ICTscan – analyse websites

We voorzien 2 rapporten.

PCI-rapport

De PCI-scan is een door de PayCardIndustry bepaalde set van tests om na te gaan of een website veilig is. Er wordt  ondermeer een analyse gedaan of de server waarop de site staat voldoende beveiligd en up to date is. Zo wordt nagegaan of er al of niet teveel poorten openstaan, of het platform up to date is en of er een van de vele bekende lekken niet terug gevonden kan worden.

Een PCI-rapport biedt nog geen 100% zekerheid, men baseert zich op bekende lekken. Daardoor blijven lekken van eigen ontwikkelde applicaties vaak uit het beeld.

Een WAP-rapport

Een webapplicatie rapport gaat na of er naast de bekende lekken waarop PCI toetst, nog andere lekken te vinden zijn. De website wordt dus effectief afgetoetst.  We gebruikten hiervoor netsparker omdat het aantal valse meldingen beperkt is, in vergelijking met andere omgevingen.

Toelichting: 
De rapporten zijn voor niet experts behoorlijk complex. Confirmed fouten zijn effectieve fouten die netsparker effectief vond.

Pilootproject
In december 2014 – maart 2015 screenden we een 50-tal sites van scholen. Dit was een gratis screening (waarde 350 euro per school). Op basis van de resultaten hebben we de nodige stappen gezet ondermeer naar het esafetylabel en de Vlaamse overheid.

Zo pleiten we ervoor dat scholen
a) de kans krijgen om hun website geregeld te laten screenen op mogelijke lekken.
b) de kans krijgen om hun website te migreren naar een hosting omgeving waarbij het hostingbedrijf geregeld een PCI-rapport en WAP-rapport garanderen.