DPA B-Able | PGGM waarborgt privacy van 2,5 miljoen leden

Publicatiedatum

21 november 2014

Business Unit

DPA B-Able

Locatie

Zeist

PGGM was dusdanig te spreken over een door DPA B-ABLE uitgevoerde virtualisatie-asssessment, dat er in 2010 een logisch vervolg kwam op de samenwerking. Dit betrof zo’n 40 websites met zelf ontwikkelde applicaties voor bijvoorbeeld pensioenplanners. “We wensten absolute zekerheid dat onze webservices voldoende beveiligd zijn, en ook beveiligd blijven tegen aanvallen van buitenaf”, blikt Jeroen Kragten, System Engineer CISSP bij PGGM, terug. “De Total Secure-dienst van DPA B-ABLE garandeert dat elk kwartaal een deel van de sites geanalyseerd worden. Zo worden de websites die we op internet hosten structureel eens per jaar doorgelicht op kwetsbaarheden, zonder voorkennis en inloggegevens.”

Vertrouwen in security

Voor PGGM is het belangrijk dat wordt aangetoond dat de organisatie er alles aan heeft gedaan om klanten veilige internethosting te bieden. Als aanvulling op zaken als gedegen patchmanagement worden alle websites door een geautomatiseerde service gescand op bekende securitylekken. “De Total Secure-dienst zorgt ervoor dat elk kwartaal webservers aanvullend worden gescand en de security wordt geanalyseerd. DPA B-ABLE biedt ons hiermee een onafhankelijke blik op onze internet hosting-omgeving, wat ons helpt om de volwassenheid van het security-niveau te verhogen en vast te houden. Het voordeel van de Total Secure dienst is dat PGGM zelf kan kiezen wat er elk kwartaal gescand wordt. Naast websites kunnen we ook andere security-componenten laten testen. Zo hebben we bijvoorbeeld een keer onze wifi-oplossing laten scannen in plaats van de websites.”

Total secure helpt bij compliance en certificering

PGGM is ISO 27001-gecertificeerd. Dat houdt onder meer in dat de organisatie moet voldoen aan de randvoorwaarden die intern vastgelegd zijn op procesmatig, organisatorisch en technisch gebied. De klanten van PGGM willen deze certificering ook zien en verwachten een Information Security Management System- ofwel ISMS-verklaring aan het eind van het jaar. “Ook de Nederlandsche Bank – die COBIT als verplicht uitgangspunt geformuleerd heeft binnen haar toezichtsmodel – komt periodiek langs bij het Pensioenfonds,” zegt Wim Pijnenburg, Manager Information Services bij PGGM. “Het Fonds komt dan op zijn beurt naar PGGM en vraagt de COBIT self-assessment checklist in te vullen. We verwijzen daarin onder andere naar de scans van DPA B-ABLE om aan te tonen dat de websites veilig zijn bevonden. Alle assessments van DPA B-ABLE zijn immers eveneens op COBIT gebaseerd.”

Het gaat om privacy en imago

PGGM onderhoudt de pensioenen voor meer dan 2,5 miljoen leden in zorg en welzijn. In de database van PGGM bevinden zich daarom diverse noodzakelijke persoonsgegevens, van BSN-nummer tot salarisgegevens en het hele arbeidsverleden. “Onze klanten en leden moeten erop aan kunnen dat alle gegevens veilig zijn opgeslagen en niet door derden zijn in te zien,” vervolgt Pijnenburg. “Het is natuurlijk ook niet goed voor het imago van PGGM als we slecht in het nieuws zouden komen. Dat zou onze business en groeiplannen dwarsbomen. Privacy van de door ons geregistreerde informatie is van zeer groot belang.”

PGGM verankert met de Total Secure-dienst het thema security als een constant volwassenheidsproces. Door meerdere assessments op verschillende gebieden af te nemen wordt het gewenste niveau van volwassenheid geborgd. PGGM heeft bijvoorbeeld een assessment laten uitvoeren waarbij de gehele virtuele infrastructuur onder de loep werd genomen. Ook worden regelmatig nieuwe websites gescand in de test- of acceptatieomgeving voorafgaand aan de oplevering. Deze specifieke webapplicaties worden door specialisten van DPA B-ABLE met de ontwikkelaars bij PGGM doorgelicht. Na elke assessment wordt een rapportage met aanbevelingen gepresenteerd.

Over PGGM

PGGM verleent diensten op het gebied van pensioenbeheer, integraal vermogensbeheer en bestuursadvisering aan pensioenfondsen, de aangesloten werkgevers en hun werknemers. De organisatie beheert circa 178 miljard euro pensioenvermogen voor diverse pensioenfondsen. Daarnaast ontwikkelt PGGM voor werkgevers en onze meer dan 675.000 leden uit de sector zorg en welzijn aanvullende diensten op het gebied van pensioen, zorg, wonen en werk. Bij PGGM werken 1.516 mensen.