Reguliere Pentest: Deze pentests volgen vaak industriestandaarden zoals OWASP, NIST, of ISO. Ze richten zich op het identificeren van kwetsbaarheden in systemen, applicaties, en netwerken.

DigiD Pentest: DigiD-pentests moeten voldoen aan specifieke eisen die zijn vastgelegd door het Nederlandse Nationaal Cyber Security Centrum (NCSC) en de Rijksdienst voor Identiteitsgegevens (RvIG). De pentest moet uitgevoerd worden volgens de richtlijnen van het "Normenkader DigiD". Dit betekent dat er aanvullende controles zijn, gericht op de bescherming van persoonlijke gegevens en authenticatiesystemen.

De "handreiking DigiD-pentest" verwijst naar een specifieke set richtlijnen en documentatie die zijn opgesteld om organisaties te helpen bij het uitvoeren van een DigiD-pentest volgens de eisen van het Normenkader DigiD. Deze handreiking biedt gedetailleerde instructies over hoe de pentest moet worden uitgevoerd, welke aspecten moeten worden getest, en hoe de resultaten moeten worden gerapporteerd.

De pentester moet beschikken over relevante certificeringen die aantonen dat ze beschikken over de nodige kennis en vaardigheden om een DigiD-pentest uit te voeren.

Ervaring:

De pentester moet aantoonbare ervaring hebben met het uitvoeren van pentests, bij voorkeur in een omgeving met hoge veiligheidsvereisten zoals overheidsinstellingen, financiële instellingen, of andere organisaties met kritieke IT-infrastructuur.

NOREA-erkenning:

Veel DigiD-pentests vereisen dat de pentester of het pentestteam onder toezicht staat van een Register EDP-Auditor (RE), die erkend is door NOREA (Nederlandse Orde van Register EDP-Auditors). Dit zorgt ervoor dat de pentest volgens de juiste methodologieën en normen wordt uitgevoerd.

Kennis van DigiD-vereisten:

De pentester moet grondige kennis hebben van het Normenkader DigiD en andere relevante wet- en regelgeving, zoals de AVG (Algemene Verordening Gegevensbescherming). Dit is essentieel om ervoor te zorgen dat de pentest voldoet aan de specifieke eisen die worden gesteld aan de beveiliging van DigiD-systemen.

Bij PRDX8 voldoen onze experts aan alle strenge eisen om DigiD-pentests uit te voeren. Jaarlijks worden wij gecontroleerd door een NOREA-gecertificeerde IT-auditor om ervoor te zorgen dat we aan alle aspecten voldoen.

De eisen aan een DigiD-pentester zijn uitzonderlijk hoog. Onze specialisten zijn gecertificeerd, ervaren, en onafhankelijk. Ze zijn grondig bekend met zowel de technische als wettelijke aspecten van informatiebeveiliging die cruciaal zijn voor DigiD en de integriteit van de digitale overheidssystemen.

Referenties? Die kunnen we uiteraard leveren op verzoek!

Wat is het CCV-keurmerk?
Om ervoor te zorgen dat aanbieders van pentesten kwalitatief goed werk leveren is het CCV-keurmerk Pentesten ontwikkeld. Net als bij deursloten en autoalarmsystemen is het belangrijk dat ook de digitale beveiliging van je bedrijf op orde is. Onafhankelijk toezicht op de kwaliteit van pentest-diensten is een belangrijke stap in de strijd tegen cybercriminelen.

Het antwoord hierop is eenvoudig "NEE" Wij hebben sterk de voorkeur om jaarlijks door een NOREA aangesloten IT-auditor op kwaliteit te worden gecontroleerd en op de aspecten "wie een DigiD-pentest mag uitvoeren". Dit zijn auditors (onder toezicht) die met de dagelijse praktijk te maken hebben!

Bij PRDX8 voeren we DigiD-pentests uit op basis van de volgende cruciale NORMEN: WA.03, WA.04, WA.05, PW.02, PW.03, PW.07, NW.06, C.03, en C.09.

Afhankelijk van uw specifieke situatie testen we geheel of gedeeltelijk op deze NORMEN. In sommige gevallen dienen deze NORMEN ter aanvulling op het onderzoek van de auditor, waarbij het eindoordeel van de auditor altijd leidend blijft.

Zo garanderen wij dat uw DigiD-pentest volledig en audit-proof is.

