om een gepersonaliseerde navigatie te krijgen.
om een gepersonaliseerde navigatie te krijgen.
A: Dit zijn de opties:
A: SSO betekent dat je dezelfde gebruikersnaam, wachtwoord en 2-factor authenticatie gebruikt voor zowel Youforce als andere applicaties binnen jouw bedrijfsomgeving. Je logt in via het inlogproces van jouw organisatie. Vaak is dat Active Directory. SSO betekent ook dat je niet nog een keer moet inloggen om andere applicaites te gebruiken als je al bent ingelogd op een systeem. Als je vanaf een bedrijfssysteem Youforce start, kun je vaak zonder opnieuw in te inloggen met Youforce werken. Dit hangt echter af van de gebruikte technologie en de inrichting van jouw bedrijfprocessen.
A: Met 2-factor authenticatie bevestig je na het invullen van je gebruikersnaam en wachtwoord (iets wat je weet) je identiteit met bijvoorbeeld je telefoon (iets wat je hebt).
A: Visma | YouServe voegt verplicht 2-factor authenticatie toe voor extra beveiliging van Youforce. Wij voegen deze controle toe voor een optimale bescherming van de persoonsgegevens van jouw organisatie en zodat de je blijft voldoen aan de eisen van de Europese privacywet AVG.
Youforce zit namelijk vol met gevoelige persoonsgegevens als burgerservicenummers, verzuiminformatie, salarisinformatie, etc. De AVG verplicht tot het nemen van beveiligingsmaatregelen, ‘rekening houdend met de stand van de techniek’. Dit betekent vandaag de dag: inloggen mét een 2-factor authenticatie.
De toegangsbeveiliging is een gedeelde verantwoordelijkheid. Bij het inloggen via Youforce accounts ligt er een grote rol voor veilig inloggen bij Visma |YouServe . Zo vereist Visma | YouServe al jaren een 2-factor authenticatie voor HR Professionals in de vorm van een certificaat.
Tot voor kort was 2-factor authenticatie inloggen via Youforce Accounts voor medewerker en managers optioneel. Door toegenomen risico's en nieuwe beveiligingstechnieken wordt ook de toegang van medewerkers en managers via Youforce Accounts verplicht met 2-factor authenticatie beveiligd. Op deze manier blijft je ook als klant voldoen aan de AVG.
A: Als jullie geen 2-factor authenticatie willen gebruiken, moeten jullie overstappen naar Single Sign-On (SSO). SSO biedt een grotere vrijheid maar ook een grotere verantwoordelijkheid voor jullie als klant om jullie medewerkers veilig te laten inloggen. Jullie regelen zelf de gepaste inlogbeveiliging met zijn eigen 2-factor authenticatie-oplossing in jullie inlogsysteem. Jullie kunnen als klant zelf bepalen waar en wanneer de gebruiker met een 2-factor authenticatie moet inloggen. Zo kun je inlogsystemen inregelen dat medewerkers alleen buiten het bedrijfsnetwerk via een 2-factor authenticatie moeten inloggen.
We kunnen, indien gewenst, jullie zo laat mogelijk migreren. Dit geeft de mogelijkheid over te stappen als jullie IT infrastructuur SSO nog niet ondersteund. Zie 'Wij willen op een specifiek moment overstappen, kan dat?'
A: Visma | YouServe adviseert je om SSO te gebruiken voor toegang tot Youforce. Dit geeft de beste gebruikerservaring:
A: De verschillen:
Bij Youforce accounts regelt Visma | YouServe de toegangsbeveiliging inclusief de 2-factor authenticatie.
Bij Single Sign-On regelt de klant de inlogbeveiliging inclusief de 2-factor authenticatie:
A: Ja, je kunt binnen één omgeving zowel Youforce accounts als SSO toepassen. Ook kan een medewerker zowel via SSO als Youforce accounts inloggen.
A: Ja, op het inlogscherm heeft de gebruiker de optie om het wachtwoord te wijzigen.
