Skip to end of metadata
Go to start of metadata

While SCZ is in pilot, security is not audited, the environment is still in flux and therefor production level security as SURFnet is used to deliver might not be warranted, we do strive to deliver a secure environment and take many security measures. Please find some below:

  • Standard measures
    • Virtual and physical access restrictions are in place based on the minimal needed privileges. Access to systems is logged and monitored.
    • Systems are scanned for vulnerabilities. Announced vulnerabilities and scanned vulnerabilities are registered and mitigated through the change management process.
    • Upgrading the services is based on an OTAP process.
    • The software used is open-source. This allows for inspection of the source-code and effectively review and pentest the production software on security issues.
    • Data encrypted in transit (SSL) (Qualys SSLtest A rating)
    • Backups are stored encrypted
  • Security measures which users can take to increase security levels
    • Use unique strong passwords and good password principles (like consider using a password manager)
    • The CO admin should periodically check whether all members of the CO still need the access they are granted
    • The CO admin should periodically check the SCZ logs for anomalies (entries that are suspicious)
    • Verify the identity of CO team members
    • Use common security practices, like use virus checkers on devices
  • Measures planned as soon as SCZ is nearing production
    • Consider two factor authentication
    • Annual security audits
      • Technical audits with pen-testing
      • Compliancy with SURF Standard Framework for Cloud Services, AVG & GDPR Security
    • Vulnerability scans performed regularly

Apart from the mentioned measures, we also adhere to general SURFnet measures (in Dutch): 

  • Inventory: er is een actueel en compleet overzicht van de voor de dienst gebruikte infrastructuur en middelen
  • Rollen en verantwoordelijkheden: er is een actueel en compleet overzicht van rollen, taken en verantwoordelijkheden voor de dienst
  • Wijzigingsbeheer: op een gecontroleerde wijze worden wijzigingen doorgevoerd inclusief besluitvorming, test- en fall back mechanismes etc.
  • Vulnerability management/patching: de dienst kent mechanismen voor detectie, beheer en verhelpen van kwetsbaarheden
  • Toegangsbeperking (logisch): er zijn mechanismen voor het verlenen van toegang, het controleren van rechten en het intrekken van de toegang
  • Hardening/access control: maatregelen die toegang tot de systemen, infrastructuur en gegevens beperken en misbruik voorkomen (hardening van systemen, firewalls, ACLs etc., bescherming van opgeslagen gegeven en van gegevenstransport)
  • Standaardisatie bij software ontwikkeling: er wordt gebruik van standaarden voor softwareontwikkeling en mechanisme voor het controleren van de kwaliteit.
  • Logging en monitoring: monitoring en logging vinden plaats waarbij omvang en doelstelling is vastgelegd. Tijdens de pilot loggen we in het kader van trouble shooting etc iets meer dan voor productie-diensten.
  • Incident respons: er zijn procedures opgesteld voor het melden, analyseren, verhelpen en rapporteren van security incidenten in de hele keten.
  • Afspraken leveranciers: in contracten, SLA’s, DAPS etc. zijn de afspraken vastgelegd met leveranciers, inclusief rapportages en periodiek overleg (RaTe: dit hebben we nog maar beperkt; is wel geregeld voor diverse gebruikte platforms als SURFcumulus-infra)
  • Afspraken/screening met/van betrokken medewerkers: aan medewerkers, inhuur en medewerkers bij leveranciers worden eisen gesteld m.b.t. vertrouwelijkheid en integriteit.
  • Auditprogramma: er is een auditprogramma voor de controle van de effectiviteit van de genomen beveiligingsmaatregelen. (RaTe: hebben we nog niet, gaan we wel doen)

Voor SCZ is een DPIA gedaan met daarin oa welke gegevens we verwerken. 


  • No labels