Pentester

Het Online Team valt organisatorisch onder team Bestuurs- en directieondersteuning en onderhoud het intranet, de websites stichtsevecht.nl en trouweninstichtsevecht.nl, webformulieren en de daarbij behorende diensten, zoals DigiD.Alle organisaties die gebruik maken van DigiD moeten voldoen aan de beveiligingsnorm v2.0. Deze norm is gebaseerd op de ICT beveiligingsrichtlijnen voor webapplicaties van het NCSC. Via een ICT beveiligingsassessment moet dit worden getest. Een pentest is onderdeel van dit assessment. Wij moeten de pentest laten uitvoeren voor een nieuwe DigiD aansluiting met een SAML koppelvlak i.p.v. CGI koppelvlak. Voor de DigiD pentest is een blackbox/greybox benadering, waarbij zonder veel voorkennis ingelogd wordt als gebruiker, voldoende.In de offerte ook een hertest meenemen van de bevindingen, nadat ze zijn opgelost.De formulieromgeving van Stichtse Vecht draait op een externe server, in een SaaS omgeving.Er is een OTAP-straat. Bij ongeveer 50 van de ongeveer 70 formulieren wordt DigiD gebruikt, bij een aantal formulieren reken je gelijk online af en bij een enkelformulier wordt gebruik gemaakt van eHerkenning.De scope van de toetsing is de internet-facing webpagina, de formulieren, systeemkoppelingen en infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het proces.
staffing groep
04-09-2020 00:00