AS MUO IBP

Uit ROSA Wiki
Ga naar: navigatie, zoeken
Nonconformant.png ROSA Architectuurscan Momento Uitwisseling Oefenresultaten

IBP: Non-conformant

Hier ziet u een samenvatting van de architectuurscan van het onderwerp Momento Uitwisseling Oefenresultaten op het onderdeel . De scan is uitgevoerd op 11 juni 2019.

Bevindingen "IBP" (Momento Uitwisseling Oefenresultaten)

De specificatie van de Koppeling Uitwisseling Oefengegevens beschrijft onderdelen van de functionaliteit van een Methodemonitor die gegevens ontvangt op basis van de uitwisselspecificatie. Er wordt echter niet beschreven welke partij wat op welk moment en onder welke voorwaarden met bepaalde gegevens mag doen (zie ook Zeggenschappen), wat de BIV-classificatie van die gegevens is en/of wat de bijbehorende te hanteren beveiligingsmaatregelen zijn. Het Functioneel Ontwerp omschrijft - specifiek voor de Methodemonitor Momento - wel een drietal rollen die binnen Momento recht hebben om inhoud in te zien of te muteren, of om functioneel beheer uit te voeren (instellingen, foutrapportages). Inhoudelijke rechten en beheerrechten zijn daar van elkaar gescheiden.

Er wordt gebruik gemaakt van REST APIs. In de voorbeelduitwerking van services wordt gesproken over aanroep van URL’s met HTTP en niet HTTPS.

Relatie met ROSA

Non-conformant - Veiligheid van REST-aanroepen verdient aandacht. Het gebruik van HTTP in plaats van HTTPS past sowieso niet bij de te hanteren niveaus van integriteit en vertrouwelijkheid.

De specificatie omvat uitwisseling van oefenresultaten t.b.v. een generieke methodemonitor. Vanuit het ontwerpkader Duidelijke eisen en verwachtingen dient helder te zijn welke IBP-afspraken op basis van de beoogde functionaliteit gemaakt moeten worden (zie ook onderdeel Toepassingsgebied).

terug naar de ROSA Architectuurscan