Ons Disaster Recovery (DR)-programma verzekert dat onze dienstverlening en softwareproducten ook bij grote incidenten beschikbaar blijven of zo snel mogelijk weer beschikbaar kunnen worden gemaakt. Dit wordt bewerkstelligd door een pakket aan maatregelen zoals off-site backups, een redundant uitgevoerde en geloadbalancete infrastructuur en Disaster Recovery procedures. 

De Paragin API’s zijn SSL-only en men dient geauthenticeerd te zijn om deze aan te kunnen roepen. In een aantal gevallen kunnen scopes en IP-restricties toegevoegd worden aan de API-credentials, zodat data-uitwisseling op een veilige manier gebeurt en alleen die data benaderd mag worden, die men via de API wenst te ontsluiten.

Hosting en on-site security

De software van Paragin wordt via een uitgebreide, in meerdere landen ondergebrachte serverinfrastructuur als SaaS (Software as a Service) geleverd. Alle servers worden gehost in ISO 27001-gecertificeerde datacenters binnen de EER en ook onze off-site backups worden binnen de EER opgeslagen.

Onze datacenters bieden biometrische toegangsbeveiliging, 24/7 fysieke beveiliging, videosurveillance, alarmsystemen, brandbeveiliging alsmede extra energievoorzieningen om stroomuitval op te vangen.

Bescherming en security audits

Ons netwerk is beschermd door firewalls, best-in-class routers, een afgescheiden netwerk voor developers via VPN, SSL HTTPS transport van data over het internet op A+ niveau en network intrusion detectie. Wij controleren en bewaken dit natuurlijk zelf, maar werken ook met diverse partners die dit monitoren en ons hierin scherp houden.

Toegang tot de infrastructuur van Paragin wordt beperkt op een expliciete need-to-have basis, enkel toegankelijk via het beveiligde interne netwerk. Medewerkers die als beheerder toegang hebben tot de applicaties kunnen dit enkel via two-factor authenticatie en onderschrijven expliciet middels een integriteitsverklaring de procedures en uitgangspunten van Paragin.

Onze software kan zonder downtime veilig worden uitgerold door geautomatiseerde deploymentprocessen met de nodige failsaves. Daarnaast is in onze software op een uniforme manier bescherming ingebouwd tegen alle veelvoorkomende beveiligingsvalkuilen: XSS, CSRF, SQL-injection, brute-force password hijacking worden allen gemitigeerd en worden bij elke security audit op code-niveau door een gerespecteerd IT-securitybedrijf doorgelopen. Tijdens het ontwikkelen van onze software heeft elke developer kennis van alle relevante veiligheidsrisico’s uit o.a. de OWASP lijst en weet hij hoe hij deze op een veilige en uniforme manier moet mitigeren.

Encryptie en Secure Credential Storage

Communicatie tussen uw gebruikers en onze software wordt geëncrypt via HTTPS and Transport Layer Security (TLS) met A+ rating. Paragin volgt best practices op het gebied van secure credential storage, door nooit wachtwoorden op te slaan in een door mensen (of machines) leesbaar formaat maar deze enkel op te slaan middels een veilige, salted, adaptieve (dus toekomstbestendige) one-way hash.

Responsible Disclosure

Bij Paragin vinden wij de veiligheid en beveiliging van onze software erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen zoals hierboven te lezen, kan het altijd voorkomen dat er toch een zwakke plek is.

Als u een zwakke plek in één van onze systemen heeft gevonden, dan horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze klanten, gebruikers, partners en onze systemen zo goed mogelijk te kunnen beschermen.

Wij vragen u in het kader van responsible disclosure:

  • Uw bevindingen te mailen naar support@paragin.nl;
  • Het geconstateerde probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen;
  • Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te verwijderen;
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, distributed denial of service, spam of applicaties van derden;
  • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wat wij beloven in het kader van responsible disclosure:

  • Wij reageren uiterlijk binnen 3 dagen op uw melding met een inhoudelijke reactie en acties;
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk;
  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem;
  • In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst en op prijs stelt, uw naam vermelden als de ontdekker;
  • Indien u het probleem gemeld heeft in lijn met deze verklaring van responsible disclosure, zullen wij op geen enkele wijze juridische stappen ondernemen – we stellen uw input juist op prijs en waarderen deze zeer;
  • Als dank voor uw hulp bieden wij een beloning aan voor elke melding van een ons nog onbekend beveiligingsprobleem. De grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding.

Wij streven er naar om problemen zo snel mogelijk op te lossen en werken graag actief samen met iedereen die ons hierin kan helpen.

Bovenstaande verklaring is onderdeel van het initiatief responsible disclosure om het niveau qua beveiliging van software te verhogen. Met dank aan Floor Terra en responsibledisclosure.nl.