JetBase-logo

Veilige ontwikkelomgeving

Beveiligingsmaatregelen van ondernemingsniveau voor gedistribueerde softwareontwikkeling
Banner

Gedistrubueerde teams hoeven geen hogere risico's te betekenen. We run projecten in een gecontroleerde, controleerbare opzet die de kans op datalekken vermindert en de toegang beperkt tot wat strikt nodig is om het werk te leveren.

Deze pagina legt de praktische controles uit die we gebruiken op het gebied van toegang, code, infrastructuur en mensen.

1

Wat je krijgt

  • Gecontroleerde toegang tot projectsystemen, verleend op rol en verwijderd wanneer niet langer nodig
  • Duidelijke scheiding van omgevingen (ontwikkeling, staging, productie)
  • Veilige omgang met geheimen en inloggegevens
  • Beveiligingscontroles ingebouwd in de levering (codebeoordeling, scanning, CI/CD-controles)
  • Beleidsregels voor gedistrubueerde teams (apparaten, lokale opslag, regels voor thuiswerken)
  • Incidentresponsproces en transparante rapportage als er iets misgaat
  • Verzekeringsdekking voor beveiligingsincidenten (details op aanvraag beschikbaar)
2

Toegangscontrole en identiteit

We beschouwen toegang als een beheerd proces, niet als een eenmalige opzet.

  • MFA is vereist voor kritieke systemen (repositories, cloud, CI/CD, wachtwoordmanager)
  • Toegang wordt verleend op rol (minimale privileges) en regelmatig herzien
  • Tijdgebonden toegang kan worden gebruikt voor gevoelige systemen
  • Afsluiten wordt op dezelfde dag afgehandeld - toegang verwijdert, geheimen gewijzigd indien nodig

Wat we op aanvraag kunnen bieden:

  • een sjabloon voor een projecttoegangs.matrix
  • een lijst van gebruikte systemen en eigendom (wie toegang kan verlenen en goedkeuren)
3

Beheer van geheimen en inloggegevens

Geheimen zijn een van de meest voorkomende bronnen van datalekken. We minimaliseren blootstelling door ontwerp.

  • Geen geheimen in de broncode, tickets of chat
  • Geheimen worden opgeslagen in een speciale geheimenmanager of een overeengekomen kluisbenadering
  • Inloggegevens worden regelmatig gewijzigd en telkens wanneer het risico verandert
  • Productiegeheimen zijn gescheiden van ontwikkeling en zijn beperkt tot goedgekeurd personeel
4

Veilige ontwikkelingscyclus (SDLC)

Beveiliging is onderdeel van de levering, geen toevoeging na de lancering.

  • Verplichte codebeoordeling voor productie wijzigingen
  • Regels voor branchbescherming en gecontroleerd samenvoegproces
  • Geautomatiseerde scanning op bekende kwetsbaarheden in afhankelijkheden
  • Optionele SAST/DAST op basis van projectvereisten
  • Logging en controleerbaarheid voor wijzigingen in CI/CD en infrastructuur
5

Omgevingsscheiding en infrastructuurbeveiliging

We houden systemen gesegmenteerd om de impact van fouten te verminderen en blootstelling te beperken.

 

  • Gescheiden omgevingen voor ontwikkeling, staging en productie
  • Infrastructuur geconfigureerd met minimale toegangsrechten en sterke netwerklimieten
  • Encryptie tijdens overdracht (TLS) en encryptie in rust waar ondersteund door het platform
  • Back-up en herstelpraktijken in lijn met de vereisten van de klant

Als het project sterkere isolatie vereist:

  • remote ontwikkelomgeving (VDI of gecontroleerde buildomgeving)
  • striktere netwerkbeleid en IP-toegestane lijsten
  • gewijde cloudaccounts of tenant-niveau scheiding
6

Distributed team controls

Dit is waar veel leveranciers vaag blijven. Wij zijn specifiek.

  • Apparaten moeten voldoen aan een basislijn (schijfversleuteling, auto-vergrendeling, up-to-date besturingssysteem, malwarebescherming)
  • Klantgegevens worden niet lokaal opgeslagen tenzij expliciet goedgekeurd en gecontroleerd
  • Werk wordt uitsluitend uitgevoerd via goedgekeurde tools (repositories, ticketing, opslag)
  • Regels voor openbaar Wi-Fi en VPN-vereisten kunnen worden afgedwongen op basis van het beleid van de klant
  • Toegangsbeoordelingen en periodieke controles zorgen ervoor dat de basislijn in stand blijft
7

Gegevensverwerking en vertrouwelijkheid

We minimaliseren de hoeveelheid gevoelige gegevens die tijdens de ontwikkeling worden gebruikt.

  • Gegevensminimalisatie: alleen wat nodig is voor bouwen en testen
  • Maskering en anonimisering voor ontwikkelomgevingen waar mogelijk
  • Synthetische gegevensopties voor testen in niet-productieomgevingen
  • Duidelijke regels voor wie toegang heeft tot welke gegevens en waar deze opgeslagen mogen worden

Juridische en contractuele bescherming zijn beschikbaar:

  • NDA en vertrouwelijkheidsverplichtingen voor het gehele leveringsteam
  • IP-toewijzingsvoorwaarden
  • DPA voor GDPR-gerelateerde verwerking (indien van toepassing)
  • regels en beperkingen voor onderaannemers (indien onderaannemers worden gebruikt)
8

Monitoring, audit en incidentrespons

Zelfs met sterke controles moeten incidenten snel en transparant worden afgehandeld.

  • Toegangs- en activiteitenlogs voor kritieke systemen waar ondersteund
  • Reguliere toegangsbeoordelingen en opruimingen
  • Incidentresponsproces: containment, onderzoek, communicatie, remediëring
  • Post-incident rapport met corrigerende maatregelen waar relevant
9

Verzekeringsdekking

We behouden een verzekeringsdekking die is ontworpen om te helpen bij het beheersen van de financiële impact van bepaalde beveiligingsincidenten. Dekkingvoorwaarden, limieten en toepasselijkheid zijn afhankelijk van de polis en de aard van het incident.

Details beschikbaar op aanvraag.

10

Beveiligingspakket (beschikbaar op aanvraag)

Voor klanten met strengere inkoop- of nalevingsprocessen kunnen we een kort beveiligingspakket delen dat kan bevatten:

  • Overzicht van de SDLC
  • sjabloon voor toegangsmatrix
  • samenvatting van gegevensverwerking
  • één-pager voor incidentrespons
  • lijst van tools en omgevingen die op het project worden gebruikt
  • bevestiging en samenvatting van de verzekering (op aanvraag)
 
Vraag het Beveiligingspakket aan

Overzicht van de SDLC, toegangscontroles, incidentrespons, bevestiging van verzekering.

11

Veelgestelde vragen

  • Kun je werken met onze beveiligingsbeleid en tools?

    Kun je werken met onze beveiligingsbeleid en tools?

    Ja. Als je de benodigde tools hebt (SSO, VPN, specifieke scans, ticketing, geheim opslag), stemmen we deze af en documenteren we de aanpak.

    Modern Light - Image

    Kun je werken met onze beveiligingsbeleid en tools?

    Ja. Als je de benodigde tools hebt (SSO, VPN, specifieke scans, ticketing, geheim opslag), stemmen we deze af en documenteren we de aanpak.

  • Kunnen we de toegang tot de productie volledig beperken?
  • Ondersteunt u externe ontwikkelomgevingen (VDI)?
  • Hoe gaat u om met offboarding?
  • Garandeert u nul gegevenslekken?