Verificatie: twee vormen van zekerheid


Softcrow biedt twee vormen van verificatie. Sleutelverificatie geeft directe zekerheid dat de encryptiesleutel van de begunstigde overeenkomt met het depot, een snelle controle die voorkomt dat een mismatch pas bij een noodsituatie aan het licht komt. Een verificatie-onderzoek gaat verder en bevestigt dat vanuit het depot een werkende versie van de software kan worden gemaakt.

De bruikbaarheid van een depot staat of valt met de kwaliteit van de aanlevering; een verificatie-onderzoek geeft zekerheid over wat er op dat moment in het depot zit. Daarom adviseren wij het periodiek te herhalen, zeker na grote updates van jouw software.


1. Sleutelverificatie

De begunstigde kan na de ontvangst van een nieuw depot kosteloos controleren of de encryptiesleutel die aan hem beschikbaar is gesteld overeenkomt met de checksum die bij het depot is opgeslagen. Dit geeft directe zekerheid dat de juiste sleutel beschikbaar is, zonder dat Softcrow toegang heeft tot de sleutel zelf. Een praktische eerste controle die volledig aansluit op het zero-knowledge principe.

Sleutelverificatie bevestigt dat jouw sleutel overeenkomt met de checksum die Softcrow bij het depot heeft ontvangen. De correctheid van die checksum is afhankelijk van de aanlevering door de leverancier. Softcrow ontvangt en slaat de checksum op zoals aangeleverd, zonder de mogelijkheid dit te verifiëren.


Hoe verloopt het proces?

  1. Activatie: nadat een nieuw depotbestand is geüpload komt de optie tot sleutelverificatie beschikbaar in het Dashboard van de begunstigde
  2. Verificatie: op basis van de door Softcrow aangeleverde tool verifieert de begunstigde de sleutel
  3. Rapporteren: de begunstigde rapporteert het resultaat in het Dashboard

Resultaat: geverifieerde sleutel

Het resultaat is een vroege bevestiging dat de begunstigde de juiste sleutel in handen heeft, ruim voordat die ooit nodig is. Komt er een mismatch aan het licht, dan kan die tijdig met de leverancier worden opgelost in plaats van pas tijdens een noodsituatie. Zo is de toegang tot het depot aantoonbaar geborgd vóór het moment waarop het erop aankomt.


2. Verificatie-onderzoek

Een verificatie-onderzoek gaat verder: daarbij bouwt de leverancier uit het depot een werkende omgeving op, onder toezicht van een onafhankelijke NOREA IT-auditor.

Verificatie-onderzoek is geen standaard onderdeel van een escrowovereenkomst: het is een optionele dienst die op verzoek van de begunstigde of de leverancier wordt uitgevoerd.

Bij een verificatie-onderzoek bouwt de leverancier, op basis van het depot en een vooraf aangeleverde stapsgewijze compilatiehandleiding, een werkende omgeving op. Een onafhankelijke NOREA IT-auditor houdt (virtueel) toezicht en beoordeelt of de bouw conform de aangeleverde beschrijving verloopt. Een begunstigde kan het aanvragen, maar een leverancier kan het ook zelf initiëren. De uitkomst is afhankelijk van de volledigheid en kwaliteit van de aanlevering door de leverancier. Softcrow coördineert het proces maar is geen partij in de beoordeling.


Hoe verloopt het proces?

  1. Aanvraag: de begunstigde of de leverancier vraagt verificatie-onderzoek aan via Softcrow
  2. Coördinatie: Softcrow schakelt een onafhankelijke NOREA IT-auditor in en stemt het proces af met leverancier en begunstigde
  3. Uitvoering: de leverancier bouwt op basis van het depot en de vooraf aangeleverde compilatiehandleiding een werkende omgeving op; de onafhankelijke NOREA IT-auditor houdt (virtueel) toezicht en beoordeelt of de bouw conform de aangeleverde beschrijving verloopt
  4. Uploaden: indien er wijzigingen hebben plaatsgevonden, wordt het geverifieerde depot geüpload naar Softcrow
  5. Rapportage: de auditor stelt een verificatierapport op en deelt daarmee alle bevindingen met de betrokken partijen
  6. Geverifieerde opslag: Softcrow markeert het depot officieel als geverifieerd; het depot wordt hierdoor apart gehouden en kan niet automatisch verwijderd worden

Wie voert het verificatie-onderzoek uit?

Verificatie-onderzoek wordt altijd uitgevoerd onder toezicht van een onafhankelijke externe IT-auditor. Dat is een bewuste keuze. Softcrow slaat het depot op maar heeft geen toegang tot de inhoud. Het verificatie-onderzoek toetst de aanlevering door de leverancier. Uit efficiëntieoogpunt, om reis- en verblijfskosten te besparen, worden onderzoeken doorgaans remote uitgevoerd.

De IT-auditors die Softcrow inschakelt zijn geregistreerd bij NOREA, de Nederlandse Orde van Register EDP-Auditors. Dat is een beschermde beroepstitel met eigen kwaliteitsnormen en tuchtrecht. Van toepassing is het Reglement Gedragscode Register IT-Auditors.

Softcrow coördineert het proces en fungeert als aanspreekpunt voor alle betrokken partijen.


Resultaat: geverifieerde opslag

Na afloop ontvangen leverancier en begunstigde een verificatierapport van de onafhankelijke NOREA IT-auditor. Dit rapport beschrijft de bevindingen en geeft aan of vanuit het depot een werkende applicatie kan worden gecompileerd.

Het rapport geeft de begunstigde een onderbouwd, onafhankelijk beeld van wat er op het moment van onderzoek uit het depot kon worden opgebouwd. Voor de leverancier is het een bevestiging dat de aanlevering aan de gestelde eisen voldoet.

Het depot krijgt daarmee de status geverifieerde opslag. Die status onderscheidt het van depots waarbij de bruikbaarheid niet is bevestigd: van een geverifieerd depot is vastgesteld dat vanuit de inhoud een werkende versie van de software kan worden gemaakt. Softcrow verwerkt deze status in het Dashboard. Dat is precies de zekerheid waar escrow voor is bedoeld.


Kosten

Sleutelverificatie is kosteloos. De kosten voor een verificatie-onderzoek zijn te vinden op onze tarievenpagina.

Bekijk de tarieven →