Een MedMij-pentest is een specifieke greybox penetratietest gericht op de externe koppelvlakken van een Persoonlijke Gezondheidsomgeving* (PGO) danwel van een dienst voor het conform de MedMij-standaarden, via internet ontsluiten van de gezondheidsgegevens in één of meer dossiervormende systemen. De Medmij-pentest is vooral een onderzoek naar de veiligheid van gegevens die door systemen via internet worden uitgewisseld. De focus ligt op de correcte configuratie c.q. werking van de beveiliging van de externe koppelvlakken. Het is daarvoor niet nodig om de gehele omgeving te testen. Als invulling voor de MedMij-norm A.18.2.3 (Beoordeling van technische naleving) dient de pentest jaarlijks te worden uitgevoerd door een externe, onafhankelijke pentest-dienstverlener. LBVD kan deze penetratietest voor u verzorgen, om in aanmerking te komen voor een MedMij-verklaring.
Bij een MedMij-pentest onderzoekt LBVD de beveiliging van via internet benaderbare (“internet-facing”) koppelvlakken, waaronder webportalen, API’s en apps met onderliggende infrastructuur. LBVD toetst onder andere de volgende specifieke MedMij-eisen:
- DNSSEC (MedMij verantwoordelijkheden core.dns.300 en core.dns.301)
- TLS (MedMij verantwoordelijkheid core.tls.301 in combinatie met core.tls.302 en core.tls.304)
- NCSC webapplicatie-richtlijnen** U/PW.02, U/PW.03, U/WA.03 en U/WA.04
Nb. Om toe te kunnen treden tot MedMij moet tenminste al één keer een pentest zijn uitgevoerd en moeten alle hoog en midden risico-bevindingen zijn verholpen. Na toetreding moet de pentest resulteren in een actieplan om risico-bevindingen in de categorie hoog en midden tijdig te elimineren.