APK voor webhosting

Beslissing CvKB 28 maart 2013, zknr 2013/02 (A-meubel), www.cvkb.nl
“De registrar heeft bij registratie maar ook daarna een zorgplicht met betrekking tot de correctheid van de geregistreerde gegevens en de traceerbaarheid van de houder of degene die opdracht tot de registratie heeft gegeven. De registrar zal geen gegevens registreren waarvan hij weet of vermoedt dat deze niet correct zijn en zal daarnaast, zodra hij zelf ontdekt of er door SIDN of een derde op gewezen wordt dat gegevens niet correct zijn, deze door correcte gegevens vervangen. Een registrar dient op verzoek van SIDN bewijs van de correctheid van de geregistreerde gegevens te leveren.”

Houder in Whois (uitgesproken als ”who is”)

  1. Bestaat de houdernaam wel? Is een rechterlijke uitspraak nodig?
    Zoek bijv. de oude spelling ‘Transip B.V.’ op https://www.kvk.nl/zoeken/ met de uitgebreide selectie incl. vervallen.
    De adresbalk toont hoofdlettergevoelig. Toch zeven resultaten met één keer ‘Transip B.V.’ (wat voor SIDN werkt).
  2. Is de houdernaam zichtbaar? Transparant zakelijk gebruik?
    Zie mijn gedetailleerde voorzetten aan SIDN op https://webhostingtech.nl/towards-clear-whois-in-the-nl-zone/.
  3. Zijn de e-mailadressen niet-gepersonaliseerd? Beschermt GDPR/AVG?
  4. Is de houdernaam de bedoelde houdernaam? Wordt Whois ge-audit?
  5. SIDN werkt mee aan overdracht met de vermogensrechtelijke aspecten. Is het (te) simpele ‘abonnement’ helder?
  6. Komt de (sub)verwerkersovereenkomst overeen met de statutaire of een handelsnaam van de Reseller / Registrar?
  7. Werken contacten, zoals mogelijk admindesk@ en techdesk@, die het verschillend coördineren benadrukken?
dit betreft, en ook van leveranciers:
  1. Staan de domeinen in servernamen en van de name servers goed op naam?
  2. Staan de IPv4- en IPv6-adresblokken op de gewenste naam? https://check-host.net/ip-info
  3. Is de afkorting ‘B.V.’, volgens wettelijk voorschrift, in hoofdletters en met puntjes?
  4. Is mogelijke vermelding van domeinen bij de KVK juist?
  5. Functioneert input van een derde bij de registrar, conform voorschrift van SIDN?

Regelkringen

  1. Gaat e-mail naar de comptabele persoon zonder handmatig doorsturen? Verantwoording?
  2. Gaat e-mail naar de systeembeheerder zonder handmatig doorsturen? Snelle oplossingen?
  3. Is een misbruik / abuse contact ingericht door de Registrar? Gebruik van de optie zoals bij .nl?
  4. Is het menu van de domain provider(s) state-of-the-art? Standaard rapportage voor controle?
  5. Werkt de mijns inziens benodigde driemaandelijkse tuning m.b.v. diverse testtools?

Wet beveiliging netwerk- en informatiesystemen (Wbni)

  1. Regelmatige beoordeling van het opsporen en dichten van beveiligingsgaten;
  2. Wie komen er allemaal binnen en hebt u daar zicht op?
  3. Een doeltreffende reactie op incidenten.

Privacy

  1. Is een privénaam niet onnodig openbaar zichtbaar? Worden ook IP-blokken geaudit?
  2. Staan privacygevoelige gegevens op een server met poort 3306 open?

Beveiliging

  1. Is HTTPS op de website in orde, ook bij leveranciers?
  2. Is DNSSEC op de name servers in orde, ook bij leveranciers?
  3. Is DMARC/DKIM/SPF/DANE (adkim=s; aspf=s;) voor e-mail up-to-date?
  4. @www.: ‘v=DMARC1; p=reject;’ ‘v=DKIM1; p=’ ‘v=spf1 -all’ of
    @www.: ‘v=DMARC1; p=reject; [identiek aan zonder www] ‘v=spf1 +a -all’
  5. Is er behoorlijke inrichting van security headers? https://securityheaders.com/
  6. Is e-mail beveiliging getest met een valse afzender?

Instellingen

  1. Werkt HTTP/2 t.b.v. de snelheid?
  2. Zal een niet-ondersteunde PHP-versie snel worden uitgefaseerd?
  3. Zijn er meerdere MX-servernamen/IP’s als uitwijk voor inkomende e-mail?
  4. Is er in de applicatie uitwijk naar een andere uitgaande e-mail service?
  5. Vindt u ook dat www. niet echt nodig is in de gekopieerde URL?

Datacenter(s) etc.

  1. Is het datacenter in drie eenheden gebouwd t.b.v. redundantie?
  2. Zijn datacenter/name servers/DNS/applicatie/plug-ins IPv6-klaar?
  3. Is de locatie van het datacenter binnen Nederland?
  4. Inkomende mailservers upgraden naar / vervangen door OpenSSL 1.1 / TLS 1.3.
  5. Zijn applicaties met (Java-)plug-ins (bijv. voor een PDF) getest met OpenSSL 1.1?
  6. Zijn snelle SSD-schijven van toepassing?