Wij maken geen compromissen als het gaat om de veiligheid van onze software. Het beschermen en beveiligen van gebruikersgegevens is voor ons van het grootste belang.
 

 

 

Wij hebben meerdere beveiligingsmaatregelen om gegevens te beschermen tegen lekken, verlies en diefstal. Daarmee handhaven we de integriteit, vertrouwelijkheid en beschikbaarheid van de gegevens van onze gebruikers. Tenslotte zorgen onze processen en software features voor een hoge mate van beveiliging voor alle projecten.

Onze belangrijkste doelstellingen zijn:

  1. Bescherming van gebruikersgegevens en het bewaken van het vertrouwen in onze beveiligingsoplossingen.
  2. Het minimaliseren van beveiligingsrisico's en kwetsbaarheden die gegevens bedreigen.
  3. Naleving van internationale en industrienormen op het gebied van gegevensbescherming.

Deze pagina geeft een overzicht van onze beveiligingsmaatregelen en -processen. Neem voor vragen contact op met security@getopensocial.com.

 

 

Je gegevens zijn veiligLock

 

Open Social gebruikt gecertificeerde hostingoplossingen, implementaties en back-ups die zowel je eigen gegevens als de gegevens van je gebruikers beschermen.

Gecertificeerde Hosting 

Open Social maakt gebruik van cloud hosting in plaats van on-premise hosting. Beveiligingsverantwoordelijkheden worden gedeeld door Open Social en de cloud serviceprovider. Dit betekent dat onze hostingplatforms, Platform.sh en Amazon Web Services, verantwoordelijk zijn voor het beveiligen van de onderliggende infrastructuur van Open Social. En Open Social is verantwoordelijk voor alle beveiligingsmaatregelen daar bovenop. Dit gelaagde beveiligingsmodel bieden je gegevens een uitermate hoge standaard van veiligheid.

Gegevens hosten met Open Social heeft de volgende voordelen:

  • Je kan kiezen uit drie verschillende hostingplatforms. We lanceren onze software op hostingservices van Amazon Web Services, Platform.sh of Sovereign Cloud van Microsoft.
  • Je gegevens kunnen zowel in de EU als in de VS worden gehost. Dit zorgt ervoor dat onze gebruikers voldoen aan de regelgeving en wetten van hun gewenste land of regio.
  • Je gegevens worden beschermd door meerdere beveiligingslagen. Elk hostingplatform heeft specifieke voordelen en een veilige infrastructuur. Lees daarover meer hieronder.

 

Platform.sh and AWS logo

                                                       

Platform.Sh 

Open Social werkt samen met Platform.sh, een cloud hostingoplossing voor continue implementatie voor webapplicaties. Hier is een overzicht van hoe de Platform.sh beveiligingsmaatregelen voor Drupal 8 je gegevens beschermen:

  • Service isolatie. Elke service wordt geïmplementeerd in een geïsoleerde LXC-container die wordt beschermd door netwerkfirewalls.
  • Alleen-lezen op bestandssystemen. Applicatiecode wordt geïmplementeerd op een alleen-lezen bestandssysteem en beveiligt tegen aanvallen op PHP-bestanden.
  • 'Protective block'. Dit blok identificeert en voorkomt kwetsbaarheden van applicaties. Het beperkt de toegang tot websites met beveiligingsproblemen.
  • Beheer van omgevingsvariabelen. Open Social heeft een hoge mate van controle over het bouwproces en de runtime-omgeving van haar platforms.

Amazon Web Services

Open Social wordt gehost op Amazon Web Services (AWS), een platform dat een streng beveiligingsprogramma onderhoudt en beschikt over een infrastructuur van wereldklasse. Het implementeert een uitgebreide beveiligingsarchitectuur voor Open Social:

  • Netwerk beveiliging. AWS biedt services om de privacy en het beheer van netwerktoegang te vergroten. 
  • Voorraadbeheer en configuratiebeheer. De tools die door AWS worden aangeboden, voldoen aan de normen en best practices van de hosting industrie. 
  • Hyper moderne data centers. AWS data centers zijn gebouwd met een innovatief architectuur en ontwikkelingsproces.
  • Gegevensencryptie. AWS voegt een beveiligingslag toe aan uw gegevens met verschillende encryptiesfuncties, zoals EBS, S3, Glacier, Oracle RDS, SQL Server RDS en Redshift.
  • Toegangscontrole. Open Social implementeert AWS-toegangscontroles voor back-ups, die beleid voor gebruikerstoegang definiëren, afdwingen en beheren.
  • Netwerk monitoring en bescherming. AWS heeft geautomatiseerde systemen die de AWS-omgeving van Open Social controleren op ongewone of ongeautoriseerde activiteiten.

