DigiD assessment
Wat is een DigiD assessment?
Een DigiD ICT-beveiligingsassessment is een controle van de betrouwbaarheid van een webapplicatie. Deze controle is gericht op zowel de geautomatiseerde als niet geautomatiseerde beveiligingsmaaregelen. Via DigiD kunnen inwoners, burgers, patiënten of cliënten via een beveiligde verbinding toegang tot uw digitale loket of portaal krijgen. Deze toegang moet veilig en betrouwbaar zijn. In het DigiD assessment toetsen we of uw webapplicatie, webinfrastructuur en uw procedures en governance aan de eisen van toezichthouder Logius voldoen. In onderstaande animatie wordt dit in beeld gebracht hoe een DigiD audit in zijn werking gaat:
Alle DigiD-gebruikende organisaties moeten jaarlijks voor 1 mei een ICT-beveiligingsassessment laten uitvoeren door een professioneel auditbedrijf en dit daarna jaarlijks herhalen. Logius is als toezichthouder bepalend in wat verplicht gesteld wordt. U heeft de vrijheid om het assessment te laten uitvoeren op alle maatregelen die horen bij een norm of alleen op de door Logius verplicht gestelde beveiligingsmaatregelen. De ervaring leert dat bijna altijd voor het laatste wordt gekozen
Wat is een meervoudig DigiD assessment?
Een bijzondere vorm van het DigiD assessment, is het meervoudig assessment, het LMA-assessment. Daarbij is de IT-leverancier, de serviceorganisatie in audit terminologie, de Leverancier Meervoudig Assessment. Het meervoudig assessment kan gebruikt worden in situaties waarin meerdere aansluithouders gebruik maken van één LMA die de aansluithouders ontzorgt in het aansluiten en verantwoorden. Het LMA assessment wijkt hiermee af van het reguliere enkelvoudige assessment waarin één Aansluithouder zelf verantwoordelijk is voor het aansluiten en verantwoorden. In onderstaande animatie wordt het LMA-assessment in beeld gebracht:
Voordelen van een meervoudig assessment zijn:
- Eén audit voor alle op het platform van de Serviceorganisatie aangesloten Aansluithouders.
- Het meervoudig assessment wordt door de Register EDP-auditor bij de Serviceorganisatie van het platform uitgevoerd. Op dezelfde locatie wordt ook de bewijsvoering van de aangesloten Aansluithouders verzameld.
- Het assessmentrapport is van toepassing op alle op het platform aangesloten en geregistreerde Aansluithouders.
- Na het succesvol afronden van het meervoudig assessment mag de Serviceorganisatie nieuwe partijen aansluiten. Deze Aansluithouders kunnen hierbij meeliften op de afgegeven verklaring tot het volgende jaarlijkse assessment.
- De Serviceorganisatie ontzorgt de Aansluithouder in het aansluiten op DigiD.
- De leverancier zorgt ervoor dat de Aansluithouder zowel technisch als administratief ontzorgd wordt bij het tot stand komen van de aansluiting op DigiD.
Wat kunnen wij u bieden?
Wij testen uw digitale loket op veiligheid en voeren de risicoanalyses volgens het protocol voor u uit. Zo bent u ervan verzekerd dat u aan de norm van Logius voldoet. Wij zijn gespecialiseerd in het afnemen van DigiD assessments. BKBO werkt exclusief samen met Defenced. Afhankelijk van uw vraag, zetten wij zogenaamde pentesters van Defenced in. Dit zijn gecertificeerde medewerkers die de penetratietesten uitvoeren. Ze proberen net als een hacker in uw webomgeving binnen te dringen. Zij herkennen snel de kwetsbaarheden in webapplicaties, systeemkoppelingen en de infrastructuur en leggen deze bloot. Door onze bewezen ervaring doen we het assessment bij meer dan 200 organisaties.
Uit de automatische scans blijkt meestal dat verdergaand handmatig onderzoek nodig is. Wij doen dat eveneens voor u. Zonder meerprijs. We kunnen u nóg meer zekerheid geven wanneer wij het assessment jaarlijks herhalen. Voor uw gemak bieden wij daarvoor een abonnement aan.
