VERA beveiliging

Versie door SmartPublish (overleg | bijdragen) op 4 mrt 2022 om 13:01
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
VERA Standaard > Standaarden > Beveiliging
Banner security.png

De technische architectuur en infrastructuur dienen aan een minimum van security randvoorwaarden te voldoen, teneinde de vertrouwelijkheid van (privacy) gevoelige gegevens te garanderen, zoals beschreven in de Algemene verordening gegevensbescherming (AVG)...

Derhalve adviseert de werkgroep Architectuur dat men zich houdt aan de volgende veiligheidsvoorschriften:

  • Berichtenverkeer gaat via HTTPS;
  • Privacy gevoelige gegevens worden 'twee-weg' versleuteld;
  • De richtlijnen die de VNG gebruikt voor het authenticeren en authorizeren van clients wordt gevolgd Deze richtlijnen zijn hier te vinden


Ons advies is om security toe te passen op verschillende niveaus, bijvoorbeeld met onderstaande elementen:

  • Het HTTPS berichtenverkeer dient op transportniveau met minimaal TLS 1.2 versleuteld te worden met het hoogst haalbare encryptieniveau (inclusief server certificaten);
  • Voor het authoriseren van statische clients kunnen private JWT tokens gebruikt worden die gesignd zijn met een certificaat
  • Geen gevoelige data (Bijv. BSN of autorisatiegegevens) meesturen in de URI
  • Accepteer uitsluitend token informatie uit de header
  • Geen interne foutmeldingen of stack traces retourneren bij onverwachte fouten.


De volgende onderdelen zijn op dit moment in ontwikkeling:

  • Voor het authoriseren van dynamische clients kan OAuth gebruikt worden met clientid en clientsecret




VERA&CORA logo.png