Security
Security is essentieel voor alle vertrouwensdiensten en niet alleen om de vereiste juridische waarde te verkrijgen, maar ook om de privacy van berichten en documenten te waarborgen. De balans tussen de mate van veiligheid enerzijds en de gebruiksvriendelijkheid anderzijds is een belangrijke afweging die wij voortdurend maken. Hierbij houden wij rekening met de wet- en regelgeving en de stringente vereisten conform de eIDAS – eIDAS 2.0 Verordening.
Verplichtingen vanuit eIDAS – eIDAS 2.0
Conform eIDAS en eIDAS 2.0 hebben gekwalificeerde aanbieders van vertrouwensdiensten (Qualified Trust Service Providers – qTSP’s) strengere verplichtingen om de veiligheid, betrouwbaarheid, wettelijke naleving en grensoverschrijdende interoperabiliteit van hun vertrouwensdiensten te garanderen.
Deze verplichtingen zijn vastgesteld om het vertrouwen in de hele EU in stand te houden, vooral nu digitale transacties steeds algemener en kritischer worden (bv. via de European Digital Identity Wallet). eIDAS 2.0 bouwt voort op eIDAS 1.0, maar introduceert nieuwe verantwoordelijkheden in het licht van opkomende technologieën en grensoverschrijdende digitale behoeften.
De verplichtingen van een Qualified Trust Service Provider (qTSP) onder eIDAS 2.0 kunnen als volgt worden samengevat:
1. Toezicht en accreditatie
- Een PVM moet een conformiteitsbeoordeling ondergaan door een onafhankelijke instantie.
- Het moet de gekwalificeerde status krijgen van de nationale toezichthoudende autoriteit.
- Eens goedgekeurd, wordt de qTSP opgenomen in de EU Trusted List (EUTL), wat grensoverschrijdende erkenning mogelijk maakt.
2. Gekwalificeerde vertrouwensdiensten pas aanbieden na goedkeuring
- Een vertrouwensdienst kan alleen als gekwalificeerd worden aangeboden nadat de qTSP formele goedkeuring heeft ontvangen.
- Hieronder vallen diensten zoals:
- Gekwalificeerde elektronische handtekeningen (QES)
- Gekwalificeerde elektronische zegels
- Gekwalificeerde elektronische tijdstempels
- Gekwalificeerde websiteverificatiecertificaten
- Gekwalificeerde elektronische bezorgdiensten (qERDS)
- Gekwalificeerde elektronische archiefdiensten (nieuw in eIDAS 2.0)
- Gekwalificeerde attesten van kenmerken
3. Beveiliging en risicobeheer
- qTSP’s moeten passende technische en organisatorische maatregelen implementeren om:
- Misbruik of ongeautoriseerde toegang te voorkomen,
- te beschermen tegen compromittering, fraude en cyberbedreigingen.
- Moeten regelmatige risicobeoordelingen en incidentmonitoring uitvoeren.
4. Aansprakelijkheid
- PVT’s worden verondersteld aansprakelijk te zijn voor schade veroorzaakt door het niet naleven van hun verplichtingen, tenzij ze kunnen bewijzen dat ze geen fout hebben gemaakt (d.w.z. dat ze alle redelijke maatregelen hebben genomen).
- Dit versterkt het vertrouwen van gebruikers en vertrouwende partijen.
5. Transparantie en toestemming voor gebruikers
- Aan gebruikers moeten duidelijke en volledige voorwaarden worden verstrekt.
- De informatie moet het volgende omvatten:
- Beschrijving van de vertrouwensdienst,
- Eventuele gebruiksbeperkingen,
- Procedures voor klachten en verhaal.
- Er moet expliciete toestemming van de gebruiker worden verkregen voor het verwerken van persoonlijke gegevens, in overeenstemming met GDPR.
6. Beschikbaarheid, continuïteit & herroeping
- Moet een hoge beschikbaarheid en continuïteit van de dienst garanderen.
- Moet duidelijke en veilige intrekkings- of opschortingsprocedures hebben voor gecompromitteerde certificaten of diensten.
- Moeten eventlogs en servicebewijs veilig en duurzaam bewaren.
7. Gebruik van gekwalificeerde onderdelen en procedures
- Vertrouwensdiensten (bv. e-handtekeningen, e-seals) moeten gebaseerd zijn op:
- Gekwalificeerde middelen voor het aanmaken van handtekeningen/verzegelingen (QSCD’s),
- Gekwalificeerde certificaten, uitgegeven in overeenstemming met strikte normen.
8. Naleving van EU-normen
- Diensten moeten voldoen aan:
- ENISA- en ETSI-normen,
- EU-brede technische specificaties, inclusief updates voor nieuwere technologieën die in eIDAS 2.0 zijn geïntroduceerd.
9. Samenwerking met toezichthoudende autoriteiten
- Moet samenwerken tijdens:
- Audits en beoordelingen,
- onderzoeken van incidenten,
- Toezicht op naleving.
10. Interoperabiliteit en Europese digitale identiteitsportefeuille (EUDI Wallet)
- qTSP’s moeten interoperabiliteit over de EU-grenzen heen ondersteunen.
