Hoe bewaar ik mijn klantgegevens veilig?

Het zal je vast niet zijn ontgaan. Het enorme datalek bij het Amerikaanse Equifax haalde aardig wat krantenkoppen. De omvang van het lek is dusdanig groot dat de halve Amerikaanse bevolking slachtoffer kan worden van identiteitsfraude. Hackers konden van half mei tot eind juli dit jaar de namen, sofinummers, geboortedata, adressen en zelfs de rijbewijsnummers van 143 miljoen Amerikanen inzien.

Ik vraag me af waar dit is fout gegaan. Hoe kan het dat zulke gevoelige data op straat is beland? Wat is er misgegaan waardoor er toch een datalek heeft kunnen ontstaan? Het meest kwalijk vind ik echter niet het datalek zélf, maar het gedrag van de organisatie: nadat het datalek was ontdekt heeft Equifax maandenlang gewacht alvorens het wereldkundig werd gemaakt. En regel nummer 1 is: een datalek dien je áltijd direct te melden.

Het opslaan of bijhouden van persoonsgegevens brengt in basis natuurlijk al een risico met zich mee. De veiligheidsrisico’s gelden niet alleen voor kredietbeoordelaren als Equifax, maar voor ieder bedrijf dat privacygevoelige gegevens bezit van haar klanten. Nog meer risico loop je wanneer er ook koppelingen met externe systemen zijn waar deze data naartoe wordt gestuurd of vandaan wordt gehaald. Taak aan ieder van ons om dergelijke risico’s maximaal te beperken.

Hoe zorgen wij voor veiligheid op jouw platform?

In basis is onze hele aanpak ingericht op het veiligstellen van jouw data. Ik licht hieronder een aantal van deze acties uit.

Security by Design

Dit is een proces waarbij wij tijdens het ontwikkelen van het project continu stilstaan bij zaken die te maken hebben of kunnen hebben met veiligheid, privacy en de opslag van data. Daarbij staan een aantal kritische uitdagingen centraal, zoals:

  • Is de data écht nodig?
  • Is de data relevant?
  • Waar wordt de data voor gebruikt en hoelang mag of moet de data bewaard blijven?

Kortom, dit security proces vormt een rode draad tijdens de ontwikkeling van een project. 

OAUTH2

OAuth2 (Open Authorization) is een open standaard voor autorisatie. Gebruikers kunnen hiermee een programma of website toegang geven tot hun privégegevens, die opgeslagen zijn op een andere website, zonder hun gebruikersnaam en wachtwoord uit handen te geven. De beveiliging wordt geleid door zogenaamde handshakes. Het komt erop neer dat kleine stukjes data worden uitgewisseld tussen de platformen; ze geven elkaar virtueel de hand. Zodra het aan beide kanten ‘klopt’ wordt de data vrijgegeven voor volledige uitwisseling. Dit virtuele kennismakingsritueel verzekert een platform ervan dat er met de juiste server gepraat wordt.

Encrypted

Zodra het security by design traject in gang is gezet, slaan wij alle gegevens encrypted op. Ze zijn versleuteld en niet toegankelijk voor derden.

Password managers.

Al tijdens een development proces maken we gebruik van zogenaamde password managers. Deze zorgen ervoor dat toegangssleutels tot databases niet op de computer worden opgeslagen. Word je computer door iemand gestolen, dan kan hij of zij de database dus ook niet in. De database staat veilig achter een wachtwoord waar alleen jij toegang tot hebt.

Wat kun je zélf doen?

Jouw (verhoogde) aandacht is noodzakelijk wanneer er wordt gewerkt volgens een security by design principe en wanneer persoonsgegevens worden opgeslagen. Check in die gevallen altijd of de applicatiebouwer aandacht heeft voor encryptie van gevoelige data en authenticatie in het geval van externe koppelingen. In theorie is elk systeem te hacken; het is een kwestie van tijd en resources. Taak dus om het zo moeilijk mogelijk te maken en tegelijkertijd zelf zo voorzichtig mogelijk te zijn met privacygevoelige data en autorisatierechten. Mijn tip is om zorgvuldig om te gaan met inloggegevens. Ik zie nog meer dan eens dat mensen hun inloggegevens op een post-it op de computer plakken. Je kunt nog zoveel aandacht hebben voor encryptie en authenticatie… Maar als je je gegevens op een presenteerblaadje geeft valt er natuurlijk weinig meer te redden. Kijk ook goed naar de autorisatierechten van accounts. Niet iedereen hoeft toegang te hebben tot alle data. Pas dus extra op voor dat soort ogenschijnlijk kleine ‘foutjes’, ze kunnen grote gevolgen hebben die je eigenlijk eenvoudig kunt voorkomen.

Je kunt het natuurlijk ook omdraaien: ook van hackers kun je positief gebruik maken. Benieuwd hoe je dat (ethisch verantwoord!) aanpakt? Je leest het binnenkort in de blog van Ronald, waarin het Responsible Disclosure beleid centraal staat!

Meer weten over het veilig stellen van je klantgegevens?

Neem dan eens contact op met:
Thijs
Drupal Developer
010 8200 320