Uitgangspunt van deze dienstverlening is dat SURF zorgdraagt voor de netwerkverbindingen en een beveiligd platform wat door de instelling gebruikt kan worden om hun SURFinternet verbinding te voorzien van een beveiligingsbeleid. De inhoud van het beveiligingsbeleid en het instellen van de Firewall om dit juist af te handelen wordt in de “Basic” dienstvariant aan de firewall is eventueel hulp beschikbaar vanuit SURF.
Rechten van betrokkenen
SURF heeft de rol van verwerker bij deze dienst, waar de afnemende instelling verwerkingsverantwoordelijke is. Om deze reden worden betrokkenen aangeraden contact op te nemen met de afnemende instelling om hun rechten uit te oefenen. SURF zal, waar technisch mogelijk, gehoor geven aan verzoeken van de instelling hieromtrent.
Persoonsgegevens
Aangezien de instelling de verantwoordelijkheid heeft voor het opstellen van het beveiligingsbeleid en de instellingen in de firewall, is het bijbehorende privacybeleid ook aan de instelling om op te stellen en na te leven. Hierbij moet worden opgemerkt dat SURF’s normenkaders van toepassing zijn en dat het niet de bedoeling is om zonder zorgvuldige weging deze dienst te gebruiken om de vrijheden op het Internet te beperken.
Daarnaast verwerkt SURF in opdracht van de instelling mogelijk gevoelige gegevens, waarvan een beknopte versie hieronder is weergegeven. In de praktijk kan dit afwijken, indien de instelling de controle heeft over de exacte werking van de firewall (beveiligingsbeleid).
<TABEL Categorie Persoonsgegevens>
De precieze verwerking van persoonsgegevens bij het filteren door de firewall, hangt af van de firewall regels die een afnemende instelling instelt en de persoonsgegevens die daarbij nodig zijn om het verkeer te filteren. De afnemende instelling heeft hier het specifieke inzicht in. Deze regels hebben vooral invloed op de verwerking van persoonsgegeven van gebruikers van het netwerk van de instelling (studenten en instellingsmedewerkers).
Beleidsregels kunnen bestaan uit:
- IP reeksen en adressen
- Protocol details
- Groepslidmaatschappen
- Tijdsperiodes
- Applicatiesoorten
Aanvullend kunnen op verzoek van afnemers specifieke criteria als beleidsregel op worden genomen, bijvoorbeeld voor herkenning van een specifiek virus of verkeerspatroon. De instelling heeft hier altijd de hulp van SURF voor nodig.
Verwerkingsdoeleinden en belangen
Het is aan de afnemende instelling (verwerkingsverantwoordelijke) om te bepalen voor welke doeleinden persoonsgegevens worden verwerkt en welke persoonsgegevens noodzakelijk zijn voor deze doeleinden. Het is dus aan de afnemende instelling om bij het gebruik van een firewall te bepalen voor welke doeleinden een firewall wordt ingezet en welke persoonsgegevens worden verwerkt voor deze doelen. Het daadwerkelijk uitvoeren van deze verwerkingen vindt dan plaatst binnen de infrastructuur van SURFfirewall.
De volgende algemene doeleinden zijn nu bij SURF bekend:
- Beveiliging
- Toegangsbeperking
- Gegevensbescherming
- Opsporen misbruik van het netwerk
De volgende belangen zijn nu bij SURF bekend:
- Het beveiligen van het interne netwerk van de instellingen, doormiddel van firewallregels.
Het gaat hier dus o.a. om het voorkomen van oneigenlijke toegang of misbruik van het door de firewall beschermde netwerk. - Het optimaal laten functioneren van het netwerk en zorgdragen voor de beschikbaarheid.
Bijvoorbeeld door verstorend verkeer op de firewall te blokkeren, voordat het impact heeft op het interne netwerk. Denk hier bijvoorbeeld aan het blokkeren van een DDOS.
Verwerkingen
De gegevensverwerkingen zijn erop gericht om de firewall dienst mogelijk te maken en te kunnen leveren aan de instellingen. Naast de verwerkingen rond de firewall zelf, zijn er ook verwerkingen rond het aanmaken van beheeraccounts, leveren van support, logging en het opstellen van rapportages. Deze worden op verzoek met de afnemende instelling gedeeld.
Verwerkingslocaties
Alle verwerkingen vinden plaats binnen de EER. Het kan zijn dat er voor het juist functioneren van de dienst ondersteuning nodig is van een partij buiten de EER. Deze heeft dan niet direct toegang tot persoonsgegevens. Hierbij valt te denken aan een leverancier van software, welke door subverwerkers kan worden ingeroepen.
