...
| Waarom is deze RFC nodig? | Expliciete verificatie van een aantal MedMij vereisten dmv de jaarlijkse pentest. Er is gebleken bij periodieke controles dat DNSSEC bij enkele deelnemers niet actief was en dat bepaalde security headers in http en TLS settings niet voldeden aan de MedMij vereisten. |
|---|---|
| Oplossingsrichting | Maak is in de eisen van voor pentest explicieter dat zodat een aantal vereisten worden getest en getoetst door de auditorkunnen worden tijdens de MedMij audit |
| Aanpassing van | Normenkader informatiebeveiliging A.18.2.3 (1) |
| Impact op rollen | DVP, DVZA en BO (alle rollen) |
| Impact op beheer | ja toetsen in auditrapport van deelnemers |
| Impact op RnA | N/A |
| Impact op Acceptatie | N/A |
| PIA noodzakelijk | |
| Gerelateerd aan (Andere RFCs, PIM issues) | Inlogen twee factor geldt voor het gehele MedMij PGO |
| Eigenaar | Risk en security team, Former user (Deleted) |
| Implementatietermijn | 1.5 AS |
| Motivatie verkorte RFC procedure (patch) | Toetsingscriteria pentest uitbreiden |
...
Voor penetratietesten die worden uitgevoerd na toetreding, dient een adequaat actieplan opgesteld te worden voor minimaal de hoge en midden risico's (CVSS-score (Common Vulnerability Scoring System) van 4,0 of hoger) ten aanzien van de MedMij dienstverlening. Dit actieplan wordt gedeeld met de beheerorganisatie. De corrigerende maatregelen worden tijdig doorgevoerd."
...
Risico's
Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.
...