Verklaring
Omdat tijdens een risicoanalyse met vertrouwelijke gegevens gewerkt wordt, is de onderstaande verklaring opgesteld.
Beveiliging
Voor het beveiligen van deze website heb ik gebruik gemaakt van mijn meer dan 30 jaar ervaring met programmeren, mijn 25 jaar ervaring op het gebied van computerbeveiliging en mijn 15 jaar ervaring als penetratietester, security consultant en information security officer.
De risicoanalyse tool en het risico register maken gebruik van encryptie voor het opslaan van gegevens in de database. De gegevens worden met behulp van AES-256-GCM versleuteld en het wachtwoord fungeert daarbij als encryptie-sleutel. Omdat deze versleuteling en ontsleuteling op de server gebeurt, is uw informatie bij het opvragen van een pagina tijdelijk in leesbare vorm in het geheugen van de server aanwezig.
Bij de ontwikkeling van de RAVIB tools is gebruik gemaakt van mijn eigen open source Banshee PHP framework. Het betreft een framework waarbij de nadruk ligt op veiligheid en eenvoud. De broncode van de RAVIB tools is beschikbaar voor een code review.
Hierbij geef ik iedereen toestemming om een penetratietest uit te (laten) voeren op deze website. Echter, het uitvoeren van stress-testen (DoS-aanvallen) en de inzet van automatische scantools die mijn logfiles volgooien worden niet gewaardeerd.
Beschikbaarheid
Korte termijn: Wat betreft de uptime-garantie bied ik niet meer dan wat mijn VPS provider mogelijk maakt. Daarnaast bied ik een best-effort garantie voor zover mijn vrije tijd dit toestaat.
Lange termijn: Deze website is ontstaan uit mijn persoonlijke interesse voor (ICT) beveiliging en risicoanalyse. Zolang mijn interesse hier nog voldoende naar uitgaat (zoals het er nu naar uitziet, zal dat altijd zo zijn), blijft deze website beschikbaar. Daarnaast zal de website beschikbaar blijven zolang er gebruik van gemaakt wordt.
Accounts waar 180 dagen lang niet op wordt ingelogd, worden automatisch verwijderd. 10, 20 en 30 dagen voor het verwijderen van een account, wordt hier via een e-mail voor gewaarschuwd. Accounts waar 14 dagen na het aanmaken geen zaken in zijn aangemaakt, worden zonder berichtgeving verwijderd.
Privacy
Gegevens worden onder geen enkele voorwaarde met derden gedeeld. Ik heb zelf geen enkel (commercieel) belang bij het aanbieden van deze website en doe dit enkel en alleen vanuit mijn overtuiging van het goede van vrije kennisdeling en mijn interesse in informatiebeveiliging. RAVIB is een prive-project en dus op geen enkele wijze verbonden met mijn werkgever.
De enige informatie die ik van een gebruikersaccount opvraag is de laatste inlogdatum om te zien of een account nog gebruikt wordt. Dit gebeurt volledig geautomatiseerd. Ik ben de enige met beheerrechten binnen de website, de achterliggende database en de onderliggende server (VPS).
De grondslag voor de verwerking van de persoonsgegevens die nodig zijn voor het aanmaken van een account is de 'uitvoering van een overeenkomst', zoals genoemd in AVG artikel 6 (1) lid b. Het is niet het doel van RAVIB om verdere persoonsgegevens te verwerken. Voor eventuele persoonsgegevens die worden ingevuld bij de risicoanalyse, geldt dat de eigenaar van het betreffende RAVIB account de verwerkingsverantwoordelijk is. Ik ben als eigenaar van de RAVIB website voor die gegevens slechts de verwerker.
De website en webserver verzamelen IP-adressen in logbestanden, met als enige doel om mij in staat te stellen actie te ondernemen in het geval van fouten of problemen met de website of bij hackpogingen. Deze website draait op een privé-server, waardoor oude loggegevens slechts op willekeurige momenten worden verwijderd. In de praktijk is dat een paar keer per jaar. De grondslag voor deze verwerking is het 'gerechtvaardigd belang' zoals genoemd in AVG artikel 6 (1) lid f, zoals aangegeven in AVG rechtsgrond 49.
Voor mijn kijk op en mening over privacy, zie de Privacy Friendly website.