Ons bedrijf voert een portaal-applicatie waarin de gebruiker SSO naar andere applicaties kan gaan. Sommige van deze diensten hebben nog verouderde beveiliging en zijn benaderbaar middels een HTTPS request waarin username en wachtwoord meegegeven worden. Dit heeft uiteraard tot gevolg dat de credentials van deze systemen (encrypted) in ons systeem staan.
Toen dit gebouwd was zag de wereld er heel anders uit, maar ondertussen is dit uiteraard niet meer wenselijk. Wij proberen de leveranciers van die applicaties te overtuigen een betere methode te gaan realiseren (zoals OAuth of SAML), maar dit gaat moeizaam, danwel niet.

Vandaag heb ik van echter iemand vernomen dat er wetgeving aan zit te komen die (onder andere zaken) deze specifieke casus (opslag van credentials van systeem A in systeem B) gaat verbieden. Wij willen uiteraard voldoen aan deze wetgeving en zien daarbij natuurlijk de mogelijkheid om hiermee de leveranciers te overtuigen toch maar een betere methode te gaan bouwen (natuurlijk ook omdat wij de oude methode dan uit moeten schakelen).

Ik kan echter niet vinden welke wet / welk wetsvoorstel het is dat hier (in bepaalde verwoordingen) grenzen aan stelt. Weet iemand waar ik naar kan verwijzen?