PDA

Bekijk Volledige Versie : Data veiligheid garanderen



-FoX-
04/11/09, 13:22
Is er een manier om aan klanten kenbaar te maken dat hun data veilig is bij u, als hoster? Ik zou graag aan onze klanten een overeenkomst, contract, certificaat, oid willen overhandigen indien ze intekenen op een pakket van bij ons, zodat ze zekerheid hebben dat hun data veilig staat.

Is er een manier om dit te garanderen?
Een NDA past niet helemaal in dit plaatje thuis, denk ik.

Hoe kan ik dit oplossen?

frankske
04/11/09, 21:46
Als het echt goed moet zijn, een onafhankelijke audit door bv IBM of HP consulting. Maar kost natuurlijk $$$$$$$$$. Wij tonen onze klanten wat/hoe we doen, en geven daar een zeer goede uitleg bij. Het feit dat we ISO9001 compliant zijn, helpt natuurlijk ook.

ResellerHosting
05/11/09, 01:05
Is er een manier om aan klanten kenbaar te maken dat hun data veilig is bij u, als hoster? Ik zou graag aan onze klanten een overeenkomst, contract, certificaat, oid willen overhandigen indien ze intekenen op een pakket van bij ons, zodat ze zekerheid hebben dat hun data veilig staat.

Is er een manier om dit te garanderen?
Een NDA past niet helemaal in dit plaatje thuis, denk ik.

Hoe kan ik dit oplossen?

ISO17799 globaal.

Het gaat er om wat er gegarandeerd moet worden.

1) integriteit van de data
2) toegang tot de data
3) beschikbaarheid van de data

In feite is het alleen te garanderen indien je het met twee verschillende algoritmes versleuteld en keys vernietigd.

Als je een erkende algoritme hebt, kan cliƫnt data versleuteld aan je geven, waarmee je integriteit en toegang tot de data door derden gegarandeerd is, echter is beschikbaarheid hier niet mee te garanderen.

Google eens op FIPS140 certificatie.

Een ander probleem waar je tegen aangaat lopen dat gecertificeerde hardware klanten niets wijzer maakt als ook de intregiteit van je eigen personeel je niet middels enig certificaat kunt garanderen.

Patrick_st
05/11/09, 02:03
Ik zou dat nooit doen. Je kunt bij je klant aangeven wat je precies doet om hun data te beschermen maar ik zou nooit een garantie geven dat hun data 100% veilig is. Dat is gewoon niet haalbaar. Er kan altijd wel iets mis gaan. Veel dingen kun je voorkomen maar 100% kun je nooit aanbieden.

almar
05/11/09, 09:49
https://www.pcisecuritystandards.org/

mikeh
05/11/09, 21:40
https://www.pcisecuritystandards.org/

Toevallig dat wij vorige week een PCI compliance scan hebben laten uitvoeren op $klant wat CC betalingen wilt gaan implementeren en tot mijn grote verbazing poepte PCI's webscan tool nog meer false/positives uit dan mijn geliefde Nessus / nikto tool :censored:

Je kunt je bedrijf wel overal mee certificeren, maar daarmee garandeer je nog niet dat je veilig & verantwoord bezig bent.

My 2 cents.

Rik
05/11/09, 22:15
Het is precies wat Mikeh zegt: veiligheid kun je niet aantonen met een papiertje, dit moet je concreet realiseren. Als de klant dat ziet/weet dan is elke certificering overbodig. De meeste certificering zijn over het algemeen toch geldklopperij en er zijn er maar weinig die echt iets concreet aantonen.

Veel partijen kijken er niet eens meer naar omdat het tegenwoordig mogelijk is om de meeste certificeringen gewoon te 'kopen' zonder ooit een audit te hebben gehad. ISO's zijn leuk, en soms zelfs noodzakelijk, maar ze bewijzen vaak maar weinig als andere interne security 'regels' niet worden nageleefd.

Voor Nederland geld bovendien dat men hard aan het werk is om een eigen standaard goed van de grond te krijgen. Mocht je je vooral op de Nederlandse of Europese markt richten dan zou ik eens naar kijken naar de (N-)EN 50131-1 REQ EU etc.