Hoe veilig is mijn online Liftboek?

sep 27, 2016

Bij het online Liftboek is de eigenaar eindverantwoordelijk. Net zoals de eigenaar mag bepalen wie er aan zijn lift werkt, de lift kan verkopen en eindverantwoordelijk is voor de veiligheid, zo is de eigenaar ook eindverantwoordelijk voor het Liftboek.

WIE HEEFT TOEGANG TOT MIJN LIFTBOEK?

De eigenaar bepaalt dus welke organisaties wel en niet toegang hebben tot het Liftboek en zo ja, wat deze kunnen: Alleen inzien (Lezen), Notities maken (Schrijven), of de logbestanden bekijken en het toegang beheren (Volledig beheer). Het staat de eigenaar ook altijd vrij om deze rechten weer in te trekken.

Vervolgens bepaalt de organisatiebeheerder van de diverse organisaties wie namens welke organisaties een account heeft en of dit gaat om een account wat alleen maar kan lezen, of eventueel zou kunnen schrijven. Dit gaat altijd middels een verificatie per e-mail.

Voorbeeld:
Lifteigenaar geeft haar huismeesters een leesaccount;
Lifteigenaar geeft Onderhoudsbedrijf en Keuringsinstelling schrijfrechten;
Lifteigenaar geeft Adviesbureau leesrechten;
Onderhoudsbedrijf geeft haar monteurs een schrijfaccount;
Keuringsinstelling geeft haar inspecteurs een schrijfaccount
Keuringsinstelling geeft een junior-inspecteur een leesaccount
Adviesbureau geeft haar adviseurs schrijfaccounts.

Resultaat:
Leesrechten: Huismeesters, Junior-keuringsinspecteur, Adviseurs;
Schrijfrechten: Monteurs, inspecteurs
Volledig beheer: Lifteigenaar

WAAROM STAAT MIJN LIFTBOEK IN DE CLOUD?

Heel veel verschillende partijen hebben toegang tot de Liftboeken. Liftboek.nl heeft als doel om één centrale plaats van informatie over de liften te zijn. Dus niet zeven portals, maar één, die gevoed wordt vanuit de systemen van de onderhoudsbedrijven, eigenaars en keuringsinstellingen. Om te voorkomen dat iedereen alles moet blijven overtypen kunnen er van en naar systemen van al deze organisaties koppelingen gemaakt worden. Dit centraal overzicht en centrale manier van koppelen, kan alleen werken als alle Liftboeken bij elkaar staan.

NB: Lees ook ons blog: “Maar mijn liftbedrijf heeft al een portal?”

WELKE CLOUDOPLOSSING IS DAN GEKOZEN VOOR MIJN LIFTBOEK?

Als applicatieplatform heeft Liftinzicht B.V. gekozen voor Mendix. Dit state of the art platform is het product van een Nederlands bedrijf, met inmiddels een tweede locatie in Silicon Valey, wat maar één doel heeft, de kloof tussen IT en het Bedrijfsleven te verkleinen. Derek Roos, CEO, is volgens de Forbes één van de drie meest invloedrijke figuren in het wereldwijde IT landschap, en is dus van kaliber van wijlen Steve Jobs. Daarnaast noemen Ernst en Young hem Entrepeneur of the Year. Grote, internationale banken en bedrijven vertrouwen hier kritische bedrijfsprocessen aan toe (denk aan ABN Amro, Yahoo, TNT, Delta Loyd en Aegon).

KAN MIJN LIFTBOEK “KWIJT RAKEN”?

In ons Mendix platform worden er dagelijks backups gemaakt en deze worden in ieder geval tot een jaar na back-up bewaard. Daarnaast worden alle versies van Liftboek.nl opgeslagen in een intelligent versiebeheersysteem. Deze twee zaken samen maken dat we altijd terug in de tijd kunnen gaan, een eerdere versie van liftboek.nl kunnen terugzetten. Kwijt is dus onmogelijk.

