English
Alle organisaties die DigiD gebruiken moeten jaarlijks voldoen aan de verplichte DigiD-beveiligingsnorm van Logius, opgesteld door de NOREA (beroepsorganisatie van IT-auditors). De norm is een selectie van richtlijnen met de hoogste impact op de veiligheid van DigiD, uit het document “ICT-Beveiligingsrichtlijnen voor Webapplicaties” (versie 2015) van het Nationaal Cyber Security Centrum (NCSC). Sinds 1 augustus 2022 is het DigiD Normenkader v3.0 van kracht. Dit is een vernieuwd document met geactualiseerde richtlijnen en adviezen, vastgesteld door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties in overleg met Logius, NOREA, Rijksauditdienst en het NCSC.
Jaarlijks worden organisaties met een DigiD-aansluiting getoetst aan de hand van het DigiD ICT-beveiligingsassessment. Onderdeel van het DigiD-assessment stappenplan is het laten uitvoeren van een penetratietest, kortweg ook wel pentest genoemd. Web Security Scan biedt organisaties die aan het DigiD-assessment onderhevig zijn een DigiD pentest op maat aan.
Specialisten staan voor u klaar
De security experts van Web Security Scan hebben ruime ervaring in het uitvoeren van penetratietesten op systemen met een DigiD-omgeving. Het doel van een penetratietest is om problemen en kwetsbaarheden aan het licht te brengen en een samenhangend oordeel te kunnen vormen over de huidige opzet van de DigiD-webapplicatie aan de hand van de richtlijnen van het DigiD Normenkader v3.0. U ontvangt een eindrapportage afgestemd op de DigiD-norm.
ICT-Beveiligingsrichtlijnen voor Webapplicaties van het NCSC
Tijdens het applicatieonderzoek wordt getoetst op kwetsbaarheden en bedreigingen zoals beschreven in de 'ICT-Beveiligingsrichtlijnen voor Webapplicaties' van het Nationaal Cyber Security Centrum, welke zijn opgenomen in de beveiligingsnorm van Logius voor het DigiD assessment. De beveiligingsrichtlijnen zijn tot stand gekomen aan de hand van best-practices van het NCSC in samenwerking met Rijksauditdienst (RAD), Logius, OWASP Nederland, Kwaliteitsinstituut Nederlandse Gemeenten (KING), Belastingdienst, diverse gemeenten en marktpartijen. De NCSC-beveiligingsrichtlijnen zijn breed toepasbaar voor ICT-oplossingen die gebruikmaken van webapplicaties. Logius adviseert organisaties om buiten de maatregelen uit de DigiD-norm ook de andere maatregelen uit de ICT-beveiligingsrichtlijnen voor webapplicaties te adopteren.
DigiD auditor / TPM-verklaring
Zodra Web Security Scan heeft onderzocht dat uw DigiD-applicatie voldoet aan de getoetste technische NCSC-beveiligingsrichtlijnen in de DigiD-norm, kunt u het DigiD pentest rapport aan de auditor overhandigen voor een TPM-verklaring. De auditor zal het advies van Web Security Scan overnemen en zelfstandig diverse organisatorische en procesmatige richtlijnen controleren. Als u aan alle richtlijnen uit de norm voldoet, kunt u het auditor rapport en TPM-verklaring naar Logius sturen om uw DigiD-aansluiting goed te keuren voor de huidige jaargang.
Web Security Scan werkt samen met auditpartij 2-Control voor DigiD-assessments, waarmee wij u kunnen ontzorgen voor het gehele assessment. Zo hoeft u zelf niet meerdere partijen in de arm te nemen en worden alle technische en procesmatige DigiD-richtlijnen nagelopen. Aan het eind ontvangt u een TPM-verklaring, mits aan alle beveiligingsrichtlijnen is voldaan. Web Security Scan kan u in contact brengen met deze auditpartij. Bekijk hier de diensten van 2-Control.
Handmatige en geautomatiseerde testen voor de meest volledige resultaten
Ter ondersteuning van handmatige testmethoden en -technieken worden geautomatiseerde security tools gebruikt om zoveel mogelijk kwetsbaarheden en complexe beveiligingslekken te detecteren. Gedurende de beveiligingsonderzoeken worden de meest recente ontwikkelingen en methoden met betrekking tot webbeveiliging in acht genomen. Aan de hand van gevonden kwetsbaarheden worden passende aanbevelingen gegeven om deze op te lossen en biedt Web Security Scan advies op maat om ingewikkelde kwesties aan te pakken en mogelijke problemen in de toekomst te voorkomen.