InCtrl | SaaS/Cloudsoftware !
Hieronder is een aantal belangrijke zaken uitgewerkt rondom het Saas/Cloudmodel op basis waarvan InCtrl haar internetsoftware-omgevingen aanbiedt. Dit document is bedoeld om een algemeen beeld te krijgen van zaken als systeem- en databeveiliging, de uitgebreide back-upfaciliteiten die we aanbieden en andere technisch relevante zaken. (Door)ontwikkeling van de applicatie en functionaliteiten Hoe snel worden wijzigingen in de services geleverd en op welke wijze wordt de prioriteitsstelling bepaald?
Hoe komen nieuwe functionaliteiten tot stand en hoe worden ze uitgeleverd?
In welke mate hebben afnemers invloed op de roadmap?
Alle services zijn gebaseerd op het multitenant SaaS (Software as a Service) model. Wijzigingen worden na kwalificatie onderdeel van de productevolutiecyclus. Afhankelijk van de omvang, prioriteit en impact kan een wijziging al de volgende dag worden doorgevoerd. Nieuwe functionaliteiten worden door marktonderzoek, klant/gebruikerfeedback en natuurlijke evolutie gedefinieerd en na kwalificatie onderdeel van de productevolutiecyclus. Door het SaaS model zijn nieuwe functionaliteiten direct na release, al dan niet als optioneel in te zetten modules, functioneel beschikbaar voor alle omgevingen. Er wordt niet gewerkt met versies en verbeteringen of uitbreidingen zijn per direct voor alle gebruikers en omgevingen beschikbaar. Nieuwe functionaliteiten die op de roadmap terechtkomen voor toekomstige ontwikkeling en realisatie, worden naast op basis van eigen inzichten juist ontwikkeld en geïmplementeerd op basis van wensen en verzoeken van afnemers. Dit om te bevorderen dat de producten zo goed aan sluiten bij waar afnemers behoefte aan hebben. Dit is een belangrijk onderdeel van het productmanagement- en productontwikkelproces.
Gebruikersbeheer, gebruikersrechten en andere rechten Hoe is het wijzigen van gebruikers en gebruik geregeld?
Wie is er verantwoordelijk voor het functioneel beheer en eerstelijns ondersteuning?
Doorgaans is dit belegd bij de afnemer zelf, via een of meer hiervoor bedoelde beheerdersaccounts. Toegang wordt gecontroleerd bij inloggen op de beveiligde omgeving middels een unieke gebruikersnaam-wachtwoordcombinatie. InCtrl is primair verantwoordelijk voor de eerstelijns ondersteuning, en werkt daarnaast samen met gespecialiseerde partnerorganisaties die de werkzaamheden van InCtrl in opdracht en onder toezicht
InCtrl | SaaS/Cloudsoftware !
Wie is verantwoordelijk voor de integriteit en vertrouwelijkheid van de gegevens?
Blijven afnemers intellectueel eigenaar van eigen gegevens? Worden afnemer intellectueel eigenaar van de producten en diensten die zij van InCtrl afnemen?
van InCtrl aanvullen. Het gebruik van de online omgevingen van InCtrl kan de verwerking van persoonsgegevens met zich meebrengen. InCtrl fungeert daarbij als bewerker zoals bedoeld in artikel 1 onder e van de Wet Bescherming Persoonsgegevens en zal alle daaruit voortvloeiende verplichtingen naleven. Afnemers worden met betrekking tot deze persoonsgegevens aangemerkt als verantwoordelijke zoals bedoeld in artikel 1 onder d van de Wet Bescherming Persoonsgegevens en zullen alle daaruit voortvloeiende verplichtingen naleven. Volledig. Nee, het intellectueel eigendom op de online producten wordt niet overgedragen aan afnemers. Alle intellectuele eigendomsrechten op de online omgevingen, waaronder begrepen het functionele en technische ontwerp, de vormgeving, de programmering, de databaseopbouw, de gebruiksmogelijkheden en de broncode berusten uitsluitend bij worden niet overgedragen, enkel gebruik van deze zaken wordt in licentie beschikbaar gesteld.
Beveiliging en back-ups Waar worden gegevens in de "cloud" opgeslagen?
Welke vorm van encryptie wordt toegepast? Worden de gegevens bij de provider ook versleuteld opgeslagen? Hoe wordt omgegaan met security fixes?
De gegevens behoudens de off-site backups worden opgeslagen op een professionele hostinglocatie in Hoofddorp. Alle gegevens en back-ups worden uitsluitend opgeslagen en verwerkt op één van de servers van onze organisatie. Alle servers bevinden zich in landen die behoren tot de Europese Economische Ruimte (EER). Back-ups wordt gecomprimeerd en versleuteld volgens de Rijndael (AES) of 448-Blowfish encryptiemethode. NAW- en inloggegevens worden versleuteld opgeslagen op eigen servers die niet voor derden toegankelijk zijn. Security fixes worden binnen 24 uur na release geïmplementeerd op basis van informatie afkomstig van de ontwikkelaars van de serverinfrastructuur en
InCtrl | SaaS/Cloudsoftware !
