SURFspot Blog

Blog van SURFspot.Lees. Leer. Ontdek!

Veilig shoppen op SURFspot

2 jaar geleden, Geschreven door , Geplaatst in Achter de schermen, Inspiratie
security bij SURFspot

In maart zag SURFspot opnieuw het levenslicht. Een hele nieuwe website. Maar wat komt er eigenlijk bij kijken wanneer je klanten en jezelf wilt beschermen tegen hackers en ander cybergajes? En hoe zorgen we dat jouw gegevens privé blijven?

Het volgende:

1) SURFspot heeft geen inloggegevens van je
Inloggen bij SURFspot doe je via SURFconext. SURFconext zorgt ervoor dat je met de inlog gegevens van je onderwijsinstelling kunt inloggen bij onze webwinkel. SURFspot heeft daardoor geen inloggegevens. Klik bij SURFspot op de knop inloggen, selecteer dan je instelling, en daarna voer je bij je instelling je gebruikersnaam en wachtwoord in. De instelling geeft dan weer een “ok” signaal terug aan SURFspot. Na dit akkoord kunnen (en mogen) we je naar binnen laten. SURFspot beheert dus geen wachtwoorden. En dat is fijn, want wat je niet opslaat kan ook niet gehackt worden.

2) Betalen via SURFspot
Betalen doe je via de omnikassa van de Rabobank. De omnikassa voldoet aan de PCI DSS (Payment Card Industry Data Security Standaard). SURFspot slaat geen bankrekening nummer of creditcard gegevens op. Ook hier geldt: wat we niet hebben kunnen hackers ook niet stelen.

3) Hosting
We hosten SURFspot bij True hosting. Met True en onze beheer partij Esser Emmerik sloten we een contract af wat voldoet aan het HO normenkader. Het hoger onderwijs (HO)normenkader is een juridisch normenkader dat de best practice clausules bevat voor overeenkomsten met leveranciers van clouddiensten. Dit geeft SURFspot voldoende borg hoe externe partijen omgaan met vertrouwelijkheid, privacy, eigendom en beschikbaarheid van gegevens.

4) Gebruik van https
De website van SURFspot is altijd HTTPS. Waarom is dat belangrijk? Bekijk dan de video over https. Wij gebruiken de zogenaamde groene certificaten oftewel “extended validation certificate”. Wanneer je www.surfspot.nl intypt zie je links in de adresbalk de eigenaar van SURFspot: SURFmarket. Om het eigenaarschap te valideren onderneemt Digicert (leverancier van SSL Encryptie Certificaat en autorisatie) de volgende acties:

– “Verifying the legalphysical, and operational existence of the entity”
– “Verifying that the identity of the entity matches official records” in ons geval de kamer van koophandel registratie. Bij Stichting Internet Domeinregistratie wordt nagegaan het domein surfspot.nl geregistreerd is door SURFmarket.
– “Verifying that the entity has properly authorized the issuance of the certificate”

Een certificaat wordt pas uitgegeven nadat SURFmarket de aanvraag heeft gecontroleerd en bevestigd. Dient iemand bij DigiCert een verzoek in voor een certificaat voor www.surfmarket.nl? Dan krijgen we een bericht hiervan van DigiCert om deze te controleren en goed te keuren.

Audits
SURFspot is ook aan verschillende audits onderworpen. Online met Outpost 24 een tool die automatisch webpaginas scant op kwetsbaarheden en een penetration test door de ethical hackers van Radically Open Security.  De gevonden kwestbaarheden zijn onmiddellijk verholpen.

PS: Voor alle hackers onder ons. Dit is geen uitnodiging om SURFspot te hacken ;-). Zie ook ons Responsible disclosure beleid.

Geef een reactie

*


CAPTCHA Image
Reload Image