APK voor webhosting

Qua functiescheiding gedateerde Beslissing CvKB 28-03-2013, zknr 2013/02 (A-meubel), www.cvkb.nl:
“De registrar heeft bij registratie maar ook daarna een zorgplicht met betrekking tot de correctheid van de geregistreerde gegevens en de traceerbaarheid van de houder of degene die opdracht tot de registratie heeft gegeven. De registrar zal geen gegevens registreren waarvan hij weet of vermoedt dat deze niet correct zijn en zal daarnaast, zodra hij zelf ontdekt of er door SIDN of een derde op gewezen wordt dat gegevens niet correct zijn, deze door correcte gegevens vervangen. Een registrar dient op verzoek van SIDN bewijs van de correctheid van de geregistreerde gegevens te leveren.”

Bestandsbeheer van Whois (uitgesproken als “who is”)

  1. Is de houdernaam een bestaande naam? Is een rechterlijke uitspraak nodig?
    Zoek bijv. bij de KVK de vervallen spelling ‘Transip B.V.’ met de uitgebreide selectie inclusief vervallen. De adresbalk toont wel hoofdlettergevoelig. Er zijn zeven zoekresultaten waarvan één keer de vervallen naam ‘Transip B.V.’. Voor een rechter voldoet iets van een bedoeling al. Overigens is aan de KVK gemeld dat strikt juist opvragen van een naam niet gaat, en dat engels-talig opvragen niet gaat, bijv. voor ‘.eu’ door een medewerker van ‘EURid vzw’.
  2. Is de houdernaam de beoogde naam? Technische medewerkers wachten op een serieus incident.
  3. Is de houdernaam zichtbaar voor zakelijk gebruik? De houder heeft hierbij de primaire verantwoordelijkheid. Zie ook mijn pagina https://webhostingtech.nl/nl-zone-clearer-whois/.
  4. Een registry, zoals SIDN voor ‘.nl’, kan niet ingrijpen in geval van een niet-bestaande registrar-naam.
  5. Zijn e-mailadressen niet te persoonlijk, maar specifiek functioneel? Beschermt GDPR/AVG?
  6. Is het te simpele ‘abonnement’ helder? SIDN ondersteunt zo nodig vermogensrechtelijke aspecten bij overdracht.
  7. Komt de (sub)verwerkersovereenkomst overeen met de statutaire of een handelsnaam van de Reseller / Registrar?
  8. Werken contacten, zoals mogelijk admindesk@ en techdesk@, die het verschillend coördineren benadrukken?
  9. Leidt het domein van de servernaam voor een melding naar een aanspreekbare houder?
dit betreft, en ook van leveranciers:
  1. Bestaat de handelsnaam van de registrar / reseller? De registry kan niet verantwoordelijk zijn.
  2. Verzorgt de registrar de ‘abuse’ contact informatie? T.z.t. gaat dit wereldwijd verplicht worden.
  3. Staan de domeinen in servernamen en van de name servers goed op naam?
  4. Staan de IPv4- en IPv6-adresblokken op de gewenste naam?
  5. Is de afkorting ‘B.V.’, volgens wettelijk voorschrift, in hoofdletters en met puntjes?
  6. Is mogelijke vermelding van domeinen bij de KVK juist?

Regelkringen

  1. Is het bestand security.txt ingericht, en op de juiste plaats, voor de white hat hacker?
  2. Gaat e-mail naar de comptabele persoon zonder handmatig doorsturen? Verantwoording?
  3. Gaat e-mail naar de systeembeheerder zonder handmatig doorsturen? Snelle oplossingen?
  4. Is een misbruik / abuse contact ingericht door de Registrar? Optioneel gebruik zoals bij .nl?
  5. Is het menu van de domain provider(s) state-of-the-art? Standaard rapportage voor controle?
  6. Werkt de mijns inziens benodigde driemaandelijkse tuning m.b.v. diverse testtools?

Controles door site-ontwerper

  1. Staat de handelsnaam op de site in het Handelsregister, en niet als vervallen?
  2. Staat het KVK-nummer op de site, en is dit nummer juist?

Wet beveiliging netwerk- en informatiesystemen (Wbni)

  1. Regelmatige beoordeling van het opsporen en dichten van beveiligingsgaten;
  2. Wie komen er allemaal binnen en hebt u daar zicht op?
  3. Een doeltreffende reactie op incidenten.

Privacy

  1. Is een privénaam niet onnodig openbaar zichtbaar? Worden ook IP-blokken geaudit?
  2. Staan privacygevoelige gegevens op een server met poort 3306 open?

Beveiliging

  1. Is HTTPS op de website in orde, ook bij leveranciers?
  2. Is DNSSEC op de name servers, in combinatie met de domain provider, in orde, ook bij leveranciers?
  3. Is DMARC/DKIM/SPF/DANE (adkim=s; aspf=s;) voor e-mail up-to-date?
  4. @www.: ‘v=DMARC1; p=reject;’ ‘v=DKIM1; p=’ ‘v=spf1 -all’ (DDoS aanval kan via wildcard DKIM)
    @www.: ‘v=DMARC1; p=reject;’ [identiek aan zonder www] ‘v=spf1 +a -all’ (www servernaam)
    @www.: ‘v=DMARC1; p=reject;’ ” ‘v=spf1 -all’ (geen DKIM, dan DMARC-reject en zo’n SPF)
  5. Is er behoorlijke inrichting van security headers?
  6. Is e-mail beveiliging getest met een valse afzender?

Instellingen

  1. Werkt HTTP/2 t.b.v. de snelheid?
  2. Zal een niet-ondersteunde PHP-versie snel worden uitgefaseerd?
  3. Zijn er meerdere MX-servernamen/IP’s als uitwijk voor inkomende e-mail?
  4. Is er in de applicatie uitwijk naar een andere uitgaande e-mail service?
  5. Werkt u toe naar geen subdomein www in de URL?

Datacenter(s) etc.

  1. Is het datacenter in drie ‘availability zones’ gebouwd t.b.v. redundantie?
  2. Zijn datacenter/name servers/DNS/applicatie/plug-ins IPv6-klaar?
  3. Is de locatie van het datacenter binnen Nederland?
  4. Inkomende mailservers upgraden naar / vervangen door OpenSSL 1.1 / TLS 1.3.
  5. Zijn applicaties met (Java-)plug-ins (bijv. voor een PDF) getest met OpenSSL 1.1?
  6. Zijn snelle SSD-schijven van toepassing? En mogelijk dedicated processoren?