September/oktober is voor ons het audit-seizoen. Naast onze jaarlijkse ISO27001-audit voor informatiebeveiliging worden we ook ge-audit op een specifieke set normen die komen kijken bij de DigiD-koppeling in ons platform voor gemeenten. In deze blog vertellen we over die normen en andere aandachtspunten rondom een DigiD-koppeling.

De audit is nodig omdat we jaarlijks een Third Party Memorandum (TPM) moeten overleggen. Die TPM is een bevestiging van een onafhankelijke partij dat aan alle beveiligingsnormen van DigiD is voldaan.

Een van die normen is bijvoorbeeld dat er een pentest worden uitgevoerd, wat inhoudt dat experts proactief op zoek gaan naar kwetsbaarheden in het systeem. Andere normen gaan bijvoorbeeld over beheer van kwetsbaarheden, logging & monitoring, en diverse specifieke beveiligingsmaatregelen.

Ook bij de technische integratie van een DigiD-koppeling komen een aantal bijzonderheden kijken. Allereerst is een diepgaand begrip van de DigiD API-specificaties vereist. Daarnaast is het cruciaal om de SAML-protocollen (SAML is een authenticatie- en autorisatiestandaard) correct te implementeren voor een naadloze uitwisseling van authenticatie- en autorisatiegegevens.

Verder moeten SSL-certificaten, die essentieel zijn voor beveiligde communicatie met DigiD, via de opdrachtgever worden verkregen; het is niet toegestaan deze zelf te genereren, wat vraagt om extra planning en afstemming.

Samengevat: vooral de organisatorische eisen vragen om een terugkerende investering en dat is een serieuze factor om mee te wegen in het besluit om een DigiD-koppeling aan te bieden.