Veilig aanbesteden en inschrijven

Aanbesteden is een vertrouwelijk proces. Of u nu aanbesteedt of inschrijft, u moet erop kunnen vertrouwen dat u uw informatie veilig kunt opslaan, verzenden of ontvangen.

Daarom neemt PIANOo verregaande maatregelen om de kwaliteit van de informatiebeveiliging te borgen. Denk aan verschillende autorisatierollen, een digitale kluis, versleuteling van gegevens, het periodiek vervangen van databasesleutels en gecertificeerde werkprocessen.

ISO 27001 gecertificeerd

TenderNed voldoet dan ook aan de ISO 27001-standaard, een wereldwijd erkende norm op het gebied van informatiebeveiliging. Een auditor beoordeelt jaarlijks de effectiviteit van onze werkprocessen, hij kijkt met name hoe PIANOo de processen meet en monitort. Denk onder meer aan incidentmanagement, wijzigingenbeheer, informatiemanagement, servicemanagement en privacy.

Voorbeelden van veiligheid in TenderNed

Hieronder ziet u enkele voorbeelden van hoe we omgaan met veiligheid en informatiebeveiliging.

Autorisatierollen regelen wat iemand ziet en kan doen

Verschillende autorisatierollen zorgen ervoor dat iemand alleen kan zien en doen, wat hij mag zien en doen. Iedere onderneming en aanbestedende dienst heeft in ieder geval één volledig geautoriseerde gebruiker: de lokaal beheerder. Deze lokaal beheerders bepalen de rollen en daarmee de rechten van de overige gebruikers binnen de eigen organisatie.

Tweestapsverificatie voor extra veiligheid

Voor een aantal handelingen moeten gebruikers een transactiecode invoeren, die zij per sms ontvangen op hun mobiele telefoon. Dit geldt bijvoorbeeld voor het publiceren van een aankondiging, het versturen van een aanmelding of inschrijving door een onderneming, en het openen van de kluis door een aanbestedende dienst.

Offertes worden bewaard in de digitale kluis

Zodra een onderneming haar aanmelding of inschrijving heeft verstuurd, dan wordt deze in de digitale kluis geplaatst. Deze offertes zijn voor niemand te zien totdat de kluis geopend is. Dat kan pas na het verstrijken van de deadline.

De kluis moet vervolgens worden geopend door twee geautoriseerde medewerkers van de aanbestedende dienst, volgens het zogenoemde vierogenprincipe. Zij moeten allebei zijn ingelogd en een transactiecode invoeren, die ze per sms ontvangen.

Documenten zijn versleuteld

Documenten die in TenderNed worden geüpload zijn versleuteld. Alleen geautoriseerde gebruikers binnen het eigen aanbestedingsteam kunnen de documenten zien en openen.

Pas wanneer de documenten zijn verstuurd en de kluis door de aanbestedende dienst is geopend, is de inhoud van de documenten ook voor hen zichtbaar. Prijsinformatie wordt separaat versleuteld, zodat deze apart beoordeeld kan worden.

Ook medewerkers van TenderNed hebben geen inzage in de inhoud van de documenten. Ontsleutelen van documenten is echter wel mogelijk in geval van een calamiteit. Dit is altijd traceerbaar in de zogenoemde logfiles.

Regelmatig testen om de code te verbeteren

TenderNed voert periodiek beveiligingstesten uit om de kwaliteit van onze software te valideren. Hoe beter de kwaliteit van de softwarecode, hoe beter het systeem te beveiligen is tegen aanvallen via zogenaamde ‘achterdeurtjes’. Regelmatig simuleren externe experts cyberaanvallen op de applicatie en het netwerk, om op alles te zijn voorbereid.

Databasesleutels

De gegevens in de database worden beveiligd met unieke databasesleutels, die periodiek vervangen worden.

Netwerken

TenderNed werkt met een beveiligde verbinding (https), zodat al het gegevensverkeer tussen het systeem en de gebruiker meervoudig versleuteld is. We maken gebruik van een veiligheidscertificaat (SSL) van de overheid (PKI Overheid).

Naar boven