De gegevens die zijn opgeslagen in de AWS-datacenters zijn ondergebracht in onopvallende faciliteiten en hebben de volgende kenmerken om gegevens zo veilig mogelijk te houden:

  • Gecontroleerde fysieke toegang. Toegang wordt gecontroleerd door videobewaking, inbraakdetectiesystemen, professioneel beveiligingspersoneel en twee-factor-authenticatie.
  • Branddetectie en -onderdrukking. Automatische apparatuur voor branddetectie en -onderdrukking.
  • Energie. Elektrische energiesystemen zijn overal aanwezig en worden 24 uur per dag, 7 dagen per week onderhouden.
  • Klimaat en temperatuur. Klimaat en temperatuur worden constant gecontroleerd.
  • Beheer. Preventief onderhoud en onderhoud van elektrische, mechanische en 'life support' systemen. 

 

Backups

Open Social heeft meerdere omgevingen voor back-ups om gegevens te beschermen tegen verlies of verwijdering. Platform.sh-back-ups bestaan ​​uit snapshots die op Platform.sh-servers zijn opgeslagen en een opslagtijd hebben van 7 dagen. Dit is een back-up functie voor klanten. Het bestaat uit alle relevante bestanden, waaronder applicatie, site-specifieke en database bestanden. Data back-ups worden off-site opgeslagen in een extern datacenter. Alle back-ups bevatten de gegevens die nodig zijn om de site te herstellen naar een willekeurige hostingprovider.

Daarnaast hebben we een geautomatiseerd proces dat kopieën van alle Open Social installaties maakt, opslaat en encrypt. Dit biedt extra zekerheid dat geen informatie verloren gaat en dat we back-ups snel kunnen herstellen. Back-ups worden off-site opgeslagen op de locatie AWS S3 EU Frankfurt. Elke klant heeft zijn eigen omgeving en de toegang tot de back-ups is strikt gereguleerd.

Bescherming van klantgegevens

Open Social heeft een gebruikersgericht ontwerp, waarin privacy van gebruikers en keuzevrijheid vooraanstaan bij onze keuzes.  We zijn ons bewust van de algemene verordening inzake gegevensbescherming (GDPR) die op 25 mei 2018 van kracht wordt. De AVG (GDPR) is een aanstaande EU-wetgeving die dient om de bescherming van de persoonlijke en privégegevens van EU-burgers te verbeteren. Hoewel Open Social reeds voldoet aan het grootste deel van de AVG / GDPR, zorgen we ervoor dat Open Social op kort termijn volledig voldoet aan deze wetgeving.


Bug icon Beschermd tegen alle bekende kwetsbaarheden

 

Open Social is ontworpen om alle data te beschermen door het onderhoud van onze software te waarborgen, zich te houden aan strikte beveiligingsadviezen en te weren tegen alle bekende kwetsbaarheden.

Onze beveiligingsprocessen

Open Social gebruikt een aantal beveiligingsprocessen om te zorgen dat elk project en de bijbehorende gegevens worden beveiligd. Deze werkwijzen worden hieronder samengevat.


Beperkte toegang tot gegevens 
Er is beperkte toegang tot de productiegegevens en slechts een paar, specifieke personen kunnen de website updaten. Toegang tot de website wordt alleen met behulp van beveiligde verbindingen uitgevoerd.

Verder hebben we op rollen gebaseerde beperkingen voor het community platform. De admin-beheerder kan bijvoorbeeld niet door iemand anders worden aangepast. Normale gebruikers hebben geen toegang tot sitebeheerfuncties (bijvoorbeeld gebruikers bekijken, bewerken of verwijderen). En sitebeheerders hebben alleen toegang tot strikt noodzakelijke functies.

Code van derden updaten
We hebben wekelijks een beveiligingsupdate van Drupal dat zorgt voor een regelmatige monitoring van onze code. Er is een team paraat als er beveiligingsoplossingen moeten worden geïmplementeerd.

Code Reviews 
Open Social voert 'peer reviews' van code uit. Dat zorgt ervoor dat er geen code wordt geïmplementeerd voordat er ten minste twee mensen naar hebben gekeken. Bovendien zijn er geautomatiseerde reviews die systematisch controleren op veelvoorkomende beveiligingsproblemen, en ook een proces dat de toevoeging van afhankelijkheden van code met bekende beveiligingsproblemen voorkomt.