- eIDAS 2.0 voert verplichtingen in met betrekking tot de uitgifte en verificatie van referenties voor gebruik in de EUDI-wallet (bv. digitale diploma’s, beroepskwalificaties, gezondheidscertificaten).
Enkele maatregelen uitgelicht
Certificeringen
Aangetekend is gecertificeerd tegen eisen uit standaarden, schema’s en verordeningen. De klanten van Aangetekend vertrouwen hun gevoelige data toe waarbij de veiligheid, integriteit en beschikbaarheid van haar vertrouwensdiensten essentieel zijn. Informatiebeveiliging zit in ons DNA en kunnen we aantonen met onafhankelijke certificeringen en accreditaties . Dit maakt ons een betrouwbare partner voor bedrijven in een veelheid aan sectoren en overheidsinstanties .
- eIDAS en eIDAS2.0: Aangetekend is een EU gekwalificeerde vertrouwensdienstverlener conform de Europese eIDAS-Verordening en levert belangrijke vertrouwensdiensten die een bijdrage leveren aan de digitale weerbaarheid van bedrijven en overheden. Gekwalificeerd betekent dat onze organisatie en haar diensten voldoen aan de hoogste Europese standaarden voor betrouwbaarheid en rechtsgeldigheid.
- NIS2: de NIS2 is een vereiste onder eIDAS2.0 waarvoor Aangetekend gecertificeerd is.
- ISO27001:2022: Deze internationale norm is de standaard voor informatiebeveiliging. Aan de hand van een uitgebreid Information Security Management System worden mogelijke bedrijfsrisico’s gecontroleerd en gemitigeerd.
- ETSI: Deze wereldwijde erkende ETSI-certificering zorgt ervoor dat onze diensten voldoen aan de Europese standaarden voor telecommunicatie en beveiliging. Aangetekend is gecertificeerd tegen ETSI 319 401, 319 521 en 319 532.
Gegevens blijven binnen Europa
- Aangetekend beschikt over een eIDAS gecertificeerd rack met eigen servers en Hardware Security Module (HSM) welke gehuisvest zijn bij datacenter BIT te Ede. Het datacentra is ISO27001 en NEN 7510 gecertificeerd en beschikt over meerdere locaties (co-locatie) (ook binnen de EER).
- Bescherming van de data is gewaarborgd met Aangetekend haar certificeringen en conform de Privacyverklaring.
Veilige verbinding tussen Verzender en Ontvanger
- Per organisatie/proces wordt er een eigen Aangetekend server ingericht en de gewenste vertrouwensdiensten geactiveerd. Elke server wordt voorzien van een SSL certificaat waardoor er een beveiligde verbinding (Secure SMTP – TLS) kan worden opgetuigd tussen andere mailservers en webpagina’s (https://). Mutual SSL kan worden ingeregeld.
- Aangetekende Mails, Beveiligde Mails of te ondertekende documenten worden in een encrypted omgeving bewaard totdat dat de mail is opgehaald/geweigerd, de ingestelde ophaaltermijn is verstreken en/ of het document is ondertekend.
- Encryption-keys worden separaat van de klant specifieke omgeving bewaard.
Ophalen van een Aangetekende Mail door ontvanger
- Voordat de Aangetekend Mailen server de mail vrijgeeft wordt een CE-ID (32-bits) gevraagd, wanneer 3 pogingen falen wordt het IP-adres geblokkeerd.
- Over alle met de aankondigingsmail meegestuurde bijlagen wordt een Hash code berekend (SHA256). De ontvanger kan deze code eventueel benutten om de echtheid van het bericht te controleren.
- Optionele verificatie of identificatie kan worden ingezet voor een hogere betrouwbaarheid en juridische waarde.
Backup en patches van Aangetekend servers
- Backups worden dagelijks automatisch uitgevoerd en op een colocatie encrypted weggeschreven.
- Security patches worden dagelijks gescand en automatisch geïnstalleerd.
Updates en Beheer van servers
- De doorontwikkeling vindt plaats volgens het ‘security by design’ principe waarbij de OWASP wordt geraadpleegd.
- Updates worden ontwikkeld en opgeleverd gebruikmakend van een OTAP omgeving.
- Beheer wordt preventief uitgevoerd door gekwalificeerd gescreend personeel gebruikmakend van monitoring systeem die de juiste werking van elke Aangetekend Mailen server op 32 punten in de gaten houdt.
- Veilige passwords voor SSH toegang via enkel bekende IP-adressen voor ontwikkelaars.
- Anti SPAM maatregelen worden continue aangescherpt gebruikmakend van onder andere Reverse DNS, SPF, SSMTP, DKIM, DMARC en DANE.
Er zijn veel meer Security maatregelen genomen rondom de dienst Aangetekend Mailen welke geclassificeerd zijn als bedrijfsvertrouwelijk. Meer informatie rondom Security kan gedeeld worden op verzoek, na ondertekening van een NDA en op locatie kantoor van Aangetekend.