Daarnaast kun je als eigenaar van een lift nooit de rechten op je eigen lift verwijderen. Dus mocht je je account vergeten zijn, kunnen we deze terugzoeken en opnieuw activeren de organisatie waar je lid van was en waar je Liftboek staat.

HOE IS DE UPTIME VAN MIJN DIGITAAL LIFTBOEK GEBORGD?

Voor Liftboek.nl hebben we zowel een test-omgeving als een productieomgeving. Alle nieuwe functies en nieuwe acties worden daar altijd eerst getest. Dit betekent dan ook dat er niet ineens een bug voorkomt die heel Liftboek.nl uit de lucht haalt. Nieuwe functies worden bij voorkeur ’s avonds geactiveerd, en alleen als niemand ingelogd is. Doordat we voor er een upgrade plaatsvind ook altijd een backup gemaakt wordt, kunnen we altijd de oude situatie terugzetten en als er iets niet goed gaat, kunnen we gewoon weer verder.

Voor de productieomgeving hebben wij een SLA afgesloten met Mendix waarin een uptime van 99% opgenomen is. Hiermee voorkomen we dat Liftboek.nl “uit de lucht is” én dat deze niet werkt.

MAAR WAT ALS HACKERS BIJ MIJN LIFTBOEK WILLEN?

Omdat de veiligheid van het Liftboek voor ons hoog in het vaandel staat, is dit iets waar we altijd zeer kritisch op zijn. We hebben heel bewust gekozen om niet zelf van grond af aan te gaan ontwikkelen en alle beveiligingsvraagstukken zelf de slechten. Via Mendix hebben we een platform wat ziet op beveiliging:

Voor ieder verzoek wat een gebruiker (goed- of kwaadwillend) naar de database stuurt, de rechten controleert. Het door jou gekozen rechtenbeheer wordt van begin af aan gerespecteerd;
Alle gebruikersinvoer wordt gecontroleerd op SQL-Injection (waardoor we dus geen situaties als deze krijgen) en XSS;
Al het dataverkeer tussen de eindgebruiker en Liftboek is vanaf het eerste bezoek volkomen versleuteld;
Jaarlijks worden er door een onafhankelijke partij audits uitgevoerd en Mendix heeft een ISAE 3402 certificering.
De nieuwe beveiligingstrends worden gevolgd én geïmplementeerd. Zie bijvoorbeeld hier en hier.

GAAN JULLIE MIJN LIFTBOEK VERKOPEN?

Onze visie is dat we de Liftenmarkt beter willen maken. We willen het communicatie gat tussen Eindgebruikers, Eigenaren, Onderhoudsbedrijven, Adviseurs en Keuringsinstellingen dichten. Zodra er ook maar het idee leeft dat een Liftboek bij ons niet veilig is, werkt dat niet meer. Wij zijn dan ook niet gebaat bij het verkopen van je Liftboek en willen dat ook niet.

Wat we willen is de data in het Liftboek, geanonimiseerd gebruiken voor algemene statistieken. Die kunnen we dan weer tonen bij jou individuele Liftboek. Zo kunnen we vragen beantwoorden als: Hoeveel mag mijn lift eigenlijk storen? Zijn de posten die ik in mijn begroting heb opgenomen hoger of lager dan het gemiddelde? En hoe verhoud zich dit tot de prestatie van mijn lift? Zou het lonen om meer uit te geven aan de lift of is me dat het niet waard?

Hier geldt dus de basis van onze algemene voorwaarden. Wij baseren alles wat we doen op “Goed fatsoen en Eerlijk zaken doen”.

MAAR IK HEB TOCH NOG EEN ANDERE VEILIGHEIDSVRAAG?

Als je na het lezen van deze vraagstukken over veiligheid rondom je Liftboek toch nog vragen hebt over hoe iets geregeld is, of is iets je niet helemaal helder, kun je altijd contact opnemen met Rik Bos.