Welke garanties geeft de provider op het doorvoeren van wijzigingen? Is bijvoorbeeld verwijderen ook echt verwijderen?
Welke procedures zijn er voor het back-up proces?
serversoftware. Security fixes zijn direct na implementatie beschikbaar voor alle omgevingen. Indien op verzoek van de opdrachtgever gegevens verwijderd dienen te worden, worden deze ook volledig verwijderd. Voor het overige gelden de procedures t.a.v. de bewaartijd van back-ups, waarin verwijderde gegevens nog enige tijd beschikbaar (kunnen) blijven. Het standaard back-upproces is als volgt: (A) elk uur wordt een back-up gemaakt die 24 uur off-site wordt bewaard, (B) elke 24 uur wordt een back-up gemaakt die zeven dagen off-site wordt bewaard, (C) wekelijks op de vrijdag wordt een back-up gemaakt die drie weken off-site wordt bewaard, (D) maandelijks op de laatste dag van de maand wordt een back-up gemaakt die één jaar off-site wordt bewaard.
InCtrl | SaaS/Cloudsoftware !
Processen en overige zaken Ondersteunen de ePortfolioomgevingen van InCtrl NTA 2035? Hoe weet ik of een ePortfolio voldoet aan de NTA 2035?
Is aansluiting op andere software en single sign on functionaliteit mogelijk?
Worden de op dit vlak gangbare standaarden (SAML 2.0) ondersteund? Worden gegevens, al dan niet geanonimiseerd, doorverkocht of doorgespeeld aan derden?
Wat zijn de mogelijkheden en beperking om gegevens te migreren naar een andere dienstverlener?
Wat zijn de reactietijden bij onvolkomenheden?
Ja. Zowel technisch als qua visie is InCtrl groot voorstander van de NTA 2035, de Nederlandse technische Afspraak voor het kunnen uitwisselen van ePortfolio’s en ePortfolio-inhoud. U kunt dit controleren door een ePortfolio te exporteren en het ZIP-bestand wat deze eport oplevert, online te controleren via de validator van TNO. Het adres hiervoor is http://www.evalidator.nl/kennisnet/validator/eportfolio/ Alle producten van InCtrl bevatten koppelmogelijkheden middels API’s (web services). Een en ander afhankelijk van de precieze wensen zijn koppelingen middels deze API’s te realiseren met betrekking tot koppeling aan andere software, datauitwisseling en single sign-on verbindingen. Ja.
InCtrl mag en wil de gegevens die zijn opgeslagen of worden verwerkt niet voor enig ander doel gebruiken dan het leveren van de diensten en producten zoals afgesproken met haar afnemers. InCtrl mag de gegevens daarnaast in geanonimiseerde vorm gebruiken, enkel voor eigen en interne statistische doeleinden ter verbetering van haar dienstverlening. Het is de visie van InCtrl dat data en gegevens nooit vastzitten in software. Gegevens kunnen uitgeleverd worden op basis van standaarden (NTA 2035) of als database of gestandaardiseerd format (MySQL, CSV). Na beëindiging van een overeenkomst of op andere momenten kunnen gegevens in een algemeen leesbaar bestandsformaat ter beschikking worden gesteld, al dan niet tegen kostprijs. Daarnaast bieden diverse producten van InCtrl in de software reeds mogelijkheden om gegevens te exporteren t.b.v. analyse, offline archivering, en gebruik in andere software. Van elke onvolkomenheid dient een melding te worden gedaan aan InCtrl. Meldingen worden door InCtrl behandeld op basis van de volgende prioriteitsindeling: Categorie 10 Melding: een melding dat de online omgeving volledig onbereikbaar is door een tekortkoming van InCtrl of de online omgeving volledig buiten gebruik is en wel zodanig dat geen van de toepassingsmogelijkheden dan wel de primaire functionaliteit niet beschikbaar is; Categorie 20 Melding: een melding van een ernstig probleem waardoor de voortgang van een essentiële verwerkingsperiode in gevaar komt, maar niet de
InCtrl | SaaS/Cloudsoftware !
gehele online omgeving buiten gebruik is; Categorie 30 Melding: een melding van een gering probleem met de online omgeving dat niet onmiddellijk opgelost hoeft te worden om een goede werking te garanderen; Categorie 40 Melding: vragen en verzoeken om informatie over het gebruik en de implementatie van de online omgeving. Voor meldingen gelden de volgende responstijden binnen kantoortijden (8:30 – 17:30): Categorie 10 Meldingen: 2 uur; Categorie 20 Meldingen: 5 uur; Categorie 30 Meldingen: 8 uur; Categorie 40 Meldingen: 20 uur. InCtrl bepaalt in redelijkheid in welke categorie een melding valt.