AdreZ en MailingLijst zijn EM-Cultuur-webapplicaties waarin je je eigen (e-mail)adressen beheert in een web-browser als Chrome, of Firefox vanaf iedere laptop, pc of ipad met internet toegang. Om te te voorkomen dat er misbruik wordt gemaakt zijn deze apps beveiligd.

Veilige verbinding
De verbinding tussen je werkstation (PC, Mac, laptop etc) en de servers waarop de applicaties draaien wordt door ons standaard beveiligd en versleuteld met een certificaat, dat voorkomt dat anderen meekijken in wat er tussen jou en de adres-applicatie aan gegevens worden uitgewisseld. Ook de cookies die op je werkplek worden opgeslagen zijn versleuteld.

IP-beveiliging
Onze applicaties kunnen we zo afschermen dat ze alleen vanaf een bepaalde machine, of netwerk kunnen worden benaderd. Hiermee kan dus alleen je eigen website een formulier naar een mailinglijst vullen, of kun je de AdreZ-adressen alleen toegankelijk maken vanaf je eigen kantoor, of thuiswerkplek.

Hackers
Onze applicaties worden ontworpen en getest op de meest voorkomende hack-technieken waarmee ze  proberen toegang te krijgen tot je adressen. We testen regelmatig of de achterdeuren en ramen die worden gebruikt om adressen te stelen, of te veranderen goed zijn afgesloten.

Wachtwoorden
AdreZ en Mailinglijst hebben een gebruikersnaam-wachtwoord beveiliging. Als beheerder van je bestand ben je verantwoordelijk dat er door je gebruikers “sterke” wachtwoorden worden gebruikt, dat accounts niet worden gedeeld en dat bij vertrekkende collega’s de account wordt gesloten of het wachtwoord wordt gewijzigd.

Richtlijnen Overheid
De aan-/afmeld formulieren voldoen aan de richtlijnen die de overheid heeft opgesteld voor toegankelijk zijn voor blinden en slechtzienden. De websites zijn geoptimaliseerd door doven.

In de Cloud
Onze applicaties zijn ondergebracht in een datacentrum in Nederland. De provider garandeert 99,9% beschikbaarheid. Dat is ongeveer 9 uur per jaar niet bereikbaar. Storingen in je eigen netwerk, of bij je internetprovider uiteraard niet meegerekend.

Backups
Je database met adressen wordt iedere nacht gebackupt naar een ander datacentrum dan waar de applicaties zijn gehost. Iedere week sturen we de adresbeheerder een link naar een bestand met een backup van alle adressen. Deze backup kun je dan in je eigen backup routine meenemen. Deze backup is bedoeld als noodbackup bij calamiteiten. De backupbestanden worden na 2 weken automatisch verwijderd.

E-mails
Om te voorkomen dat er via onze software aangepaste mails worden verstuurd uit jouw naam hebben we onze mailservers hier tegen gewapend.

Privacy
EM-Cultuur heeft een privacyverklaring waarin is opgenomen dat je adressen nooit aan derden ter beschikking zullen worden gesteld tenzij dit wordt afgedwongen door de rechterlijke macht. Ook hebben we een policy in het kader van de wet Datalekken

Verwerkersovereenkomst
Vanaf 25 mei 2018 sluit EM-Cultuur een verwerkersovereenkomst af met de gebruikers van AdreZ en MailingLijst. Hierin ook afspraken over de beveiliging, datalekken enzovoort conform de richtlijnen AVG.

Verbinding
Beveiliging door HTTPS (wordt afgedwongen) en HTTP Strict Transport Security (HSTS header). De EM-Cultuur SSL-certificaten behalen een A-rating in tests van SSL Labs. Verouderde SSL-protocollen zijn uitgeschakeld.

IP-beveiliging
In de publieke formulieren en API’s van MailingLijst wordt ieder actie geregistreerd. Wanneer er ongewoon verkeer wordt gedetecteerd (zoals brute-force) wordt toegang geblokkeerd en de helpdesk gewaarschuwd.

Pen & Hack Security Tests
De applicaties worden periodiek gescand met tools als TinFoil Security/ die naast  de OWASP top 10 een actuele lijst van bekende kwetsbaarheden en lekken onderzoekt. De URLs van AdreZ en MailingLijst zijn beschermd tegen url-parameter-tampering.

Wachtwoorden
De inlog- en wachtwoord formulieren zijn met CSRF tokens beveiligd, hierdoor is het niet mogelijk om de formulieren te kapen. AdreZ 3.2 en hoger voorzien in instellingen die sterke wachtwoorden, en periodiek wisselen van wachtwoord afdwingen en die accounts automatisch sluiten na een periode van inactiviteit.

Richtlijnen
Publieke aan-/afmeldformulieren zijn getest op basis van WCAG2A en WCAG2AA richtlijnen.

In dit document geven we een overzicht van een aantal van de beveiligingen die in de EM-Software zijn ingebouwd, omdat klanten hier soms naar vragen. We geven niet alle informatie, omdat dit ook “handige” informatie kan zijn voor de sujetten waar we ons juist tegen willen beschermen. Vragen, opmerkingen of wensen? Neem contact op met de helpdesk van EM-Cultuur.