DigiD assessment
Alle organisaties die DigiD gebruiken, zijn verplicht om jaarlijks een ICT-beveiligingsassessment uit te voeren. Vertrouw op de jarenlange ervaring van Securance op het gebied van IT-audits.
Wat is een DigiD-assessment?
Een DigiD-assessment is een beoordeling van de digitale beveiliging en werking van een DigiD-implementatie binnen een organisatie. Dit type assessment controleert of een organisatie voldoet aan de eisen van de Nederlandse overheid en Logius (de beheerder van DigiD). Het is een verplicht onderdeel voor organisaties die DigiD gebruiken om toegang te geven tot hun online diensten.
Een DigiD-assessment bestaat uit de volgende onderdelen:
Authenticatie: Controleren of de gebruikte authenticatiemethoden (zoals gebruikersnaam/wachtwoord, sms-controle of de DigiD-app) veilig en volgens de richtlijnen zijn geïmplementeerd.
Communicatiebeveiliging: Verifiëren of alle communicatie tussen de gebruiker, DigiD en de dienstverlener is beveiligd met TLS en voldoet aan de geldende standaarden.
Logging en monitoring: Nagaan of verdachte inlogpogingen of afwijkend gedrag correct worden vastgelegd en gemonitord.
AVG-compliance: Beoordelen of de organisatie de Algemene Verordening Gegevensbescherming (AVG) naleeft, inclusief dataminimalisatie en transparantie richting gebruikers.
Gegevensverwerking: Controleren hoe persoonsgegevens worden verwerkt en beschermd.
Risicomanagement: Beoordelen of de organisatie risicoanalyses heeft uitgevoerd en passende beheersmaatregelen heeft ingevoerd.
Toegangsbeheer: Controleren hoe de toegang tot gevoelige informatie binnen de organisatie is geregeld.
Incidentbeheer: Evalueren of er een duidelijk proces is voor het melden en afhandelen van beveiligingsincidenten.
Na afloop van het assessment wordt een rapport opgesteld met de bevindingen, risico’s en aanbevelingen. Dit rapport wordt ingediend bij Logius om goedkeuring te krijgen voor het gebruik van DigiD.
Een verplicht onderdeel van het DigiD-assessment is een DigiD-pentest. Volgens de standaard moet er minimaal jaarlijks een pentest worden uitgevoerd en moeten er structureel kwetsbaarheidsscans plaatsvinden.
Wat de propositie van Securance uniek maakt, is dat wij de DigiD-pentest en vulnerability scanning voor je kunnen uitvoeren als onderdeel van het DigiD-assessment: één project, één aanspreekpunt.
DigiD-assessments moeten periodiek (meestal jaarlijks) worden herhaald om ervoor te zorgen dat de beveiliging actueel blijft en dat de organisatie aan nieuwe vereisten voldoet.
Pentesting Certificaat
Securance is gecertificeerd volgens het Keurmerk Pentesten. Het CCV (Nederlands Centrum voor Criminaliteitspreventie en Veiligheid) onderhoudt deze standaard. We vermelden dit keurmerk in al onze veiligheidstestrapporten. Zie de CCV-website voor meer informatie.