Absoluut! Een DigiD-rapport moet niet alleen voldoen aan de verschillende NORMEN, maar ook duidelijke antwoorden bieden op specifieke vereisten. Het leveren van overtuigende bewijslast is essentieel. Maar bovenal moet het rapport begrijpelijk zijn voor de auditor, zodat deze een weloverwogen eindoordeel kan vellen.

Ja, maar uitsluitend voor huidige en nieuwe klanten na een korte online meeting.

Ons rapport is het resultaat van jarenlange continue verbetering en samenwerking met NOREA-gecertificeerde IT-Auditors. Dit hoogwaardige eindproduct beschermen wij zorgvuldig.

Klanten prijzen ons rapport regelmatig, en we zien dit als een waardevol commercieel voordeel dat we graag behouden.

Natuurlijk, het rapport is bedoeld voor u als klant, zodat u het kunt delen met uw IT-Auditor voor het Logius Auditrapport.

Bij twijfel of voor extra inzicht kan Logius zelf het rapport opvragen om de benodigde informatie te verifiëren. Zo bent u verzekerd van een volledig transparant en betrouwbaar proces.

De IT-auditor controleert het DigiD-pentest rapport zorgvuldig op kwaliteit, een van de cruciale eisen voor DigiD-pentesters. Daarnaast beoordeelt de auditor of het rapport voldoet aan de gestelde NORMEN. Dit kan uitdagend zijn als er een reguliere pentest is uitgevoerd, bijvoorbeeld volgens de OWASP top 10, omdat de koppeling met de specifieke DigiD NORMEN dan minder duidelijk is. Bewijslast is hierbij van essentieel belang om aan te tonen dat aan alle eisen is voldaan.

Bij PRDX8 begrijpen we dat bewijslast het cruciale verschil maakt tussen een reguliere pentest en een DigiD-Pentest. Voor elke NORM is het essentieel om duidelijke bewijslast te leveren, zodat direct zichtbaar is of aan de eisen is voldaan. Een scherpzinnige auditor zal hierbij extra letten op details zoals timestamps. Onze aanpak zorgt ervoor dat uw DigiD-Pentest niet alleen voldoet aan de normen, maar ook overtuigend en audit-proof is.

Absoluut! Het vroegtijdig betrekken van een auditor bij uw DigiD-Pentest is essentieel voor een soepel en succesvol traject. Door de auditor al in de beginfase mee te nemen, zorgt u ervoor dat de pentest naadloos aansluit op de vereisten en NORMEN, waardoor de kans op vertragingen en herwerk wordt geminimaliseerd. Zo bent u verzekerd van een efficiënte audit en volledige compliance.

Bij PRDX8 maken we gebruik van twee toonaangevende methodologieën die elkaar perfect aanvullen: de PTES (Penetration Testing Execution Standard) en de OWASP Testing Guide.

PTES biedt een volledige set richtlijnen die het gehele pentestproces omvatten, van pre-engagement tot post-test activiteiten. Deze uniforme methode is uitermate geschikt voor zowel complexe als eenvoudige pentesten. Dankzij de holistische aanpak kunnen we de pentest precies afstemmen op uw specifieke behoeften.

Voor de inhoudelijke tests gebruiken we de OWASP Testing Guide. Dit wereldwijd erkende framework richt zich specifiek op webapplicaties en biedt een uitgebreide lijst van testcases. Gebaseerd op de OWASP Top 10, dekt het de meest voorkomende kwetsbaarheden en bedreigingen. OWASP is een industrienorm en staat bekend om zijn gestructureerde en voortdurend bijgewerkte aanpak, wat essentieel is voor betrouwbare en effectieve webapplicatietests.

Met deze combinatie van PTES en OWASP garandeert PRDX8 een grondige, gestructureerde, en up-to-date pentest die aansluit op de hoogste normen in de industrie.

Frequently Asked Questions

EXPLORE

SUPPORT

EMAIL

Frequently Asked Questions

Wat is het verschil reguliere pentest en een DigiD pentest?

Wat is een handreiking DigiD-pentest?

Wie mag een DigiD-pentest uitvoeren?

Mag PRDX8 een DigiD-pentest uitvoeren?

Heeft PRDX8 een CCV-keurmerk?

Welke NORMEN zijn van belang voor een DigiD-pentest?

Is een DigiD rapport anders?

Is er een voorbeeld rapport beschikbaar?

Voor wie is een DigiD-Pentest rapport?

Wat doet de IT-Auditor met het DigiD-Rapport?

Bewijslast DigiD-Rapport?

Vroegtijdig betrekken IT-Auditor?

Welke methodology gebruikt PRDX8?

EXPLORE

SUPPORT

EMAIL