Procedure Security Seal

Hoe verloopt een Security Audit om het SafeShops Security Seal te behalen?

Om het label te behalen sta je niet alleen. BA N.V., een security audit bedrijf uit het Leuvense, staat voor jullie paraat om samen de verificatie te doorlopen en je vragen te beantwoorden. Je kan hen bellen, mailen en contacteren op elk moment tijdens de procedure.

Maar hoe verloopt zo’n procedure en wat wordt er zoal gecontroleerd?

Hoe werkt het?

  • Stap 1: Je doet eerst je aanvraag .
  • Stap 2: Je ontvangt een welkomstmail van SafeShops.be waarbij we je in contact brengen met B.A., het security audit bureau.
  • Stap 3: We ondertekenen een NDA (non-disclosure Agreement) omdat we ons bewust zijn van het feit dat we onderling ook wel heel wat vertrouwelijke informatie zullen uitwisselen.
  • Stap 4: De audit start in 3 fasen:
    Een Passieve Technische Audit: Daar gaan we als normale gebruiker naar je webshop en proberen we een aantal zaken uit.
    Een Actieve Technische Audit: Hierbij spelen we effectief ‘inbreker’ om de zwakten in jouw webshop bloot te leggen.
    Een Vragenlijst: Uiteindelijk maken we je aan de hand van een vragenlijst duidelijk welke handelingen je als bedrijf of security verantwoordelijke al dan niet beleidsmatig moet voorzien.
  • Stap 5: Is je score na invullen en eventuele consultancy rondes voldoende en hoger dan 75%, dan ontvang je van ons het Security Seal en je gedrukt certificaat.

Passieve technische audit

Het is zeer belangrijk dat jouw webshop achter de schermen goed beveiligd is, maar alles wat de online kopers zien is natuurlijk ook van groot belang! Wij gaan de omgeving van de webshop als normale gebruiker ontdekken en doen dus niets wat een klant niet zou doen.

Hieronder valt onder meer de DNS audit. Hier doen we een volledige controle omtrent je domeinnamen, je uithangbord naar de buitenwereld toe. Bovendien controleren we of je SSL/https-setup correct uitgevoerd is, dit is een absolute must in deze procedure! Dan maken we ook gebruik van een phishing kwetsbaarheidstest en malware distributietest. Beiden om te kijken of je tegen deze externe bedreigingen optimaal beveiligd bent.

Actieve technische audit

Hier spelen we effectief ‘hacker’  om na te gaan waar er bij jouw webshop gebreken liggen. Concreet bestaat deze uit het Nessus Web / Cloud kwetsbaarheidsassessment en de wachtwoord reset-procedure. Die eerste plant, met jouw toestemming, een effectieve aanval in de daluren van jouw online shop. De laatste controleert of er geen lekken zitten in de wachtwoordbeveiliging.

Voor de Basic Security Audit doorloop je enkel de passieve en actieve test. Kies je voor de full audit dan moet je ook even onze vragenlijst invullen.
Je verkrijgt hiervoor een paswoord en login en kan op die manier makkelijk stap per stap onderstaande type vragen doorlopen.
Aarzel niet om bij het invullen vragen te stellen aan het auditbureau BA.

Vragenlijst

Inleidend vragen we naar algemene informatie betreffende uw organisatie en webshop. Dit gaat van naam en adres naar betalingsproviders en reeds behaalde security certificaties…

Daarna stellen we vragen omtrent:

Hier proberen we vast te stellen of er weldegelijk een organisatie en verantwoordelijke is op het vlak van informatieveiligheid. Voorbeeld van een concrete vraag: “Hebben jullie een interne verantwoordelijke (informatieveiligheid specialist, Security Officer) wiens taak het is om de beveiliging van jullie webshop op te volgen? JA/NEEN.”

“Vertrouwelijke of confidentiële gegevens worden enkel via versleutelde communicatie uitgewisseld? JA/NEEN.” Aan de hand van dergelijke vragen willen we achterhalen of de organisatie op de hoogte is van hoe confidentiële gegevens binnen de webshop worden behandeld. Of er afspraken en procedures omtrent bestaan enz.. Doel is natuurlijk je als webshop helpen om tot dergelijke afspraken te komen.