A: Youforce ondersteunt:
Meer informatie over deze oplossing vind je onder het kopje 'PingID'.
A: Nee, dat kan niet. Visma | YouServe bepaalt welke 2-factor authenticatiemethoden worden ondersteund.
A: Ja, je kunt meerdere mobiele telefoons koppelen aan je account.
Ook kun je de verschillende methoden door elkaar gebruiken.
A: Nee, de oplossing werkt met meerdere methoden: een mobiele telefoon app, een desktop app of een fysieke sleutel.
A: Het Nationaal Cyber Security Center (NCSC) en het National Institute of Standards and Technology (NIST) adviseren internet aanbieders terughoudend te zijn met het publieke telefoonnetwerk (SMS en spraak) als authenticatiemiddel voor tweefactor authenticatie. NCSC geeft dit advies vanwege de waarschijnlijke ontwikkelingen van dreigingen. Zo is het relatief eenvoudig SMS berichten te ondervangen. Daarnaast is SMS is gevoelig voor phishing. Zie factsheet Gebruik tweefactorauthenticatie van het NCSC. Bij de introductie van het nieuwe inloggen houden daarom rekening met dit advies.
A: Bekijk deze korte video: https://www.youtube.com/watch?v=w7dh-YwsZUQ
A: Als een gebruiker zijn mobiele telefoon kwijt is, kan hij via een andere 2-factor authenticatie methode toch inloggen. Als hij geen andere methode heeft, kan hij op dit moment zijn 2-factor authenticatie herstellen via zijn beheerder.
A: Zolang de gebruiker zijn oude mobiele telefoon heeft, kan hij daarmee zijn nieuwe telefoon koppelen. Dit kan op de volgende manieren:
A: Via de app op de mobiele telefoon of met een fysieke sleutel. HR Professionals moeten echter vaker (max. 8 uur) hun 2-factor authenticatie bevestigen dan managers en medewerkers.
A: Als medewerkers inloggen via hetzelfde apparaat is dit één keer per 30 dagen.
A: Ja, in het User account management scherm, kan je het inloggen via een Youforce account tijdelijk blokkeren.
De gebruikersnaam, wachtwoord en de 2-factor authenticatie blijven bestaan. De beheerder moet de blokkering opheffen; de gebruiker kan in dit geval niet zelf deblokkeren.
A: Ja, dat kan een beheerder instellen. Alle nieuwe medewerkers krijgen bij onboarding automatisch een e-mail over hun account.
A: Nee, dat is op dit moment niet mogelijk. Het is nu dus een handmatige handeling om de Youforce accounts te blokkeren nadat de Youforce gebruiker is gekoppeld aan de gebruiker in het inlogsysteem van de klant.
A: PingID is de 2-factor authenticatie oplossing die wij voor Youforce accounts aanbieden om gebruikers te laten inloggen via hun mobiele telefoon, hun desktop applicatie of een fysieke sleutel. Dit systeem wordt aangeboden door Ping Identity, een leverancier van oplossingen op het gebied van inloggen. Meer informatie over deze oplossing kan je vinden op deze pagina: https://www.pingidentity.com/en/platform/multi-factor-authentication.html
Deze oplossing wordt niet gebruikt voor Single Sign-On.
A: PingID heeft enkele technische sleutels van de gebruiker. Daarnaast verwerkt PingID het e-mailadres van de gebruiker, als hij daarvoor kiest bij het aanmaken van zijn account. Alle andere gegevens voor Youforce accounts worden opgeslagen in de data centers van Visma | YouServe.
A: Dit persoonsgegeven wordt opgeslagen in Europa. Dit is conform de AVG.
A: Ja, Visma | YouServe heeft een formele overeenkomst.
A: Visma | YouServe baseert zijn inlogbeleid op de NIST 800-63. Dit is een standaard in toegangsbeveiliging die beschrijft:
Visma | YouServe heeft gekozen voor de NIST 800-63 als uitgangspunt voor toegangsbeveiliging van Youforce omdat dit een gevalideerd en samenhangend pakket is van concrete beheersmaatregelen, en staat bekend als een industrie standaard en wordt onderschreven door Nederlandse overheid.
