Page tree
Skip to end of metadata
Go to start of metadata

Uitgangspunt van deze dienstverlening is dat SURF zorgdraagt voor de netwerkverbindingen en een beveiligd platform wat door de instelling gebruikt kan worden om hun SURFinternet verbinding te voorzien van een beveiligingsbeleid. De inhoud van het beveiligingsbeleid en het instellen van de Firewall om dit juist af te handelen wordt in de “Basic” dienstvariant aan de firewall is eventueel hulp beschikbaar vanuit SURF.

Rechten van betrokkenen

SURF heeft de rol van verwerker bij deze dienst, waar de afnemende instelling verwerkingsverantwoordelijke is. Om deze reden worden betrokkenen aangeraden contact op te nemen met de afnemende instelling om hun rechten uit te oefenen. SURF zal, waar technisch mogelijk, gehoor geven aan verzoeken van de instelling hieromtrent.

Persoonsgegevens

Aangezien de instelling de verantwoordelijkheid heeft voor het opstellen van het beveiligingsbeleid en de instellingen in de firewall, is het bijbehorende privacybeleid ook aan de instelling om op te stellen en na te leven. Hierbij moet worden opgemerkt dat SURF’s normenkaders van toepassing zijn en dat het niet de bedoeling is om zonder zorgvuldige weging deze dienst te gebruiken om de vrijheden op het Internet te beperken.

Daarnaast verwerkt SURF in opdracht van de instelling mogelijk gevoelige gegevens, waarvan een beknopte versie hieronder is weergegeven. In de praktijk kan dit afwijken, indien de instelling de controle heeft over de exacte werking van de firewall (beveiligingsbeleid).

<TABEL Categorie Persoonsgegevens>

De precieze verwerking van persoonsgegevens bij het filteren door de firewall, hangt af van de firewall regels die een afnemende instelling instelt en de persoonsgegevens die daarbij nodig zijn om het verkeer te filteren. De afnemende instelling heeft hier het specifieke inzicht in. Deze regels hebben vooral invloed op de verwerking van persoonsgegeven van gebruikers van het netwerk van de instelling (studenten en instellingsmedewerkers).

Beleidsregels kunnen bestaan uit:

  • IP reeksen en adressen
  • Protocol details
  • Groepslidmaatschappen
  • Tijdsperiodes
  • Applicatiesoorten

Aanvullend kunnen op verzoek van afnemers specifieke criteria als beleidsregel op worden genomen, bijvoorbeeld voor herkenning van een specifiek virus of verkeerspatroon. De instelling heeft hier altijd de hulp van SURF voor nodig.

Verwerkingsdoeleinden en belangen

Het is aan de afnemende instelling (verwerkingsverantwoordelijke) om te bepalen voor welke doeleinden persoonsgegevens worden verwerkt en welke persoonsgegevens noodzakelijk zijn voor deze doeleinden. Het is dus aan de afnemende instelling om bij het gebruik van een firewall te bepalen voor welke doeleinden een firewall wordt ingezet en welke persoonsgegevens worden verwerkt voor deze doelen. Het daadwerkelijk uitvoeren van deze verwerkingen vindt dan plaatst binnen de infrastructuur van SURFfirewall.

De volgende algemene doeleinden zijn nu bij SURF bekend:

  • Beveiliging
  • Toegangsbeperking
  • Gegevensbescherming
  • Opsporen misbruik van het netwerk

De volgende belangen zijn nu bij SURF bekend:

  • Het beveiligen van het interne netwerk van de instellingen, doormiddel van firewallregels.
    Het gaat hier dus o.a. om het voorkomen van oneigenlijke toegang of misbruik van het door de firewall beschermde netwerk.
  • Het optimaal laten functioneren van het netwerk en zorgdragen voor de beschikbaarheid.
    Bijvoorbeeld door verstorend verkeer op de firewall te blokkeren, voordat het impact heeft op het interne netwerk. Denk hier bijvoorbeeld aan het blokkeren van een DDOS.

Verwerkingen

De gegevensverwerkingen zijn erop gericht om de firewall dienst mogelijk te maken en te kunnen leveren aan de instellingen. Naast de verwerkingen rond de firewall zelf, zijn er ook verwerkingen rond het aanmaken van beheeraccounts, leveren van support, logging en het opstellen van rapportages. Deze worden op verzoek met de afnemende instelling gedeeld.

