Privé informatie in database bij webhost

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Mark Hogeveen

Mark Hogeveen

09/03/2018 13:37:11
Quote Anchor link
Ik heb samen met nog iemand een klein bedrijf.
Een familielid heeft een hele webapplicatie gemaakt om allerlei zakelijke dingen te regelen. Zoals het maken van offertes, het bijhouden van het klantenbestand, statistieken, etc.
Hierin zitten veel gegevens die écht niet mogen uitlekken. Het kan dus ook juridisch een groot probleem worden als blijkt dat er informatie op een of andere manier niet veilig is.

De opgeslagen data bevat dus adressen, contactinformatie, en er zit informatie in over prijzen, offertes, etc.
Dit komt dus allemaal te staan in de database van de applicatie, gehost bij een webhosting bedrijf.

Deze vraag kan natuurlijk redelijk subjectief worden beantwoord. Maar ik denk dat het bij de meeste bedrijven niet veel anders is, hoe het allemaal werkt.
Daarnaast ga je er ook van uit dat de webhosting oké is.
De maker van de webapplicatie heeft universiteit software engineering gedaan en alle diploma's. Ik maak me eigenlijk geen zorgen dat er een lek/bug in de applicatie zit, en alles is goed getest.
Maar toch de vraag: kun je over het algemeen aannemen dat de gegevens in de database privé zijn. En dat bijvoorbeeld de organisatie waar de site wordt gehost (de webhosting) deze gegevens niet gaat 'lezen'.

In de algemene voorwaarden van de webhost ben ik wel dit tegengekomen:
Quote:
Klant mag de Diensten in geen geval gebruiken voor Toepassingen met Verhoogd Risico


Máár ook dit staat er in:
Quote:
Wij zullen geen kennis nemen van gegevens die Klant opslaat en/of verspreidt via onze systemen, tenzij dit noodzakelijk is voor een goede uitvoering van de
Overeenkomst of daartoe verplicht is krachtens een wettelijke bepaling of
gerechtelijk bevel. In dat geval zullen wij ons inspannen de kennisname van de gegevens zo
veel mogelijk te beperken, voor zover dit binnen onze macht ligt.


Wat wordt er precies bedoeld met "Toepassingen met verhoogd risico"? Bedoelen ze gewoon dat je geen bank/overheidsdienst mag hosten?
Gewijzigd op 09/03/2018 13:49:04 door Mark Hogeveen
 
PHP hulp

PHP hulp

28/03/2024 22:43:12
 
- Ariën  -
Beheerder

- Ariën -

09/03/2018 13:53:54
Quote Anchor link
Wat jij zegt lijkt te kloppen. Maar als je een bank of overheidsdienst opzet, dan is het hosten van de site bij een externe webhostingdienst natuurlijk uit den boze.

Mocht je nu bijvoorbeeld illegaal films verspreiden tegen betaling, dan zou de webhosting volgens hun voorwaarden de alle data aan de justitie beschikbaar mogen stellen, als zij erom vragen.

In alle gevallen heeft een webhosting niks te zoeken in jouw data, en kan je er gerust van zijn dat ze dat ook niet doen.
Gewijzigd op 09/03/2018 13:54:27 door - Ariën -
 
Thomas van den Heuvel

Thomas van den Heuvel

09/03/2018 15:48:25
Quote Anchor link
Laat anders eens een security audit uitvoeren door een partij die je vertrouwt.

Ook zijn er volgens mij (web)diensten die eens voor je aan de poort kunnen voelen.

Quote:
Maar toch de vraag: kun je over het algemeen aannemen dat de gegevens in de database privé zijn.

Op het moment dat je dat aanneemt ben je eigenlijk al verloren :). Dit is iets waar jij (of in ieder geval de programmeur) zich continu bewust van moet zijn: hoe ga ik veilig om met mijn data en hoe houd ik deze veilig. Het moment dat je er vanuit gaat dat het wel goed zit is meestal ook het moment dat je steken begint te laten vallen.
 
Aad B

Aad B

10/03/2018 09:58:38
Quote Anchor link
Zoals Thomas al zegt, een security audit is gewoon nodig.
Niet alleen op contractuele afspraken met diverse partijen maar ook op techniek. Je zegt wel dat de developer alle diploma's heeft maar dat zegt eigenlijk niets. Je moet zeker weten of de ontwikkelde programmatuur en database zo veilig zijn gebouwd dat de bekende inbraak risico's zoals bijvoorbeeld SQL injection en cross side scripting voor 100% zijn uitgesloten. De developer kan wel zeggen dat alles okee is maar dat komt neer op het keuren van eigen vlees. Zoek een derde partij die een security audit kan doen.

Je hosting stelt: geen Toepassingen met Verhoogd Risico. Als je hosting nergens omschrijft wat dat is dan loop je al een risico, dan kunnen ze dat willekeurig benoemen. Laat je hoster dus aangeven wat Toepassingen met Verhoogd Risico zijn.
Gewijzigd op 10/03/2018 10:03:18 door Aad B
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.