HTTPS-verbindingen 
Open Social maakt gebruik van HTTPS-verbindingen. Voor elke installatie wordt een SSL-certificaat verstrekt zonder extra kosten voor onze klanten.

Update Processen
Open Social heeft een veilige server die de implementatie van nieuwe releases automatiseert. Bovendien updaten en onderhouden we systematisch Drupal-modules om de veiligheid te waarborgen.

Wachtwoordbeveiliging 
Administratieve accounts gebruiken alleen sterke wachtwoorden en zijn alleen beschikbaar voor een beperkt aantal personen.

Ervaren team 
Open Social heeft een ervaren team die ervoor zorgt dat alle beveiligingsprocessen en -instructies soepel verlopen. Het team heeft ervaring met grootschalige projecten waarbij meer dan honderdduizenden gebruikers betrokken zijn. Ze begrijpen en implementeren beveiligingsmaatregelen en best practices.

 

Software onderhoud

Open Social wordt gehost op Drupal, een van de meest populaire open source contentbeheersystemen. Drupal heeft een volwassen raamwerk voor applicatiebeveiliging en biedt de volgende beveiligingsvoordelen voor Open Social:

Een netwerk van support. Open Social profiteert van de beveiligingsondersteuning van het Drupal-beveiligingsteam en duizenden ontwikkelaars wereldwijd. Open samenwerking met de Drupal-community zorgt ervoor dat potentiële kwetsbaarheden en ontwerpfouten sneller worden gesignaleerd dan programma's die zijn gebouwd met custom software. 

Beveiliging. Open Social heeft veiligheidsmachtigingen van het Drupal-beveiligingsteam. Dit betekent dat het volgende is uitgevoerd op de Open Social-code: een geautomatiseerde test voor veiligheidsimplicaties, een handmatige beoordeling door de Drupal-community, en een laatste controle door het Drupal-beveiligingsteam.

Beveiligingsupdates. Open Social en Drupal-beveiligingsupdates worden altijd binnen een periode van 12 uur geïmplementeerd, ook bij reactie van klanten op de update notificatie. Dit zorgt ervoor dat de applicatie- en hostingomgevingen worden beschermd tegen bekende kwetsbaarheden.


Drupal 8 Beveiliging

Open Social is gebouwd op Drupal 8 (de nieuwste versie van Drupal), die meerdere maatregelen implementeert om uw gegevens te beschermen tegen aanvallen, zoals SQL-injectie, CSRF en XSS. Alle ontwikkelaars worden aangemoedigd om kwetsbaarheden te voorkomen door een set veilige API's te gebruiken, die de blootstelling aan deze aanvallen minimaliseren. Zie hieronder een lijst met Drupal 8-beveiligingsmaatregelen die van toepassing zijn op Open Social.

  • Vermijden van kwetsbaarheden van XSS-aanvallen;
  • Het uitvoeren van server-side code is praktisch onmogelijk;
  • Vermijden van SQL Injection-kwetsbaarheden;
  • Sessiehacking is onmogelijk met de HTTPS-verbinding van Drupal;
  • De Twig-theme-engine vermijdt bad practices en zorgt voor beveiliging aan de front-end van de applicatie;
  • 'Trusted host patterns' worden gebruikt om het kapen van de HTTP-host te voorkomen;
  • Verbeterde gebruikerswachtwoorden door de wachtwoorden uit te 'stretchen';
  • Gebruikers worden aangemoedigd om hun website te gebruiken op een HTTPS-only-verbinding en de mixed-modus SSL is verwijderd. 

Drupal beveiligingsadvies

Drupal heeft een volwassen proces om kwetsbaarheden in de kern van Drupal en bijgedragen projecten te detecteren. Er wordt een privé-issue gemaakt en aan de Drupal-beveiligingsteams gerapporteerd voor gevonden kwetsbaarheden. De impact van dit beveiligingslek wordt beoordeeld en geëvalueerd. Als het een bedreiging vormt, werken het beveiligingsteam en eventuele bijbehorende beheerders direct aan een nieuwe release, waarmee het beveiligingsprobleem wordt verholpen. Ten slotte wordt een beveiligingsadvies uitgebracht, zodat site-eigenaren problemen snel kunnen verhelpen.

 

Check icon Je voldoet aan wet- en regelgeving

 

Gegevens worden opgeslagen in de cloud en op fysieke locaties in de VS en Europa. Met de keus in verschillende locaties voldoe je eenvoudiger aan de relevante beveiligings- en gegevensbeschermingswetten van jouw land.

