TSO-ASSISTENT onderschrijft het Convenant Digitale Onderwijsmiddelen en Privacy. Het voldoet aan het Certificeringsschema informatiebeveiliging en privacy ROSA en gaat op een aantal punten zelfs verder. TSO-ASSISTENT is geregistreerd bij de Autoriteit Persoonsgegevens als bedrijf dat persoonsgegevens verwerkt.
TSO-ASSISTENT schermt de gegevens van de gebruiker af door plaatsing van zowel het systeem als de data achter een firewall op een dedicated server. 'Dedicated' wil zeggen dat de server uitsluitend gebruikt wordt door TSO-ASSISTENT. De server heeft 2 harde schijven die een exacte kopie van elkaar zijn. Wanneer 1 van de 2 harde schijven uitvalt, zal het computersysteem doorwerken. Elk uur wordt bovendien een backup gemaakt.
Onze server is ondergebracht in het Amsterdam Science Park, een van de snelste en veiligste datacentra ter wereld. De Amsterdam Internet Exchange (het belangrijkste internetknooppunt van Nederland en het op een na grootste ter wereld) bevindt zich in hetzelfde datacentrum. Het draait op groene stroom.
Alle ingevoerde gegevens (dus niet alleen de wachtwoorden van de gebruikers) worden in het systeem versleuteld opgeslagen met een zeer hoge graad van encryptie. Mocht er, ondanks onze veiligheidsmaatregelen, sprake zijn van datalekkage dan kan men dus niets met de onttrokken of gevonden informatie omdat deze door versleuteling onleesbaar is.
Inloggen gebeurt via het inlogscherm over een beveiligde verbinding (DNSSEC, TLS en SSL), waardoor meeluisteren door derden —ook bij een mobiele verbinding— is uitgesloten. Dit is aangegeven door de groene of blauwe indicatie en/of het hangslotje in de adresbalk van de browser. Als het hangslotje wordt aangeklikt verschijnt een nadere specificatie. Test de beveiliging direct online.
De software van TSO-ASSISTENT is volledig in eigen huis ontwikkeld waardoor eventuele veiligheidshiaten van open source software worden vermeden. Bovendien kan de server geen email ontvangen. Dit voorkomt besmetting van data en systeem door virussen middels e-mailverkeer.
Alle inlogactiviteit en alle wijzigingen in het systeem worden vastgelegd in een log. Alle inlogactiviteit wordt intensief gemonitord door een deskundige en ervaren medewerker. Vreemde inlogactiviteit wordt snel gesignaleerd en de betreffende persoon buitengesloten.
Om te voorkomen dat niet geautoriseerde personen zich in het systeem als ouder kunnen registreren is de registratie nog eens extra afgeschermd met een aparte ouderregistratiecode. Deze code zal van tijd tot tijd door de school gewijzigd worden.