Overslaan en naar hoofdcontent gaan

Trusted Application (gebruik van een verzamelcertificaat)

SBR Supportdesk
  • Bijgewerkt

Introductie

Onder Trusted Applications verstaan wij softwarepakketten die gebruik maken van een ‘verzamelcertificaat’. Dit is het PKIoverheid server services certificaat van de leverancier. De intermediair gebruikt dit certificaat voor het beveiligen van de verbinding en het versturen van de SBR rapportage. De gebruiker maakt dus geen gebruik (meer) van zijn eigen organisatie gebonden PKIoverheid certificaat. Hierdoor ontstaat het probleem dat SBR Nexus niet meer kan vaststellen welke intermediair het bericht heeft verstuurd. Om gebruik te mogen maken van een ‘verzamelcertificaat’, moet het softwarepakket worden geregistreerd als Trusted application.

Het doel van Trusted Applications is dat de leverancier van het softwarepakket kan waarborgen welke intermediair het bericht heeft verstuurd.

Hieronder staan de voorwaarden waaronder het gebruik van een ‘verzamelcertificaat’ door softwareleveranciers is toegestaan, welke informatie SBR Nexus hiervoor nodig heeft en wat de impact hiervan is. 

Intakeformulier

Vul het intakeformulier in om je aan te melden als Trusted Application. 

Impact

Het koppelvlak aanleverRequest is uitgebreid met de volgende twee elementen:

[identiteitAanleveraar]

  • type = identiteitType
  • when present, type MUST be 'kvk' (case insensitive) = syntactical check
  • when present, nummer MUST be a valid kvk number = syntactical check
  • if type or nummer are not valid, no process is created
  • new ALS180 error when validation fails

[softwarePakket]

  • type = String
  • max length = 255

Bij niet-trusted applications wordt de aanleverende organisatie herkend door onze whitelistservice op basis van het PKIoverheid certificaat (serienummer/OIN + organisatie in het certificaat). Met het gebruik van een ‘verzamelcertificaat’ is dit (technisch) niet meer mogelijk. De ‘trusted application’ is daarom verplicht om het element [identiteitAanleveraar] te vullen.

De 'trusted application' is ook verplicht om het element [softwarePakket] te vullen; dit veld helpt SBR Nexus en ontvangende partijen om support te verlenen en de kwaliteit van aanleveringen te waarborgen.

Voorwaarden

Het gebruik van een ‘verzamelcertificaat’ (PKIoverheid server certificaat van de leverancier) is door SBR Nexus toegestaan onder de volgende voorwaarden:

  • Leverancier is door SBR Nexus aangemerkt en geregistreerd als ‘trusted application’ op basis van een intake (zie hieronder);
  • Leverancier is ISO27001 gecertificeerd of vergelijkbaar of heeft voldoende beveiligingsmaatregelen ingericht. Een certificering is dus niet verplicht, maar je moet wel voldoen aan de minimale beveiligingsmaatregelen, zoals hierna genoemd.
  • Leverancier beschikt over een centraal aanspreekpunt voor vragen over aanleveringen, waaronder afzender, tijdstip etc.;
  • Kvk-nummer van de intermediair is beschikbaar in de software/dossier van de klant;
  • Het element <identiteitAanleveraar> in het SOAP-bericht moet verplicht gevuld zijn met het kvk-nummer van de intermediair;
    Dit geldt alleen als het bericht afkomstig is van een ‘trusted application’. De BIV (aanleverservice) zal bij iedere aanlevering actief controleren of dit element gevuld is.
  • Leverancier is verantwoordelijk dat het juiste kvk-nummer van de insturende partij is ingevuld en kan aantonen dat het proces voorafgaand aan het invullen van het kvk-nummer voldoende waterdicht is. Er moet dus met goede zekerheid vast te stellen zijn dat de opgegeven organisatie daadwerkelijk de organisatie is die het document inzendt. Onboarding met behulp van enkel een e-mailadres, of een koppeling met Facebook of Google is dus niet voldoende.

Beveiligingsmaatregelen (minimale vereisten)

Beschik je als leverancier niet over een certificering op het gebied van informatiebeveiliging? Dan moet je aangeven dat je aan de volgende minimale vereisten voldoet.

Datacenter

De datacenters voldoen aan de belangrijkste industrienormen voor beveiliging en betrouwbaarheid, zoals ISO/IEC 27001:2013.

Databases

Vertrouwelijke gegevens worden versleuteld opgeslagen zodat deze door niemand kunnen worden bekeken buiten de reguliere applicatietoegang om. De database toegang is daarnaast gelimiteerd tot specifieke gebruikers en bevoegde ontwikkelaars. Binnen de database is op verschillende niveaus toegangsbeveiliging geïmplementeerd. Het is voor gebruikers niet mogelijk om data te benaderen van andere bedrijven dan die waarvoor een gebruiker is aangemeld en geautoriseerd.

Certificaat

Het PKIoverheid servercertificaat waarmee de gebruiker de SBR rapportage aanlevert (‘verzamelcertificaat’), wordt beveiligd en versleuteld opgeslagen.

Applicatiebeveiliging

De verbinding tussen de applicatieservers en de gebruiker wordt versleuteld met behulp van een SSL-certificaat (minimaal Class 3 EV SSL-certificaat). Al het verkeer met de webservice is beveiligd en wordt in een HTTPS-omgeving afgehandeld. Er is een wachtwoordbeleid en alleen ‘sterke’ wachtwoorden zijn toegestaan en alle wachtwoorden worden versleuteld opgeslagen.

Ontwikkelprocedure

De applicatie wordt ontwikkeld in een OTAP-omgeving (Ontwikkeling, Test, Acceptatie, Productie) met strikte scheiding van applicatiecode en data voor deze verschillende fasen. Testomgevingen hebben geen toegang tot de data van de productie-omgeving. Een beperkt aantal ontwikkelaars heeft toegang tot de data van de productie-omgeving voor onderhoud en het oplossen van storingen.

Auditing en logging

Alle aanmeldingen en de belangrijkste activiteiten van gebruikers worden gelogged. Logbestanden worden minimaal 2 jaar bewaard. Op basis hiervan is te achterhalen welke gebruiker namens welke intermediair (kantoor) op welk moment een bepaalde actie heeft uitgevoerd. In het geval van een dispuut heeft SBR Nexus in voorkomende gevallen het recht om de logbestanden in te zien.

Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 0 van 0