Wat is uw voordeel?
Wij ontzorgen u. Het voorbereiden en uitvoeren van het beveiligingsassessment vraagt de nodige expertise en capaciteit. Wij zijn daarvoor uw betrouwbare partner.
Wij ondersteunen u met een aanpak die zowel tijd als kosten bespaart. Wij zijn zeker van onze zaak en bieden u een vaste prijs. Dat is voordelig en compleet want het is inclusief eventuele hertests dan wel heraudits. Wij bieden leveranciers de mogelijkheid om een TPM-verklaring te verkrijgen. Met een Third Party Memo bespaart u als leverancier op de auditkosten van uw klanten omdat een penetratietest dan niet bij elke klant die dezelfde webapplicatie of webomgeving gebruikt, hoeft te gebeuren. U kunt er van op aan dat wij concrete verbetervoorstellen zullen doen die de organisatie kan implementeren. Een keuze voor BKBO is een keuze voor kwaliteit.
Hoe pakken wij dat aan?
Wij hebben een gestandaardiseerde en beproefde uitvoeringswijze ontwikkeld. U bepaalt met een zelfonderzoek moeiteloos wat uw situatie is. Dit begint met een vragenlijst. Hierdoor brengt u eenvoudig uw situatie in kaart. Afhankelijk van uw opdracht zal onze auditor bij u ter plaatse een complete quick scan uitvoeren. Daarna bespreken wij de auditplanning met u. Hierbij geven wij aan welke verklaringen geldig zijn, welke testen gedaan moeten worden en op welke termijn dat mogelijk is. Wanneer alles duidelijk is voor u, worden afhankelijk van een eventuele memo de penetratietesten uitgevoerd. Als eerste testen wij of het mogelijk is om ongeautoriseerd toegang via het digitale loket te krijgen. Vervolgens probeert de pentester ongeautoriseerd toegang te krijgen tot de achterliggende systemen. Afhankelijk van een eventuele memo, beoordelen wij zowel de interne als externe infrastructuur. Gelijktijdig vindt door ons een audit plaats op uw contracten, procedures en de beveiligingsorganisatie. In geval van een SAAS-oplossing die is voorzien van een geldige memo beperkt het onderzoek zich zelfs daartoe. Wij zorgen dat voor u alles compleet, geordend en begrijpelijk is.
We leggen onze bevindingen vast in een overzichtelijke conceptrapportage. We doen concrete aanbevelingen om de tekortkomingen efficiënt op te heffen. Het assessment wordt afgesloten met een persoonlijk gesprek waarin we de bevindingen en onze aanbevelingen helder toelichten. Dat gesprek kan ook telefonisch. Daarna wordt de rapportage definitief gemaakt. Wanneer de opdracht ook een penetratie- en of vulnerabilitytest omvat, vragen wij u vooraf om een vrijwaringsverklaring.
Wat is uw investering?
Afhankelijk van wat u wilt dat onderzocht wordt, variëren de kosten tussen de € 2.300,- en € 9.500,-. Dit betreft één DigiD-aansluiting. De genoemde prijzen zijn exclusief btw en inclusief reis- en verblijfskosten. Dit assessment is ook voordelig te combineren met andere audits, zoals:
Ook is een drie of vijf jarig abonnement met korting mogelijk. Zo bent u ervan verzekerd dat u aan alle eisen kunt blijven voldoen: probleemloos, efficiënt en effectief!
Geen gekibbel garantie
Onze garantie is uniek in de branche! Wij garanderen u een vaste prijs. De prijs is dus inclusief een eventuele controle audit nadat u verbetermaatregelen heeft kunnen doorvoeren. Door onze bewezen aanpak durven wij hiervoor in te staan. Wij noemen dat onze “geen gekibbel garantie”.
Neem vandaag nog contact met ons op
Heeft u vragen over de audit of assessment voor DigiD? Wij staan voor u klaar en gaan graag met u in gesprek. U kunt vrijblijvend contact met ons opnemen voor het stellen van uw vragen of voor het laten opstellen van een offerte. Wij zijn u graag van dienst om alle zaken op orde te hebben. Schakel ons in als uw betrouwbare audit bedrijfsrevisor!