Cyber security, gegevensbescherming, dataveiligheid… Het zijn termen die je vaak voorbij hoort komen in de moderne informatiemaatschappij. Ook bij Cirqll zijn we hier veel mee bezig; een klantbeheersysteem werkt met gevoelige informatie en moet daarom veilig zijn. Hoe zorgen we hiervoor bij Cirqll? Niek Vaanholt, Hoofd Developer & ICT bij Cirqll, legt het graag uit.
Niek heeft inmiddels tien tot twaalf jaar ervaring met programmeren, een passie die ontstond als een uit de hand gelopen hobby. “Ik ben in de loop van de jaren steeds wijzer geworden van proberen en proberen. En ook fouten durven maken om ervan te leren.”
Verwerking van gebruikersgegevens
“De gegevens van gebruiker”, begint Niek, “zoals persoonsgegevens, maar ook zijn of haar afspraken en ingevoerde klanten bijvoorbeeld, worden verwerkt in een opslagdatabase. Dit wordt gedaan door de Application Programming Interface (API). Een API is een reeks regels en specificaties waarmee verschillende softwarecomponenten met elkaar kunnen communiceren. De API is als het ware het verbindingsstuk tussen de database en de voorkant van een applicatie.”
Voorkomen van datalekken
Niek gaat verder: “In de API zit beveiliging die ervoor zorgt dat hij alleen de data kan aanroepen waar hij toegang tot hoort te hebben. Dit betekent dat bedrijven alleen hun eigen gegevens kunnen inzien. Mocht je toegang hebben tot andermans gegevens, dan is er sprake van een datalek. Dit kan worden veroorzaakt door een programmeerfout. Bij Cirqll zorgen we dat er geen lek komt door een strak beleid en het goed blijven hanteren van controleregels binnen de API. Door veel te testen, zowel handmatig als geautomatiseerd, blijven we daar scherp op.”
Toegang tot gegevens
Niek: “Wij gebruiken de software van MySQL voor het beheer van de opslagdatabase. Bij Cirqll heeft alleen de hoofdprogammateur toegang tot de server met een persoonlijke sleutel, een zogeheten encrypted SSH-key.” Niek voegt toe: “Die sleutel krijg je niet zomaar. Het bedrijf dat de hosting voor onze website verzorgt, Shockmedia, moet het IP-adres registreren op een whitelist. Dit betekent dat je slechts vanaf een uniek, vastgelegd adres toegang kan krijgen tot de server.”
Niek vertelt graag meer over deze partner van Cirqll. “Hun effectieve vorm van beveiliging is de voornaamste reden voor ons om samen te werken met Shockmedia. Dit bedrijf heeft een aantal specifieke certificaten omtrent dataverwerking. Om deze niet kwijt te raken, dienen zij zich aan strikte normen te houden. Ze zitten er echt bovenop.”
“Het bedrijf uit Almelo biedt webhosting aan. Dit is een dienst waarmee bedrijven en individuen hun website of webapplicatie op internet kunnen plaatsen. Het biedt de opslagruimte, bandbreedte en technische ondersteuning die nodig is om een website of webapplicatie te laten draaien.”
Programmering
“Cirqll is gebouwd op een framework van Laravel. Deze software-architectuur is erg veilig, het is bewezen bestand tegen de belangrijkste dreigingen. Zo houdt het SQL-injecties en script attacks tegen. En het beleid van Cirqll zorgt ervoor dat enkel specifieke mensen objecten kunnen aanpassen.”
“Bij Cirqll doen we dus veel aan veiligheid”, concludeert Niek, “maar als gebruiker kun je ook het een en ander doen op dat vlak.” Hij legt uit: “Uiteraard is het van belang dat je een niet al te makkelijk wachtwoord kiest. Daarin is altijd het advies: pak een wachtwoord van 8 tot 12 karakters, speciale tekens en cijfers. Dat is de standaard binnen de meeste systemen. Je kunt moeilijke wachtwoorden laten genereren door een password manager.”
Twee-factor-authenticatie
“In de toekomst willen we wachtwoorden van gebruikers gaan toetsen op sterkte. Daarnaast willen we de optie twee-factor-authenticatie gaan aanbieden. Dat is een tweede beveiligingslaag bij het inlogproces, waarbij een extra code op je telefoon benodigd is. Deze beveiliging passen wij bijvoorbeeld al toe bij onze huidige WordPress-omgeving. Ook update Roy items en plugins die aan WordPress gekoppeld zijn eens per twee weken.”
Scheiding website en applicatie
“In onwaarschijnlijke geval dat de website gehackt wordt”, vertelt Niek, “is het goed om te weten dat dit geen gevolgen hoeft te hebben voor de app. Deze staat er namelijk los van: er is bewust gekozen voor twee geïsoleerde omgevingen.
Wil jij meer weten over hoe Cirqll zich inzet voor bescherming en veiligheid van jouw gegevens? Niek staat je graag te woord. Neem gerust contact op!