Het is cruciaal dat enkel de juiste medewerkers en partners de correcte toegang hebben tot gegevens en het beheer van de webshop. Je kan dergelijke vragen verwachten: “Is er een inventaris/overzicht van welke externe leverancier rechten en toegang heeft tot welke (al dan niet gevoelige) data en welke systeem? JA/NEEN.”

Is je webshop op een correcte manier opgezet met de juiste veiligheidsinfrastructuur? “Hebben jullie op alle onderdelen van jullie infrastructuur (ook de website) up-to-date anti-virus en anti-malware software in gebruik die moet voorkomen dat er malware de omgeving en/of uw klanten kan besmetten? JA/NEEN.” Als er met een externe, derde partij gewerkt wordt, zal je hieromtrent nog meer specifieke vragen moeten beantwoorden.

Het contractueel vastleggen van wat je van je leveranciers verwacht en onder welke voorwaarden is van groot belang! “Zijn jullie leveranciers op de hoogte van de veiligheids- en beschikbaarheidsvereisten die jullie organisatie nodig heeft? JA/NEEN.” Goede afspraken maken goede vrienden, dus overleg voldoende met leveranciers en partners om problemen te vermijden.

“Beschikken jullie over een specifieke procedure om incidenten op het vlak van informatieveiligheid en privacy te behandelen? JA/NEEN.” “Is iedere medewerker op de hoogte dat en hoe hij incidenten moet melden? JA/NEEN.” Het is vandaag de dag niet meer de vraag of er zich ooit een veiligheidsprobleem zal voordoen, maar wel wanneer. In deze situaties is het belangrijk (ook op juridisch/legaal vlak) om op een correcte en veilige manier te handelen.

De continuïteit van uw onderneming blijft een belangrijk onderdeel van uw webshop. “Back-up en/of kopieën worden niet op één plaats of één systeem opgeslagen, maar ook op een andere beveiligde locatie (off site), op externe dragers zoals tape of disk (offline) of een andere, externe of interne back-up oplossing. JA/NEEN.” Voldoende lagen van back-ups zijn zeer belangrijk en beschikbaarheid hiervan is cruciaal in noodgevallen. Meerdere kopieën op meerdere beveiligde plaatsen is de sleutel!

Je gegevens versleutelen met een goede sleutel en encryptie-algoritme is een belangrijke methode om de confidentialiteit van data te garanderen. “Hebben jullie een dergelijke “key escrow strategie” waarbij van alle encryptiesleutels (bijvoorbeeld de private keys van jullie SSL-certificaten) minstens 2 beveiligde kopieën bestaan. JA/NEEN.” Encryptie is een noodzakelijke beveiliging tegen onbevoegden, maar als je zelf de sleutels verliest heb je een probleem. Zorg dus opnieuw voor verschillende sleutels op verschillende veilige locaties. Als dit nu even als Chinees klinkt, geen nood, dan stel je gewoon de vraag aan de expert hoe je dit moet beantwoorden. Soms kan dit bvb. niet van toepassing zijn als je met bepaalde systemen of providers werkt.

Als e-commerce site is een efficiënte betalingswijze een belangrijk element. Financiële transacties trekken echter ook potentiële dieven en hackers aan, daarom is een goede beveiliging van groot belang. Een belangrijk onderdeel van deze vragenlijst: “Gebeurt alle uitwisseling van betalingsgegevens met de eindklant via een voldoende beveiligd kanaal? JA/NEEN.”  Worden de betalingsgegevens versleuteld gecommuniceerd met hoogwaardige encryptie en dus niet via e-mail?

Extra informatie

Om de evaluatie vlot te laten verlopen, is het nodig om bepaalde documenten in versleutelde vorm af te leveren op het e-mailadres safeshops@ba.be . Voorbeelden van documenten zijn:

  • Uw interne security policy
  • Officieel security certificaat (ISO 27001, PCI-DSS), indien aanwezig
  • Bijkomende technische of organisatorische informatie

Puntenberekening

Om het veiligheidslabel te behalen dien je minstens 75% te halen. De puntenberekening is als volgt:

  • 125 punten op de passieve audit
  • 125 punten op de actieve audit
  • 125 punten voor de vragenlijst
  • 125 punten voor het bezorgen van de nodige documentatie ter ondersteuning

Non passerans of veto's

  • Lager als B-niveau scoren op de Qualys SSL test
  • Onvoldoende business continuïteit kunnen aantonen.
  • Foutieve opslag van cruciale data