Daarnaast is Youforce, net als de inlogprocedure, onderdeel van regelmatige audit door externe partijen. Lees meer...
A: De Nederlandse overheid schrijft geen concrete beveilgingsmaatregelen voor maar adviseert om op basis van een gedegen risico afweging passende beveiligingsmaatregelen te treffen. Deze adviezen zijn door de Nederlandse overheid nader uitgewerkt in gepubliceerde richtlijnen en handreikingen. In dergelijke richtlijnen wordt veelvuldig verwezen naar bestaande richtlijnen, waaronder de NIST 800-63. Zie bijvoorbeeld de factsheet Gebruik tweefactorauthenticatie van het NCSC.
Het is mogelijk dat NIST 800-63 niet overeenstemming is met het toegangsbeveiliging beleid van jouw organisatie. We gaan graag in gesprek met je als je het idee hebt dat de nieuwe oplossing minder veilig is. Neem in dat geval contact op met je account manager.
Daarnaast heb je via Single Sign-On wél de volledige controle én verantwoordelijkheid over de toegangsbeveiliging. We adviseren dan ook SSO toe te passen.
Q: Hoe vaak moet een gebruiker zijn wachtwoord wijzigen?
A: Nooit, tenzij we ontdekken dat het wachtwoord is uitgelekt.
De NIST 800-63b beschrijft in artikel 5.1.1.2 dat het veiliger is om wachtwoorden niet te laten verlopen. Bij het verlopen van wachtwoorden hebben mensen namelijk de neiging om simpele wachtwoorden te kiezen.
A: Als de gebruiker inlogt via een nieuw apparaat moet hij altijd een 2-factor authenticatie gebruiken. Maar wanneer hij hetzelfde apparaat gebruikt, hoeft hij dat maar eenmaal per 30 dagen te doen. Dit maakt de applicatie toegankelijker.
Dit is vergelijkbaar met het proces op je mobiele telefoon om een app van de bank in gebruik te nemen. De eerste keer koppel je hem bijvoorbeeld via je bankpas aan je mobiel, daarna zijn de gegevens te benaderen met slechts een 1-factor authenticatie, bijvoorbeeld een toegangscode.
Dit is in lijn met de NIST 800-63b. Deze beschrijft dat een gebruiker zich elke 12 uur moet authenticeren en dat bij een dergelijke 'her-authenticatie' een 1-factor authenticatie voldoende is. Qua beleid gaat Visma | YouServe hier dus net iets verder dan wat NIST 800-63b voorschrijft.
Voor HR professionals geldt dat ze wel elke dag een 2-factor authenticatie moeten gebruiken.
A: Nee, dat is niet mogelijk. Voor Youforce bepaalt Visma | YouServe de beveiligingsregels. Dit is een samenhangend pakket van maatregelen op basis van de NIST 800-63.
Over Single Sign-On heb je wél de volledige controle.
A: Ja, dat is mogelijk. Zolang ze op de gedeelde computer met verschillende user accounts werken (bijvoorbeeld als users piet@bedrijf.nl & arie@bedrijf.nl). Let op: dit zijn de user accounts van het besturingssysteem.
Het gebruik van een gedeeld user account (bijvoorbeeld de user: receptie@bedrijf.nl) leidt vrijwel altijd tot het lekken van gegevens. De kans is namelijk groot dat de medewerkers elkaars HR informatie zien.
Let op: Het gebruik van gedeelde computers en de inrichting daarvan is de verantwoordelijkheid van de klant.
A: Nee, dit is bij Youforce accounts niet mogelijk. Het is vaak wél mogelijk via Single Sign-On. Dit is echter afhankelijk van de mogelijkheden van uw identity systeem (zoals active directory).
Copyright 2022 Visma Community. All right reserved.