Verwerkingslocaties

Alle verwerkingen vinden plaats binnen de EER. Het kan zijn dat er voor het juist functioneren van de dienst ondersteuning nodig is van een partij buiten de EER. Deze heeft dan niet direct toegang tot persoonsgegevens. Hierbij valt te denken aan een leverancier van software, welke door subverwerkers kan worden ingeroepen.

 Betrokken partijen

SURF onderscheidt bij deze dienst een aantal partijen:

• De afnemende instelling (verwerkingsverantwoordelijke)

• SURF (verwerker)

• Door SURF betrokken beveiligingspartij (subverwerker)

 Juridisch en Beleidsmatig kader

Het SURF Juridisch Normenkader (Cloud)services van SURF, de Handreiking Security en het Privacybeleid van SURF zijn van toepassing.

Bewaartermijnen

Op verschillende persoonsgegevens zijn verschillende bewaartermijnen van toepassing. Zo wordt de logging van de acties van een beheerder anders beoordeeld dan de logging van verkeersinspecties. Verkeersinspecties worden na 6 weken verwijderd, terwijl andere persoonsgegevens bewaartermijnen hebben die mogelijk afhankelijk zijn van de duur van de dienstafname. Voor een exacte opgave van bewaartermijnen kunt u met SURF contact opnemen.

Rechten van betrokkenen

SURF heeft de rol van verwerker bij deze dienst, waar de afnemende instelling verwerkingsverantwoordelijke is. Om deze reden worden betrokkenen aangeraden contact op te nemen met de afnemende instelling om hun rechten uit te oefenen. SURF zal, waar technisch mogelijk, gehoor geven aan verzoeken van de instelling hieromtrent.

Beveiliging

Patching

Regelmatig ontvangt SURF van een betrokken beveiligingsbedrijf het advies rondom het installeren van beveiligingsupdates. Deze patches worden zo snel mogelijk geïnstalleerd. Het kan voorkomen dat wij vanwege de urgentie van de beveiligingsupdate buiten reguliere onderhoudsvensters werkzaamheden moeten verrichten. Deze werkzaamheden worden nog steeds vooraf aangekondigd, en waar nodig dezelfde dag geïnstalleerd. Voor een afweging van het spoedeisende karakter wordt de CVSS 2.0 index gebruikt.

Hierbij moet wel opgemerkt worden dat uiteindelijk de instelling verantwoordelijk is voor het voeren van een beveiligingsbeleid en het juist afstemmen van de SURFfirewall configuratie op dit beleid.

Role based access

Alle vormen van toegang zijn onderworpen aan role-based access control, waarbij de standaard rol geen toegang oplevert. Op deze manier zorgen wij voor het verlenen van de minst mogelijke toegang om de werkzaamheden uit te kunnen voeren.

Hardening

Op de firewalls zelf staan alle onnodige functionaliteiten uit. Dit wil zeggen dat wij een functie pas inschakelen op het moment dat hier noodzaak voor is. Op deze manier voorkomen wij het onnodig misbruik van functies van de firewall.

Versleuteling

Alle communicatie met de firewall gebeurt versleuteld middels daarvoor geldende standaarden (TLS1.3). Alle opslag op firewall hardware gebeurt versleuteld.

Audits vanuit SURF

De kwaliteit en veiligheid van de dienstverlening is voor SURF belangrijk. Daarom worden er de

volgende audits uitgevoerd:

OnderdeelSoort auditFrequentie

Alle publieke interfaces van

de dienst

Pentest (blackbox)Jaarlijks
De complete infrastructuurPentest (whitebox)Eens per 3 jaar
Processen en proceduresAdministratiefVolgens programma SURF

Rollen en verantwoordelijkheden

Om de dienst volgens verwachting te laten werken, is het belangrijk een overzicht te geven van de rollen en verantwoordelijkheden zoals deze bij het ontwerp is vastgelegd.

RolVerantwoordelijkheidToebedeeld aan
Operationeel beheerder

Het werkend houden van de

firewall

SURF (uitbesteed aan 3e

partij)

Netwerk integratie noncampusHet integreren van de firewall met het netwerkSURF
Netwerk integratie campusHet integreren van de firewall met het campus netwerkInstelling
Beveiligingsbeheer

 De firewall voorzien van de juiste beveiligingsregels

Instelling
Toegangsbeheer

Toegang tot de beheersportaal beperken

SURF
VerwerkerIn de zin van de AVGSURF
VerwerkingsverantwoordelijkeIn de zin van de AVGInstelling
SubverwerkerIn de zin van de AVG 3e partij
  • No labels