Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: RFC2083

...

verklaart hierbij voor zijn rol als Dienstverlener Dienstverlener (waaronder ook kan worden verstaan een combinatie van Dienstaanbieder en Dienstbemiddelaar) als bedoeld in het Afsprakenstelsel Elektronische Toegangsdiensten (“afsprakenstelsel”), aantoonbaar te voldoen en te blijven voldoen aan alle op hem rustende verplichtingen en vereisten van het afsprakenstelsel.

...

  1. De Dienstverlener beheerst binnen zijn vermogens de juistheid en de actualiteit van metadata en de gegevens voor de Dienstcatalogus (Proces doorvoeren nieuwe dienstencatalogus).
  2. De dienstverlener beheerst de beveiligingsrisico’s van de technische componenten onderliggende aan de online diensten die hij aansluit; waaronder de betrokken eigen systemen, netwerkverbindingen, websites en de koppeling met de Herkenningsmakelaar (Proces instandhouding en nalevenAansluiten als dienstverlenerBeleid voor informatiebeveiliging), meer specifiek de volgende normen uit de ICT-beveiligingsrichtlijnen voor webapplicaties (NCSC):
    1. De Dienstverlener voert beheerst wijzigingen door op de relevante systemen en wijzigingen worden steeds getest voordat deze in productie worden genomen (B0-5).
    2. De Dienstverlener draagt zorg voor hardening van alle relevante ICT-componenten tegen aanvallen en beschikt hiervoor over een security baseline voor de relevante systemen (B0-6).
    3. De Dienstverlener heeft een patchmanagementproces ingericht zodat steeds de laatste (beveiligings-)patches zijn geïnstalleerd (B0-7).
    4. De Dienstverlener beheerst de toegangsbeveiliging / toegangsbeheer van de relevante systemen (B0-12).
    5. De Dienstverlener draagt zorg voor het gebruik van veilige beheermechanismen zoals het gebruik van veilige netwerkprotocollen, beheerinterfaces die via het internet uitsluitend door middel van sterke authenticatie te benaderen zijn en het uitsluiten dat er gebruik wordt gemaakt van zogenaamde ‘backdoors’ om de systemen te benaderen (B2-1).
    6. De Dienstverlener draagt er zorg voor dat bij de ontwikkeling van web-applicaties gebruik wordt gemaakt van veilige ontwikkeltechnieken, zoals beschreven in de OWASP top 10 (samenvattend B3-1 t/m 7).
    7. De Dienstverlener heeft sleutelbeheer ingericht waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers zijn geplaatst en neemt maatregelen ter beveiliging van de privé sleutel (private key) (B5-1).
    8. De Dienstverlener draagt zorg voor versleuteling van sessie cookies (B5-4).
    9. De Dienstverlener voert actief controles uit op logging, gericht op de operatie en beveiliging van systemen (B7-8).
    10. De Dienstverlener draagt er zorg voor dat bij uitbesteding van activiteiten de relevante verplichtingen worden vastgelegd (in een overeenkomst) (B0-14).
  3. De Dienstverlener beheerst de geheimhouding van vertrouwelijke stelsel gerelateerde informatie en de zorgvuldige omgang met persoonsgegevens van dienstafnemers (Aanvullende verplichtingen).
  4. De Dienstverlener beheerst de juiste koppeling van een authenticatiemiddel van de dienstafnemer aan het account van die dienstafnemer bij de Dienstverlener (Aanvullende verplichtingen).
  5. De Dienstverlener beheerst de risico’s van de online dienst die hij aansluit. De Dienstverlener heeft het betrouwbaarheidsniveau van de dienst vastgesteld op basis van de analyse van deze risico’s (Aanvullende verplichtingen).
  6. Indien (bijzondere) persoonsgegevens worden verwerkt, verklaart de Dienstverlener hiertoe gerechtigd te zijn en bewerkersovereenkomsten afgesloten te hebben met relevante partijen.

Voorts aanvaardt ondergetekende dat de Herkenningsmakelaar gedurende de looptijd van de overeenkomst met de dienstverlener beoordeelt of de dienstverlener blijft voldoen aan de op hem rustende verplichtingen op grond van het afsprakenstelsel.

...