MedMij-pentest
Een MedMij-pentest is een specifieke whitebox penetratietest gericht op een Persoonlijke Gezondheidsomgeving* (PGO). Ze dient – als invulling voor de MedMij-norm Beoordeling van technische naleving – jaarlijks op de externe koppelvlakken te worden uitgevoerd door een externe, onafhankelijke organisatie. LBVD kan deze penetratietest voor u verzorgen, om in aanmerking te komen voor een MedMij-verklaring.
Bij een MedMij-pentest onderzoekt LBVD de beveiliging van via internet benaderbare (“internet-facing”) koppelvlakken, waaronder webportalen, API’s en apps met onderliggende infrastructuur. LBVD toetst onder andere de volgende specifieke MedMij-eisen:
- DNSSEC (MedMij verantwoordelijkheden core.dns.300 en core.dns.301)
- TLS (MedMij verantwoordelijkheid core.tls.301 in combinatie met core.tls.302 en core.tls.304)
- NCSC webapplicatie-richtlijnen U/PW.02, U/PW.03, U/WA.03, U/WA.04 NB
(Toetsing van deze richtlijnen is ook voor DigiD-pentesten c.q. -assessments verplicht, zie NOREA Handreiking bij DigiD-assessments).
Whitebox betekent dat de pentesters van LBVD 1) toegang krijgen tot alle ontwerpdocumentatie, netwerktekeningen, architectuur, broncode, etc. en 2) kunnen testen met testaccounts voor de verschillende rollen.
Actieplan
LBVD helpt u aan een adequaat actieplan voor de hoge en midden risico’s (CVSS-score 4,0 of hoger), maar ook lage risico’s, zodat u direct corrigerende maatregelen kunt treffen. Via een hertest (“validatietest”) verifiëren we later of dat is gelukt.
Nb. Om toe te kunnen treden tot MedMij moet tenminste al één keer een pentest zijn uitgevoerd en moeten alle hoog en midden risico-bevindingen zijn verholpen. Na toetreding moet de pentest resulteren in een actieplan om risico-bevindingen in de categorie hoog en midden tijdig te elimineren.
*) In een PGO houd je online informatie bij over je gezondheid. Je kunt medische gegevens – zoals medicatie en uitslagen van onderzoeken – verzamelen en beheren. En delen met anderen als je dat wilt. Een PGO biedt je controle over je gezondheidsgegevens.
Meer informatie
Wilt u meer informatie over penetratietesten? Neem dan contact op met Niels Peeters.
T: 06-41627955
E: advies@lbvd.nl
U kunt ook uw gegevens hieronder invullen, dan nemen wij telefonisch contact met u op.