Rollen:
Rollen en verantwoordelijkheden zoals vastgelegd bij het ontwerp van de dienst (unmanaged).
Persoonsgegevens
De instelling is verantwoordelijk voor het opstellen en naleven van zowel het beveiligings- als het privacybeleid. SURF verwerkt mogelijk gevoelige gegevens in opdracht van de instelling, zoals hieronder weergegeven. Dit kan in de praktijk afwijken, aangezien de instelling controle heeft over de werking van de firewall.
De verwerking van persoonsgegevens bij het filteren door de firewall hangt af van de firewallregels die de afnemende instelling instelt, evenals de benodigde persoonsgegevens voor het filteren van verkeer. De afnemende instelling heeft hier specifieke inzichten in. Deze regels beïnvloeden vooral de verwerking van persoonsgegevens van gebruikers van het netwerk, zoals studenten en medewerkers.
Beleidsregels kunnen omvatten:
- IP-reeksen en -adressen
- Protocoldetails
- Groepslidmaatschappen
- Tijdsperiodes
- Applicatiesoorten
Verwerkingsdoeleinden en belangen
Het is aan de afnemende instelling (verwerkingsverantwoordelijke) om te bepalen voor welke doeleinden persoonsgegevens worden verwerkt en welke gegevens noodzakelijk zijn, ook bij het gebruik van een firewall. De verwerkingen vinden plaats binnen de infrastructuur van SURFfirewall.
De volgende algemene doeleinden zijn bekend bij SURF:
- Beveiliging
- Toegangsbeperking
- Gegevensbescherming
- Opsporen van misbruik van het netwerk
De volgende belangen zijn bekend bij SURF:
- Beveiligen van het interne netwerk met firewallregels om ongeoorloofde toegang en misbruik te voorkomen.
- Waarborgen van de netwerkfunctionaliteit en beschikbaarheid door verstorend verkeer (zoals DDoS-aanvallen) te blokkeren voordat het impact heeft.
Verwerkingen
De gegevensverwerkingen zijn gericht op het mogelijk maken en leveren van de firewalldienst aan de instellingen. Naast de verwerkingen voor de firewall zijn er ook verwerkingen voor het aanmaken van beheeraccounts, ondersteuning, logging en rapportages, die op verzoek met de afnemende instelling worden gedeeld.
Verwerkingslocaties
Alle verwerkingen vinden plaats binnen de EER. Voor het correct functioneren van de dienst kan ondersteuning van een partij buiten de EER nodig zijn. Deze partij heeft geen directe toegang tot persoonsgegevens, zoals softwareleveranciers die subverwerkers inschakelen.
Betrokken partijen
Bij deze dienst onderscheiden we de volgende partijen:
- De afnemende instelling (verwerkingsverantwoordelijke)
- SURF (verwerker)
- Betrokken beveiligingspartij door SURF (subverwerker)
Rechten van betrokkenen
SURF fungeert als verwerker, terwijl de afnemende instelling verwerkingsverantwoordelijke is. Betrokkenen wordt aangeraden contact op te nemen met de afnemende instelling om hun rechten uit te oefenen. SURF zal, waar technisch mogelijk, verzoeken van de instelling honoreren.
Beveiliging
Patching
SURF ontvangt regelmatig advies van een betrokken beveiligingsbedrijf over het installeren van beveiligingsupdates. Deze patches worden zo snel mogelijk geïnstalleerd. Bij urgente beveiligingsupdates kunnen werkzaamheden buiten de reguliere onderhoudsvensters plaatsvinden. Deze werkzaamheden worden altijd vooraf aangekondigd en, indien nodig, dezelfde dag geïnstalleerd. Voor de beoordeling van de urgentie wordt de CVSS 2.0-index gebruikt.
Role-based Access
Toegang is onderworpen aan role-based access control, waarbij de standaardrol geen toegang biedt. Hierdoor verlenen wij de minst mogelijke toegang die nodig is voor het uitvoeren van werkzaamheden.
Hardening
Alle onnodige functionaliteiten op de firewalls zijn uitgeschakeld. Functies worden pas ingeschakeld wanneer er noodzaak voor is, om onnodig misbruik van de firewall te voorkomen.
Versleuteling
Alle communicatie met de firewall gebeurt versleuteld volgens geldende standaarden (TLS 1.3), en alle opslag op de firewallhardware is versleuteld.