Het Normenkader informatiebeveiliging van het MedMij Afsprakenstelsel schrijft voor dat tenminste jaarlijks applicatiepenetratietesten uitgevoerd dienen te worden.
Vragen of een offerte aanvragen?ThreatLabs heeft, als onafhankelijke organisatie, expertise op het gebied van pentesten met MedMij-koppelvlakken als (onderdeel van) de scope en ook ervaring met het technisch DigiD normenkader van Logius.
De rapportage toont onder andere aan of Domain Name System Security Extensions (DNSSEC) effectief geïmplementeerd is, in hoever de TLS-configuratie veilig wordt geacht, en of de NCSC webapplicatie richtlijnen afdoende zijn gehanteerd.
Een greybox applicatiepenetratietest volstaat met de volgende externe koppelvlakken als scope:
Het gaat hierbij met name om de beveiliging van gegevens die over het MedMij-netwerk uitgewisseld worden. De externe MedMij-koppelvlakken hebben hierdoor de focus.
Tip: als DVZA (Dienstverlener Zorgaanbieder) kunnen de resultaten van een eventuele DigiD-audit gedeeltelijk hergebruikt worden.