Veilig documenten ontvangen van externen via FLOW

  • 23 November 2022
  • 2 reacties
  • 15 Bekeken

Badge +1

Hallo,

Via een actieformulier willen we externe partijen aansturen om vragen te beantwoorden en documenten op te sturen. Door de documenten in een specifiek veld te laten uploaden geeft ons dit de mogelijkheid om specifieke documenten te tonen aan relevante partijen binnen onze organisatie.

De vraag die bij mij opkomt is, ‘Hoe zit dat met mogelijk geïnfecteerde bestanden die daardoor mogelijkheden bieden aan hackers?’

Nu verwacht ik niet direct dat onze externe contacten dit zullen doen, het lijkt mij wel verstandig om hierover na te denken en te weten of er risico's zijn.

Groet,

Kees


2 reacties

Reputatie 4
Badge +5

Dit is een vooraankondiging die in de releasenotes van Zenya versie 6.3 is vermeld, zie ook Zenya 6.3.0 – On-Premise Update of Zenya 6.3.0 – SaaS Update

Vanaf Zenya versie 6.4 starten we met het enkel nog toestaan van bestandstypes in Zenya waarvan bekend is dat deze in oorsprong niet schadelijk zijn. We starten daarmee in Zenya FLOW met het bijlage veld. Deze aanpassing zorgt ervoor dat er geen potentieel malafide bestanden (van een niet meer toegestaan bestandstype) toegevoegd kunnen worden. Hierdoor wordt de kans verkleind dat er potentieel onveilige gegevens worden geüpload in Zenya FLOW via het formulier. In latere releases zullen we deze beperking ook op andere plekken in Zenya gaan doorvoeren.

We hebben gekeken welke bestandstypen het meest worden toegevoegd als bijlage en op basis daarvan een zogenaamde whitelist opgesteld van de bestandstypes die worden geaccepteerd. Het gaat om onderstaande lijst:

.docx, .xlsx, .pptx, .dotx, .vsdx, .odt, .pdf, .msg, .jpg, .png, .gif, .jpeg, .tif, .bmp, .emz, .txt, .wav, .mp3, .mp4, .avi, .xml, .csv, .rtf, .heic, .htm, .html, .zip.

Mocht jullie organisatie bepaalde door jullie veelgebruikte bestandtypes in bovenstaande lijst missen dan vragen we dit door te geven aan onze servicedesk met een toelichting waarom dit bestandtype voor jullie relevant is.

Het is vanaf 6.4 wel nog gewoon mogelijk om alle soorten bestanden toe te voegen door gebruik te maken van een .zip bestand, waarin het originele bestand wordt opgenomen, en door vervolgens het .zip bestand toe te voegen.

Als de externe partijen het document via een bijlage veld in een actieformulier plaatsen, dan valt dat onder deze aanstaande wijziging.

Badge +1

Beste Chaim,

 

dankjewel voor jouw antwoord. Ik heb dit besproken met onze ISO (information security officer).

Hij kwam met de vraag of deze documenten in jullie SAAS omgeving ook door een virusscanner wordt gecontroleerd. Hij heeft hier ervaring mee in andere SAAS omgevingen.

Daarnaast is hij geïnteresseerd waarom zip bestanden worden toegestaan.

 

Vriendelijke bedankt,

Kees 

Reageer


Algemene voorwaarden | Privacyverklaring