Als onderdeel van onze ‘Security Roadmap 2018’ hebben wij de afgelopen maanden hard gewerkt om onze systemen te upgraden naar de hoogste normen op het gebied van privacybescherming en beveiliging. Met het updaten van de one2track app's in de App store en de Google Playstore de afgelopen week sluiten wij de laatste fase van dit project af. Weten wat er allemaal gedaan is?

Naar aanleiding van het rapport van de Noorse consumentenbond in oktober 2017 hebben wij kritisch onze systemen en procedures onder de loep gelegd. Ondanks dat de systemen van One2track niet getest zijn, zagen wij in dit rapport wel een aantal verbeteringen. Samen met onze partner Cyber Guard International zijn wij eind 2017 gestart met het opstellen van een plan van aanpak. Vanuit dit plan hebben wij de volgende aandachtspunten gerealiseerd:

1. Klanten moeten eenvoudig hun (privacygevoelige) gegevens kunnen wissen en er zeker van zijn dat dit ook daadwerkelijk gebeurd.
2. Opslag van klantgegevens moet plaatsvinden op een centrale plaats in Nederland via een fysiek en beveiligd datacentrum (geen Cloudoplossing).
3. Het toegangsbeheer voor onderhoud van de systemen wordt gemonitord, logboeken tonen aan wie aan het werk is geweest en welke systemen zijn aangeraakt.
4. Speciale scripts (firewalls) monitoren de in- en uitgaande datastromen en herkennen afwijkingen in aanvragen en kunnen hierop anticiperen (DDOS en IP lockout).
5. Datatransmissie tussen app en server is versleuteld inclusief SSL certificaat pinning (ter voorkoming van man in the middle attacks).
6. GPS Webversie is voorzien van de laatste SSL certificaten en dataversleuteling.
7. Al onze leveranciers hebben een verwerkersovereenkomst getekend (AVG wetgeving).
8. Onze medewerkers zijn in het bezit van een VOG (Verklaring omtrend het gedrag).

Met het updaten van onze one2track app's afgelopen week hebben de laatste fase van dit 'plan van aanpak' afgesloten en zijn alle genoemde aandachtspunten afgerond. 

En nu?

Veel van onze concurrenten claimen dat ze voldoen aan de nieuwe privacy richtlijnen. Echter, vaak beschikken zij helemaal niet over hun eigen systemen, servers en databases maar zijn afhankelijk van een (Chinese) software leverancier. Deze software leveranciers hosten klantdata 'in de cloud' op een 'AliBaba' server. De beveiliging van deze omgevingen worden niet gecontroleerd evenals de controle op toegangsbeheer van deze databases. Wie heeft er toegang en wanneer? Worden deze gegevens niet doorverkocht? Worden er meldingen van datalekken gedaan wanneer er toch ingebroken wordt? De vaak schimmige gebruikersvoorwaarden van deze apps zeggen hier helemaal niets over.

Als one2track willen wij de Nederlandse consument beschermen tegen deze handel. Daarom gaan wij nu een stap verder door de systemen van onze concurrenten aan een 'privacy en beveiligings onderzoek' te onderwerpen. Onze bevindingen gaan wij delen met de Nederlandse Autoriteit Privacy en met de Nederlandse consumentenbond. Dit met het verzoek om direct actie te ondernemen tegen deze handelaren. De verkoop van GPS horloges aan kinderen en ouderen vergt specialisatie en deskundigheid en is geen manier om makkelijk geld te verdienen!

 

Meer nieuws?