Hoe is de beveiliging van Belastingdienst filetransfer geregeld?

Toetsing van de beveiliging

Veiligheid en betrouwbaarheid van Belastingdienst filetransfer is belangrijk. Om de veiligheid te waarborgen zijn de volgende maatregelen genomen.

  • Een onafhankelijk bedrijf heeft de beveiligings-test uitgevoerd (attack-, penetration- en configuratietest). Dit "Third Party Memo" beschrijft de beoordeling van het bedrijf dat de test heeft uitevoerd.
  • De Belastingdienst richt de infrastructuurbeveiliging in volgens de "BIR (Baseline Informatiebeveiliging Rijksdienst").
  • Maatregelen binnen de applicatie:
    • Https-verbinding voor de webapplicatie.
    • -Bij gebruik van IBM Aspera Connect- binnen de https-verbinding, versleuteling van het bestand zoals beschreven in dit document middels Aspera FASP Security model.
    • -Bij gebruik van IBM Aspera Connect- de optie tot het versleutelen van het bestand met een wachtwoord (en encryptie) zodat alleen verzender en ontvanger het bestand kunnen openen.
  • Het Belastingdienst Security Operations Center monitort Belastingdienst filetransfer continu.

Software

Belastingdienst filetransfer is gebaseerd op het product IBM Aspera. Informatie over de maatregelen die IBM neemt met betrekking tot beveiliging kunt u vinden op de pagina "IBM Security in Development". Hier staat de werkwijze van IBM en publiceert IBM beveiligingsbevindingen aan de hand van securitybulletins en beschrijft IBM hoe zij met beveiligingsproblemen omgaat.

Logging & tracking:

De Belastingdienst logt bij gebruik van Belastingdienst filetransfer het volgende van de gebruikers:

  • verzender e-mailadres
  • ontvanger e-mailadres
  • bestandsnaam
  • tijdstip upload
  • tijdstip download
  • aantal downloads
  • IP-adres download
  • IP-adres upload

De loggegevens gebruikt de Belastingdienst voor:

  • analyseren van verstoringen
  • vervaardigen van rapportages (niet herleidbaar tot personen)
  • uitvoeren van forensisch onderzoek bij vermoeden van misbruik

Bij het vermoeden van misbruik, technische beveiligingsproblemen en overige situaties kunt u op pagina "Misbruik en problemen rond databeveiliging. Wat moet ik doen?" de opties doornemen die u hebt.