Hoge eisen aan veiligheid

“Net als veel Web 2.0 applicaties, zijn ook wij gestart met een private bèta-versie van de site. Een kleine groep gebruikers heeft op deze manier de kinderziektes eruit gehaald. Wel merkte je duidelijk aan deze groep dat ze graag meedoen aan iets nieuws en daardoor iets minder kritisch zijn als het gaat om bijvoorbeeld veiligheid”, aldus Willem. “We waren ons hier heel goed van bewust.”

“Omdat het concept valt of staat met het vertrouwen van het grote publiek, was veiligheid onze allergrootste uitdaging voordat we ‘live’ gingen”, legt Martijn uit. “Persoonlijke financiële gegevens vormen immers de basis van de site en die zijn zeer privacy-gevoelig. De gebruiker moet het absolute vertrouwen hebben dat alle gegevens die hij opvoert veilig zijn en niet toegankelijk voor derden. We doen er dan ook alles aan om de applicatie optimaal te beveiligen en gebruikers daarvan te overtuigen. Zo werken we onder andere met dezelfde beveiligings- protocollen als banken.” 

Externe security audit

Martijn: “Wat we ook hebben gedaan om onze geloofwaardigheid naar de buiten- wereld verder te onderbouwen, is een security audit door een externe partij.” Willem vult aan: “We zochten niet alleen een partner die inhoudelijk de klus kon klaren. We wilden meer: een partner die bekend staat als specialist en die het vertrouwen van de markt heeft. We hebben onze site in PHP gebouwd en kwamen daarom al snel uit bij Ibuildings. We kwamen erachter dat “Als Ibuildings zegt dat het veilig is, dan zit het goed” en dat is precies wat we zochten.” 

Rapportage, presentatie en workshop

De samenwerking met Ibuildings is van begin tot eind prettig verlopen. Willem: “Al in het eerste gesprek merkten we dat ook de account-manager technisch goed onderlegd was; dat was heel fijn. Bij het uitvoeren van de audit, kregen we echt het gevoel dat er meegedacht werd. Eerst kwam de consultant op locatie langs om een kijkje in de keuken te nemen en te praten met ons als programmeurs van de site. Vervolgens is Ibuildings op afstand gaan testen. Alle bevindingen en aan- bevelingen hebben ze in een rapport verwerkt maar daarmee was het niet af. Er volgden nog een presentatie en een zeer praktische en interactieve workshop.” 

'Hack it yourself'

“Ik vond vooral de terugkoppeling erg goed”, zegt Willem. Martijn beaamt dit.“We hebben de totale lijst met acties door- genomen en de prioriteit besproken. Het laatste deel van de presentatie was een workshop met als thema ‘Hack it yourself’. We zijn letterlijk met z’n allen het systeem ingedoken om te zien waar het niet hele- maal lekker zat. Ibuildings heeft, naast een goede technische controle, ook veel bruikbare en praktische tips gegeven. Fijn, dat ze echt met ons mee hebben gedacht.” 

Nieuwe features, nieuwe audits

“Een security-audit is een must voor alle startende Web 2.0 applicaties”, vindt Willem. “Natuurlijk is deze audit een momentopname. We realiseren ons ter- dege dat het hier niet ophoudt. We breiden uit met nieuwe features en die moeten in de toekomst ook worden meegenomen in de audit. Ook denken we na over andere audits, bijvoorbeeld een architecture-audit of een performance- audit. Maar daarvoor willen we eerst wat verder zijn en wat meer body hebben.” 

Terug naar overzicht