Lokale wet- en regelgeving

Alle Open Social gegevens worden gehost in afzonderlijke servers in AWS-datacenters in de VS (VS-Amazon) en Europa (EU-1 Amazon). Onze klanten kunnen kiezen uit één van deze clouds, zodat hun gegevens voldoen aan de lokale wetgeving, bijvoorbeeld op het gebied van beveiliging, gegevensbescherming, privacy, persoonlijke gegevens, meldingsplicht datalekken en dergelijke .

Europa

In Europa voldoet de gegevensopslag van onze klanten aan de EU-gegevensbeschermingswetgeving en eventuele toekomstige voorschriften die onder de AVG (GDPR) vallen. Bekijk de EU-gegevensbeschermingswebsite van AWS voor informatie over hoe AWS garandeert en bijdraagt ​​aan de naleving van de lokale EU-gegevensvereisten.

Open Social biedt ook Sovereign Cloud Hosting aan via Platform.sh dankzij de samenwerking met Microsoft. Deze soevereine clouds zorgen ervoor dat klanten voldoen aan de gegevensvereisten en de benodigde certificaten van een specifiek land. Microsoft Cloud Germany biedt bijvoorbeeld datacenters en strikte gegevensbeschermingsmaatregelen die in overeenstemming zijn met zowel Duitse datawetten en -voorschriften als internationale normen.

De Verenigde Staten

In de VS bestaat er geen eenduidige, volledige wet die het gebruik en de verzameling van persoonsgegevens regelt, maar er zijn richtlijnen en raamwerken die als 'best practice' worden beschouwd. AWS zorgt ervoor dat de gegevens worden verwerkt en opgeslagen in overeenstemming met deze best practices en IT-beveiligingsstandaarden.

De gegevensopslag voldoet aan de volgende Amerikaanse en Europese voorschriften en onderlinge afspraken: 

  • CISPE
  • EU MODEL Clauses
  • FERPA
  • GLBA
  • IRS 1075
  • U.K. DPA
  • EU Data Protection Directive

AWS Compliance Programma

AWS heeft een compliance-programma geïmplementeerd om de beveiliging en gegevensbescherming in de cloud te handhaven. Dit zijn de beveiligingscertificeringen die gelden voor Open Social:

  • C5
  • Cyber Essentials Plus
  • DoD SRG
  • FedRAMP
  • FIPS
  • ISO 9001
  • ISO 27001
  • ISO 27017
  • ISO 27018
  • PCI DSS Level 1
  • SOC 1
  • SOC 2
  • SOC 3 

Lees meer over AWS-certificeringen op de AWS-website .

 

Strekking en Gebruik

Open Social waardeert transparantie in onze diensten en oplossingen voor klanten. Deze pagina is gemaakt met die transparantie in gedachten. We verbeteren continu beveiligingsmaatregelen en gegevensbescherming. Daarom wordt deze pagina regelmatig bijgewerkt om updates en wijzigingen te communiceren.

Als je vragen hebt, neem dan gerust contact op met security@getopensocial.com.

Lees meer in onze blogs (Let op: tekst in Engels)

 

Online community oplossingen

Wij zijn een perfecte match voor je extranet, kennis platform en 'ideation' community. Onze software wordt gebruikt door NGOs, overheden en honderden kleinere organisaties om hun leden,  vrijwilligers, medewerkers en klanten met elkaar te verbinden. Een online community oplossing voor zowel binnen als buiten je organisatie.

Bouw een flexibele sociale community om kennis te delen en samen te werken.
Open Social is ideal for collaboration and effective communication - both vital for a growing volunteer community!
Gebruik Open Social om stakeholders en werknemers uit te nodigen om verbinding te maken en te groeien als een team.
Gebruik onze 'ideation' community software om de beste ideeën te vinden of creativiteit van honderden leden te genereren.

   

850+ communities gebruiken Open Social

Lees ons blog (Engels)

Nov 13, 2018 - Open Source

Project Moss: Software Testing in Shining Armour

Learn how our software testing project increased Open Social's software quality, flexibility, and reduced time spent on testing.

geplaatst door Bram
Oct 08, 2018 - Product Center

Push Notifications Re-Engage Your Community Members

Push notifications are easy to use and bring members back to your community. Need we say more? Learn how to use this feature!

geplaatst door Natasha
Oct 02, 2018 - News Room

Gamification on the blockchain; creating real value

We recently wrote about why Gamification is dead. We'd like to show you the solution using our own blockchain solution as an example: THX!

geplaatst door Taco