Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

...

Samenvatting

  RFC0052 Pentest scope en testwijze
Waarom is deze RFC nodig?

Bij het verwerken van RFC0052 Pentest scope en testwijze is door een misverstand alleen Norm A.18.2.3 (2) meegenomen en is Norm A.18.2.3 (1) ongewijzigd gebleven. Dit leidt tot een inconsistent voorschrift rond pentesten.

Oplossingsrichting

Norm A.18.2.3 (1) analoog aan A.18.2.3 (2) aanpassen zodat deze consistent worden.

RACI
Aanpassing van

Afsprakenstelsel

Impact op rollen

DVP, DVZA

Impact op beheer

nvt

Impact op RnA

nvt

Impact op Acceptatie

nvt

PIA noodzakelijkneen
Gerelateerd aan (Andere RFCs, PIM issues)


Implementatietermijn1.5.0


Motivatie verkorte RFC procedure (patch)Voorkomen onduidelijkheid rond pentest voorschriften.


Uitwerking


Op pagina A.18.2.3 (1) Beoordeling van technische naleving aanpassen:


Implementatie

Tenminste jaarlijks MOET een whitebox greybox applicatiepenetratietesten worden uitgevoerd op de externe koppelvlakken door een externe, onafhankelijke organisatie.


De volgende specifieke MedMij eisen moeten ook aantoonbaar getoetst zijn in de pentest rapportage;

Voor toetreding heeft deze minimaal al één keer plaatsgevonden en MOETEN de hoog en middel risico bevindingen op externe MedMij koppelvlakken zijn opgelost.

Voor penetratietesten die worden uitgevoerd na toetreding, dient een adequaat actieplan opgesteld te worden voor minimaal de hoge en midden risico's (CVSS-score (Common Vulnerability Scoring System) van 4,0 of hoger) ten aanzien van de MedMij dienstverlening. Dit actieplan wordt gedeeld met de beheerorganisatie. De corrigerende maatregelen worden tijdig doorgevoerd.



Principe's

Principe
Principe

1 Het MedMij-netwerk is zoveel mogelijk gegevensneutraal

  •   
11 Stelselfuncties worden vanaf de start ingevuld
  •   
2 Dienstverleners zijn transparant over de gegevensdiensten 
  •   
12 Het afsprakenstelsel is een groeimodel
  •   
Dienstverleners concurreren op de functionaliteiten
  •   
13 Ontwikkeling geschiedt in een half-open proces met verschillende stakeholders
  •   
Dienstverleners zijn aanspreekbaar door de gebruiker
  •   
14 Uitwisseling is een keuze
  •   
De persoon wisselt gegevens uit met de zorgaanbieder
  •   
15 Het MedMij-netwerk is gebruiksrechten-neutraal
  •   
MedMij spreekt alleen af wat nodig is
  •   
16 De burger regisseert zijn gezondheidsinformatie als uitgever
  •   
De persoon en de zorgaanbieder kiezen hun eigen dienstverlener
  •   
17 Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld
  •   
De dienstverleners zijn deelnemers van het afsprakenstelsel
  •   
18 Afspraken worden aantoonbaar nageleefd en gehandhaafd
  •   
10 Alleen de dienstverleners oefenen macht uit over persoonsgegevens bij de uitwisseling
  •   
19 Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat
  •   
Toelichting


Risico's

Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.

DreigingKansImpactDreigingsID (intern)Maatregelen
Niet alle publieke/semi publieke interfaces worden getest waardoor kwetsbaarheden blijven bestaanKlein


Midden

Bijlagen

Attachments
previewfalse
oldfalse

Goedkeuring

BeoordelaarDatumToelichtingBeoordelaarDatumToelichting
Productmanager Stichting MedMij

Productmanager Beheerorganisatie

Leadarchitect Stichting MedMij

Leadarchitect Beheerorganisatie

Ontwerpteam




Deelnemersraad

Eigenaarsraad

...