TPM audit
Wat is het?
Een TPM-audit (Third Party Memorandum audit) is een onafhankelijke beoordeling die door een auditor wordt uitgevoerd om zekerheid te bieden over de kwaliteit, veiligheid en betrouwbaarheid van IT-processen en -systemen, zoals een DigiD-koppeling. Het resultaat van deze audit wordt vastgelegd in een Third Party Mededeling (TPM-verklaring), ook wel een Third Party Memorandum genoemd. Dit document stelt IT-leveranciers in staat om aan te tonen dat zij voldoen aan specifieke normen en beveiligingseisen, zonder dat elke afzonderlijke klant een eigen audit hoeft uit te voeren. Alle organisaties die gebruikmaken van een koppeling naar een systeem waar gevoelige informatie te verkrijgen is, moeten jaarlijks een beveiligingsassessment laten uitvoeren. Dit assessment vindt plaats conform een door het Nationaal Cyber Security Center opgestelde beveiligingsrichtlijn en de daarop door Logius gebaseerde Norm op straffe van afsluiting van DigiD.
Zie voor een gedetailleerde uitleg ons YouTube-kanaal en in het bijzonder
Wat is onze visie?
Wij kunnen voor u als leverancier een TPM (Third Party Mededeling) afgeven middels een audit. Dit betekent dat we vaststellen dat uw software of hosting voldoet aan een normenkader. De RE auditor van uw klant kan op dit bewijs “steunen” en hoeft dan geen afzonderlijk onderzoek te doen naar de beveiliging bij u als leverancier. In de praktijk betekent dat de pentesten voor dat onderdeel kunnen vervallen bij de klant. Dat scheelt u tijd en uw klant geld. We leveren ook andere TPM-verklaringen middels audits voor bijvoorbeeld de:
Hoe helpen wij u verder?
Voor het uitvoeren van de DigiD penetratietesten heeft BKBO een samenwerkingsverband met Defenced. Defenced zet voor het DigiD assessment gecertificeerde pentesters (CEH) in, met hoogwaardige tooling, scholing en ervaring. Deze onafhankelijke pentesters kunnen snel de kwetsbaarheden in webapplicaties, systeemkoppelingen en webomgevingen herkennen en bloot leggen.
Hoe pakken wij dit aan?
Wij hebben een standaard uitvoeringswijze ontwikkeld. Op basis van een door ons ontwikkelde vragenlijst kunnen we uw lokale situatie overzichtelijk in kaart brengen. Vervolgens zal onze lead auditor bij u ter plaatse een quick scan uitvoeren om samen met u vast te stellen of uw beeld volledig is en klopt. Daarbij wordt een auditplan met u besproken waarbij duidelijk wordt welke TPM verklaring(en) nodig zijn, welke audits dienen te worden uitgevoerd en op welke termijn dat mogelijk is. We maken hierbij verschil tussen on premise en SAAS applicaties. We kunnen een Third Party Memorandum afgeven voor SAAS applicatie, webapplicaties die on premise draaien en voor een hosting omgeving.
Vervolgens worden de penetratietesten uitgevoerd door de gecertificeerde pentesters van onze partner Defenced. Eerst wordt een zogenaamde blackbox test uitgevoerd om na te gaan of het mogelijk is om ongeautoriseerd toegang te krijgen. Als dat mogelijk blijkt, wordt in fase twee vastgesteld of het mogelijk is via de website – met de daarop aangetroffen kwetsbaarheden – ongeautoriseerd toegang te verkrijgen tot de achterliggende systemen. Dat is dan een grey-box pentest, waarbij u desgevraagd de benodigde privileges en configuratie-instellingen van relevante componenten aan de penetratietester verstrekt. Wij moeten hierbij uitgaan van volledige medewerking van uw IT-personeel en dat van uw leveranciers.
Tegelijk vindt door de Register EDP auditor van BKBO een audit plaats op uw contracten, procedures en de beveiligingsorganisatie.
Alle bevindingen in een duidelijk overzicht
In een overzichtelijke conceptrapportage worden vervolgens de bevindingen gerapporteerd en doen we aanbevelingen om de tekortkomingen op te heffen. Het assessment wordt afgesloten met een gesprek waarin de bevindingen worden toegelicht, waarna de rapportage definitief wordt gemaakt. De uitvoering van het onderzoek en de rapportage vindt plaats op basis van de Richtlijn 3000 van NOREA die betrekking heeft op het verrichten van assurance werkzaamheden. De rapportage bevat een overzicht van de feitelijke bevindingen per maatregel, waarbij per maatregel wordt aangegeven of deze voldoet. De definitieve rapportage dient u als opdrachtgever naar Logius te versturen.
Omdat de opdracht ook een penetratie- en of vulnerabilitytest omvat, wordt u gevraagd om een vrijwaringsverklaring overeen te komen. Uiteraard zullen we proberen zoveel mogelijk ongelukken te voorkomen, worden de tests nauwkeurig met u afgestemd en is het onderuit halen van uw webportals niet aan de orde. Ingeval u als organisatie over een Third Party Mededeling (= TPM) van uw leverancier(s) beschikt is een dergelijke test doorgaans niet nodig.
Wat is een Third Party Mededeling?
In de linkerkolom is een organisatie opgenomen die een webapplicatie heeft ‘gekocht’ bij een externe leverancier.
De richtlijnen die gelden voor de software kunnen worden getoetst op een gelijkwaardige omgeving bij de leverancier.
De tweede kolom geeft de situatie aan waarbij de organisatie o gebruikmaakt van een externe partij voor het hosten van de webapplicatie. De richtlijnen die gelden voor de infrastructuur, maar ook een aantal procesmatige richtlijnen kunnen worden vastgesteld bij de hostingpartij.
De derde kolom is een combinatie van de eerste twee situaties, namelijk een organisatie o die een webapplicatie afneemt bij een leverancier die dit aanbiedt in een SaaS-oplossing. Hierbij zal een groot gedeelte van de richtlijnen voor zowel de software, de infrastructuur als een aantal processen bij deze SaaS-leverancier getoetst kunnen worden. De laatste kolom geeft de situatie weer waarbij de organisatie die DigiD gebruikt alles zelf geregeld heeft.
Op basis van de richtlijnen is een TPM maximaal één jaar geldig en mag door een klant slechts eenmaal worden gebruikt voor het DigiD assessment. Ergo, het TPM onderzoek moet jaarlijks worden herhaald.
Wat kost een Third Party Memorandum?
De kosten voor de levering van een TPM variëren van wat er onderzocht moet worden tussen de € 9.000,- en € 11.000,-afhankelijk van wat er door ons moet gebeuren. Het maximale bedrag betreft dan een TPM waarbij we ook de periodieke releases als het ware “keuren”. Genoemde prijzen zijn exclusief btw, maar inclusief reis- en verblijfskosten. Anders dan andere auditoren geven wij u “geen gekibbel garantie”. Onze prijs is vast en dus inclusief een eventuele hertest, heraudit of aanvullend assessment.
Schakel vandaag nog een professioneel bedrijf in
Een ding is zeker voor een TPM audit wilt u een betrouwbaar auditbedrijf inschakelen. Wij van BKBO voorzien onze klanten graag van een hoogwaardige service. Heeft u vragen over een TPM of een van onze overige IT-audits? Schroom dan niet om contact met ons op te nemen. U heeft tevens de mogelijkheid om direct een offerte aan te vragen.