Architectuurscan OO API IBP: verschil tussen versies

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen
Geen bewerkingssamenvatting
Geen bewerkingssamenvatting
Regel 3: Regel 3:
|Elementtype=Architectuurscanonderdeel
|Elementtype=Architectuurscanonderdeel
|ROSA onderdeel=IBP
|ROSA onderdeel=IBP
|Scanbevindingen='''Ontwerpkaders'''
|Scanbevindingen='''Voorkom onrechtmatige toegang of verspreiding'''  
 
'''Voorkom onrechtmatige toegang of verspreiding'''
 
Uit de website blijkt dat de OO API onderstaande data beschikbaarheidsniveaus kent:
Uit de website blijkt dat de OO API onderstaande data beschikbaarheidsniveaus kent:
“Data wat beschikbaar is voor iedereen, zoals nieuwsberichten of een overzicht van de verschillende studies.”
“Data wat beschikbaar is voor iedereen, zoals nieuwsberichten of een overzicht van de verschillende studies.”
Regel 14: Regel 11:
In de website van de OO API staat dat de OO API de OAuth 2.0 protocol ondersteunt. De specificatie zelf geeft niet aan hoe OAuth 2.0 precies gebruikt/geïmplementeerd moet worden. Er is een PoC waarin informatie hierover is opgenomen.
In de website van de OO API staat dat de OO API de OAuth 2.0 protocol ondersteunt. De specificatie zelf geeft niet aan hoe OAuth 2.0 precies gebruikt/geïmplementeerd moet worden. Er is een PoC waarin informatie hierover is opgenomen.


'''Transparantie over maatregelen'''
'''Transparantie over maatregelen'''  
 
In het HO is gekozen voor het vastleggen van afspraken ten aanzien van privacy en security middels het  SURF juridisch normenkader.
In het HO is gekozen voor het vastleggen van afspraken ten aanzien van privacy en security middels het  SURF juridisch normenkader.


'''De juiste gegevens op het juiste moment op de juiste plaats'''
'''De juiste gegevens op het juiste moment op de juiste plaats'''  
 
De OO API geeft een goede invulling hieraan Maakt het mogelijk om gegevens op een laagdrempelige manier op te vragen bij de bronnen. Welke gegevens de ‘juiste’ zijn, kan worden aangegeven via filters (zie hierover de opmerkingen bij Voorkom onrechtmatige toegang of verspreiding)
De OO API geeft een goede invulling hieraan Maakt het mogelijk om gegevens op een laagdrempelige manier op te vragen bij de bronnen. Welke gegevens de ‘juiste’ zijn, kan worden aangegeven via filters (zie hierover de opmerkingen bij Voorkom onrechtmatige toegang of verspreiding)


'''Handelingen zijn herleidbaar'''
'''Handelingen zijn herleidbaar'''  
 
Over de traceerbaarheid van opvragingen via de OO API zijn geen besluiten of richtlijnen vastgelegd
Over de traceerbaarheid van opvragingen via de OO API zijn geen besluiten of richtlijnen vastgelegd


'''Voorkom ongewenste traceerbaarheid en vindbaarheid'''
'''Voorkom ongewenste traceerbaarheid en vindbaarheid'''  
 
Over het gebruik van persoonsgegevens (zoals geslacht, tel.nummer, foto,..) zijn geen besluiten of richtlijnen vastgelegd
Over het gebruik van persoonsgegevens (zoals geslacht, tel.nummer, foto,..) zijn geen besluiten of richtlijnen vastgelegd
|Relatie met ROSA=Onbepaald
|Relatie met ROSA=Onbepaald
|Toelichting relatie met ROSA=Verdere ontwerp- en implementatiekeuzes bepalen de mate waarin toegang tot vertrouwelijke gegevens afdoende kan worden beperkt
|Toelichting relatie met ROSA=Verdere ontwerp- en implementatiekeuzes bepalen de mate waarin toegang tot vertrouwelijke gegevens afdoende kan worden beperkt
}}
}}

Versie van 6 apr 2018 13:49


Onbepaald.png ROSA Architectuurscan OO API

IBP: Onbepaald

Hier ziet u een samenvatting van de architectuurscan van het onderwerp OO API op het onderdeel . De scan is uitgevoerd op 18 januari 2018.

Bevindingen "IBP" (OO API)[bewerken]

Voorkom onrechtmatige toegang of verspreiding - Uit de website blijkt dat de OO API onderstaande data beschikbaarheidsniveaus kent:

  1. “Data wat beschikbaar is voor iedereen, zoals nieuwsberichten of een overzicht van de verschillende studies.”
  2. “Data wat voor een bepaalde doelgroep beschikbaar is, zoals rooster data wat alleen beschikbaar is voor studenten van een bepaalde instelling of van een bepaalde studierichting. Voordat deze data kan worden vrijgegeven dient het systeem (veelal de API manager) de identiteit van de gebruiker te achterhalen om te kunnen bepalen ‘Is dit een student van deze instelling of van deze studierichting?’. De gebruiker zal deze gegevens middels een inlog moeten vrijgeven.”
  3. “Data wat bedoeld is voor een bepaalde gebruiker. Denk hier bijvoorbeeld aan tentamen/examen cijfers. Voordat deze data kan worden vrijgegeven dient het systeem de identiteit van de gebruiker te achterhalen. De gebruiker zal hiervoor moeten inloggen”

Zie: https://openonderwijsapi.nl/community/faq/

In de website van de OO API staat dat de OO API de OAuth 2.0 protocol ondersteunt. De specificatie zelf geeft niet aan hoe OAuth 2.0 precies gebruikt/geïmplementeerd moet worden. Er is een PoC waarin informatie hierover is opgenomen.

Transparantie over maatregelen - In het HO is gekozen voor het vastleggen van afspraken ten aanzien van privacy en security middels het SURF juridisch normenkader.

De juiste gegevens op het juiste moment op de juiste plaats - De OO API geeft een goede invulling hieraan Maakt het mogelijk om gegevens op een laagdrempelige manier op te vragen bij de bronnen. Welke gegevens de ‘juiste’ zijn, kan worden aangegeven via filters (zie hierover de opmerkingen bij Voorkom onrechtmatige toegang of verspreiding)

Handelingen zijn herleidbaar - Over de traceerbaarheid van opvragingen via de OO API zijn geen besluiten of richtlijnen vastgelegd

Voorkom ongewenste traceerbaarheid en vindbaarheid - Over het gebruik van persoonsgegevens (zoals geslacht, tel.nummer, foto,..) zijn geen besluiten of richtlijnen vastgelegd

Relatie met ROSA[bewerken]

Onbepaald - Verdere ontwerp- en implementatiekeuzes bepalen de mate waarin toegang tot vertrouwelijke gegevens afdoende kan worden beperkt

terug naar de ROSA Architectuurscan