Betrokken partijen
SURF onderscheidt bij deze dienst een aantal partijen:
• De afnemende instelling (verwerkingsverantwoordelijke)
• SURF (verwerker)
• Door SURF betrokken beveiligingspartij (subverwerker)
Juridisch en Beleidsmatig kader
Het SURF Juridisch Normenkader (Cloud)services van SURF, de Handreiking Security en het Privacybeleid van SURF zijn van toepassing.
Bewaartermijnen
Op verschillende persoonsgegevens zijn verschillende bewaartermijnen van toepassing. Zo wordt de logging van de acties van een beheerder anders beoordeeld dan de logging van verkeersinspecties. Verkeersinspecties worden na 6 weken verwijderd, terwijl andere persoonsgegevens bewaartermijnen hebben die mogelijk afhankelijk zijn van de duur van de dienstafname. Voor een exacte opgave van bewaartermijnen kunt u met SURF contact opnemen.
Rechten van betrokkenen
SURF heeft de rol van verwerker bij deze dienst, waar de afnemende instelling verwerkingsverantwoordelijke is. Om deze reden worden betrokkenen aangeraden contact op te nemen met de afnemende instelling om hun rechten uit te oefenen. SURF zal, waar technisch mogelijk, gehoor geven aan verzoeken van de instelling hieromtrent.
Beveiliging
Patching
Regelmatig ontvangt SURF van een betrokken beveiligingsbedrijf het advies rondom het installeren van beveiligingsupdates. Deze patches worden zo snel mogelijk geïnstalleerd. Het kan voorkomen dat wij vanwege de urgentie van de beveiligingsupdate buiten reguliere onderhoudsvensters werkzaamheden moeten verrichten. Deze werkzaamheden worden nog steeds vooraf aangekondigd, en waar nodig dezelfde dag geïnstalleerd. Voor een afweging van het spoedeisende karakter wordt de CVSS 2.0 index gebruikt.
Hierbij moet wel opgemerkt worden dat uiteindelijk de instelling verantwoordelijk is voor het voeren van een beveiligingsbeleid en het juist afstemmen van de SURFfirewall configuratie op dit beleid.
Role based access
Alle vormen van toegang zijn onderworpen aan role-based access control, waarbij de standaard rol geen toegang oplevert. Op deze manier zorgen wij voor het verlenen van de minst mogelijke toegang om de werkzaamheden uit te kunnen voeren.
Hardening
Op de firewalls zelf staan alle onnodige functionaliteiten uit. Dit wil zeggen dat wij een functie pas inschakelen op het moment dat hier noodzaak voor is. Op deze manier voorkomen wij het onnodig misbruik van functies van de firewall.
Versleuteling
Alle communicatie met de firewall gebeurt versleuteld middels daarvoor geldende standaarden (TLS1.3). Alle opslag op firewall hardware gebeurt versleuteld.
Audits vanuit SURF
De kwaliteit en veiligheid van de dienstverlening is voor SURF belangrijk. Daarom worden er de
volgende audits uitgevoerd:
| Onderdeel | Soort audit | Frequentie |
|---|---|---|
Alle publieke interfaces van de dienst | Pentest (blackbox) | Jaarlijks |
| De complete infrastructuur | Pentest (whitebox) | Eens per 3 jaar |
| Processen en procedures | Administratief | Volgens programma SURF |
Rollen en verantwoordelijkheden
Om de dienst volgens verwachting te laten werken, is het belangrijk een overzicht te geven van de rollen en verantwoordelijkheden zoals deze bij het ontwerp is vastgelegd.
| Rol | Verantwoordelijkheid | Toebedeeld aan |
|---|---|---|
| Operationeel beheerder | Het werkend houden van de firewall | SURF (uitbesteed aan 3e partij) |
| Netwerk integratie noncampus | Het integreren van de firewall met het netwerk | SURF |
| Netwerk integratie campus | Het integreren van de firewall met het campus netwerk | Instelling |
| Beveiligingsbeheer | De firewall voorzien van de juiste beveiligingsregels | Instelling |
| Toegangsbeheer | Toegang tot de beheersportaal beperken | SURF |
| Verwerker | In de zin van de AVG | SURF |
| Verwerkingsverantwoordelijke | In de zin van de AVG | Instelling |
| Subverwerker | In de zin van de AVG | 3e partij |