Verklaring

Omdat tijdens een risicoanalyse met vertrouwelijke gegevens gewerkt wordt, is de onderstaande verklaring opgesteld.

Beveiliging

Voor het beveiligen van deze website heb ik gebruik gemaakt van mijn meer dan 30 jaar ervaring met programmeren, mijn 25 jaar ervaring op het gebied van computerbeveiliging en mijn 15 jaar ervaring als penetratietester, security consultant en information security officer.

De teksten die voor een BIA, actorenlijst of een risicoanalyse worden ingevoerd, worden met behulp van AES-256-GCM versleuteld in de database opgeslagen. Het wachtwoord fungeert daarbij als encryptie-sleutel.

Bij de ontwikkeling van RAVIB is gebruik gemaakt van mijn eigen open source Banshee PHP framework. Het betreft een framework waarbij de nadruk ligt op veiligheid en eenvoud. De RAVIB broncode is beschikbaar voor een code review.

Hierbij geef ik iedereen toestemming om een penetratietest uit te (laten) voeren op deze website. Echter, het uitvoeren van stress-testen (DoS-aanvallen) en de inzet van automatische scantools die mijn logfiles volgooien worden niet gewaardeerd.

Beschikbaarheid

Korte termijn: Wat betreft de uptime-garantie bied ik niet meer dan wat mijn VPS provider mogelijk maakt. Daarnaast bied ik een best-effort garantie voor zover mijn vrije tijd dit toestaat.

Lange termijn: Deze website is ontstaan uit mijn persoonlijke interesse voor (ICT) beveiliging en risicoanalyse. Zolang mijn interesse hier nog voldoende naar uitgaat (zoals het er nu naar uitziet, zal dat altijd zo zijn), blijft deze website beschikbaar. Daarnaast zal de website beschikbaar blijven zolang er gebruik van gemaakt wordt.

Accounts waar 180 dagen lang niet op wordt ingelogd, worden automatisch verwijderd. 10, 20 en 30 dagen voor het verwijderen van een account, wordt hier via een e-mail voor gewaarschuwd. Accounts waar 14 dagen na het aanmaken geen zaken in zijn aangemaakt, worden zonder berichtgeving verwijderd.

Privacy

Gegevens worden onder geen enkele voorwaarde met derden gedeeld. Ik heb zelf geen enkel (commercieel) belang bij het aanbieden van deze website en doe dit enkel en alleen vanuit mijn overtuiging van het goede van vrije kennisdeling en mijn interesse in informatiebeveiliging. RAVIB is een prive-project en dus op geen enkele wijze verbonden met mijn werkgever.

De enige informatie die ik van een gebruikersaccount opvraag is de laatste inlogdatum om te zien of een account nog gebruikt wordt. Dit gebeurt volledig geautomatiseerd. Ik ben de enige met beheerrechten binnen de website, de achterliggende database en de onderliggende server (VPS).

De grondslag voor de verwerking van de persoonsgegevens die nodig zijn voor het aanmaken van een account is de 'uitvoering van een overeenkomst', zoals genoemd in AVG artikel 6 (1) lid b. Het is niet het doel van RAVIB om verdere persoonsgegevens te verwerken. Voor eventuele persoonsgegevens die worden ingevuld bij de risicoanalyse, geldt dat de eigenaar van het betreffende RAVIB account de verwerkingsverantwoordelijk is. Ik ben als eigenaar van de RAVIB website voor die gegevens slechts de verwerker.

De website en webserver verzamelen IP-adressen in logbestanden, met als enige doel om mij in staat te stellen actie te ondernemen in het geval van fouten of problemen met de website of bij hackpogingen. Deze website draait op een privé-server, waardoor oude loggegevens slechts op willekeurige momenten worden verwijderd. In de praktijk is dat een paar keer per jaar. De grondslag voor deze verwerking is het 'gerechtvaardigd belang' zoals genoemd in AVG artikel 6 (1) lid f, zoals aangegeven in AVG rechtsgrond 49.

Voor mijn kijk op en mening over privacy, zie de Privacy Friendly website.

Hugo Leisink