Alle organisaties die DigiD gebruiken moeten jaarlijks voldoen aan de verplichte DigiD-beveiligingsnorm van Logius, opgesteld door de NOREA (beroepsorganisatie van IT-auditors). De norm is een selectie van richtlijnen met de hoogste impact op de veiligheid van DigiD, uit het document “ICT-Beveiligingsrichtlijnen voor Webapplicaties” (versie 2015) van het Nationaal Cyber Security Centrum (NCSC). Sinds 31 juli 2023 is het DigiD Normenkader v4.0 van kracht. Dit is een vernieuwd document met geactualiseerde richtlijnen en adviezen, vastgesteld door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties in overleg met Logius, NOREA, Rijksauditdienst en het NCSC.
Jaarlijks worden organisaties met een DigiD-aansluiting getoetst aan de hand van het DigiD ICT-beveiligingsassessment. Onderdeel van het DigiD-assessment stappenplan is het laten uitvoeren van een penetratietest, kortweg ook wel pentest genoemd. DongIT biedt organisaties die aan het DigiD-assessment onderhevig zijn een DigiD pentest op maat aan.
Specialisten staan voor u klaar
De security experts van DongIT hebben ruime ervaring in het uitvoeren van pentesten op systemen met een DigiD-omgeving. Het doel van een pentest is om problemen en kwetsbaarheden aan het licht te brengen en een samenhangend oordeel te kunnen vormen over de huidige opzet van de DigiD-webapplicatie aan de hand van de richtlijnen van het DigiD Normenkader v4.0. U ontvangt een eindrapportage afgestemd op de DigiD-norm.
ICT-Beveiligingsrichtlijnen voor Webapplicaties van het NCSC
Tijdens het applicatieonderzoek wordt getoetst op kwetsbaarheden en bedreigingen zoals beschreven in de 'ICT-Beveiligingsrichtlijnen voor Webapplicaties' van het Nationaal Cyber Security Centrum, welke zijn opgenomen in de beveiligingsnorm van Logius voor het DigiD assessment. De ICT-beveiligingsrichtlijnen voor webapplicaties geven een leidraad voor veiliger ontwikkelen, beheren en aanbieden van webapplicaties en bijbehorende infrastructuur. Deze beveiligingsrichtlijnen zijn breed toepasbaar voor ICT-voorzieningen die gebruikmaken van webapplicaties. Logius adviseert organisaties om buiten de maatregelen uit de DigiD-norm ook de andere maatregelen uit de ICT-beveiligingsrichtlijnen voor webapplicaties te adopteren.
ICT-beveiligingsassessment DigiD / TPM-verklaring
Zodra DongIT heeft onderzocht dat uw DigiD-applicatie voldoet aan de getoetste technische NCSC-beveiligingsrichtlijnen in de DigiD-norm, kunt u het DigiD pentest rapport aan een geregistreerd IT auditor overhandigen voor een TPM-verklaring. De auditor zal het advies van DongIT overnemen en zelfstandig diverse organisatorische en procesmatige richtlijnen controleren. Als u aan alle richtlijnen uit de norm voldoet, zal de auditor een assurancerapportage (TPM) opstellen die u ter beschikking kunt stellen aan uw afnemers (de DigiD aansluithouders). Uw afnemers kunnen deze TPM, tezamen met het assurancerapport van hun auditor verzenden aan Logius om de DigiD-aansluiting goed te laten keuren voor de huidige jaargang..
DongIT werkt samen met auditpartij 2-Control voor DigiD-assessments, waarmee wij u kunnen ontzorgen voor het gehele assessment. Zo hoeft u zelf niet meerdere partijen in de arm te nemen en worden alle technische en procesmatige DigiD-richtlijnen nagelopen. Aan het eind ontvangt u een TPM-verklaring, mits aan alle beveiligingsrichtlijnen is voldaan. DongIT kan u in contact brengen met deze auditpartij. Bekijk hier de diensten van 2-Control.
Handmatige en geautomatiseerde testen gecombineerd voor de meest volledige resultaten
Ter ondersteuning van handmatige testmethoden en -technieken worden geautomatiseerde security tools gebruikt om zoveel mogelijk kwetsbaarheden en complexe beveiligingslekken te detecteren. Gedurende de beveiligingsonderzoeken worden de meest recente ontwikkelingen en methoden met betrekking tot webbeveiliging in acht genomen. Aan de hand van gevonden kwetsbaarheden worden passende aanbevelingen gegeven om deze op te lossen en biedt DongIT advies op maat om ingewikkelde kwesties aan te pakken en mogelijke problemen in de toekomst te voorkomen.