Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) heeft een lijst met negentien beveiligingseisen voor mobiele applicaties opgesteld. Deze eisen zijn gericht op de applicatielaag van het systeem en helpen opdrachtgevers en leveranciers om veilige mobiele applicatiesoftware voor smartphones en tablets te ontwikkelen. De lijst is in samenwerking met meerdere kennispartners opgezet.
De interactie tussen de overheid en burgers digitaliseert. Dit zorgt voor een toenemend gebruik van mobiele platformen. CIP: ‘Er zijn hoge risico’s verbonden aan het gebruik van mobiele apps. Zeker gezien het feit dat er vaak vertrouwelijke of privacygevoelige informatie wordt verwerkt door deze apps. Deze risico’s zijn dan ook vele malen groter dan de risico’s met applicaties op een beschermde server.’ De beveiliging van mobiele applicaties laat daarentegen veel te wensen over.
CIP heeft daarom in samenwerking met kennispartners negentien beveiligingseisen ontwikkeld. Hierbij is gekeken naar de verantwoordelijkheden van verschillende betrokken partijen, zoals de opdrachtgever van de app, de interne of externe softwareleverancier, de gebruiker en de plek van waaruit de applicatie kan worden gedownload.
Deze beveiligingseisen geven opdrachtgevers en leveranciers houvast bij de ontwikkeling van een goed beveiligde mobiele app. Ze gaan over de applicatielaag van een systeem. Denk hierbij aan de beveiliging van de server-side applicatie, het up-to-date houden van apps, de integere werking van de app, de opslag van data op het mobiele apparaat, de informatie die in het cache-geheugen wordt opgeslagen en logging. CIP heeft geen beveiligingseisen opgesteld voor de infrastructuur, de werkplek of de medewerkers, omdat hier al frameworks voor bestaan, zoals ISO 27002.