Hoe wij over beveiliging denken
Wij beschouwen beveiliging als een basiseigenschap van het product, niet als een extra functie. Dat betekent: veilige standaardinstellingen, minimale configuraties, afhankelijkheden die actueel worden gehouden en toegang die verleend wordt op basis van noodzaak in plaats van gemak. Dezelfde ingenieurs die functies uitbrengen, behandelen ook de beveiligingsimplicaties van die functies.
Deze pagina vat samen wat wij doen — de certificeringen die wij bezitten, waar gegevens zich bevinden, hoe betalingen worden beschermd en hoe u een kwetsbaarheid kunt melden als u er een vindt.
Certificeringen en naleving
Wij zijn gebonden aan en controleren ons aan de volgende kaders:
- GDPR — volledige naleving van de EU Algemene Verordening Gegevensbescherming, inclusief een gepubliceerd privacybeleid, een gedocumenteerd register van verwerkingsactiviteiten en een aangewezen contactpersoon voor gegevensbescherming.
- PCI DSS — gegevens van betaalkaarten worden uitsluitend afgehandeld door Stripe, dat PCI Level 1 gecertificeerd is. Wij zien, slaan nooit op en verzenden geen ruwe kaartnummers.
- ISO 27001 — onze hosting- en platformleveranciers zijn gecertificeerd; ons interne beheerssysteem voor informatiebeveiliging weerspiegelt dezelfde controles.
- SOC 2 Type II — jaarlijks afgerond voor het klantgerichte platform.
Kopieën van certificaten zijn op aanvraag beschikbaar via de contactpagina.
Encryptie bij overdracht en in rust
Al het verkeer van en naar de site gebruikt TLS 1.3; oudere protocollen zijn uitgeschakeld op het niveau van de load balancer. HSTS wordt afgedwongen met een preload-venster, zodat browsers weigeren verbinding te maken via platte tekst HTTP na het eerste bezoek.
Gegevens in rust in onze database en objectopslag zijn versleuteld met AES-256. Encryptiesleutels worden beheerd door de KMS van de cloudprovider; geen enkele ingenieur bezit een langlevende sleutel in platte tekst.
Toegangscontroles
Toegang tot de productieomgeving is beperkt tot een klein aantal benoemde ingenieurs. Authenticatie verloopt via SSO met verplichte MFA — doorgaans een hardware beveiligingssleutel. Er zijn geen gedeelde accounts en geen statische wachtwoorden voor service-accounts; elke langlevende credential wordt automatisch geroteerd.
Elke actie op productiegegevens wordt gelogd met de actor, de tijd en het betreffende record. Logboeken zijn onveranderlijk en worden 12 maanden bewaard.
Betaalbeveiliging
Alle betalingen verlopen via Stripe (en, voor Poolse kopers, Przelewy24). Beide zijn PCI-DSS gecertificeerde betalingsverwerkers. Het kaartformulier wordt binnen hun sandbox weergegeven, zodat kaartgegevens nooit onze servers raken; wij ontvangen alleen een getokeniseerde referentie.
Wij schakelen 3-D Secure 2 standaard in en vertrouwen op de risico-engine van Stripe plus onze eigen velocity rules om frauduleuze pogingen te markeren. Terugbetalingen worden via de oorspronkelijke methode teruggestuurd zonder handmatige verwerking van kaartgegevens.
Uw gegevens
Wij verzamelen het minimum dat vereist is om een bestelling te leveren: naam, factuuradres, e-mail, betaalreferentie. Wij verkopen persoonlijke gegevens nooit aan anderen. Wij integreren geen advertentie-trackers van derden.
Onder de GDPR heeft u het recht om uw gegevens in te zien, te corrigeren, te exporteren of te verwijderen. Het privacybeleid legt uit hoe u deze rechten kunt uitoefenen en hoe lang elke categorie gegevens wordt bewaard.
Verantwoorde bekendmaking
Als u denkt dat u een beveiligingsprobleem heeft gevonden, stuur ons dan een bericht via de contactpagina en wij zullen binnen één werkdag reageren. Vertel ons wat het probleem is, waar het zich bevindt en hoe het te reproduceren. Wij hebben op dit moment geen betaald bug-bounty programma, maar wij noemen melders die verantwoordelijke bekendmaking volgen op onze openbare pagina met beveiligingserkenningen.
Wij vragen u niet te testen op accounts van andere gebruikers, geen geautomatiseerde scanners op de productieomgeving uit te voeren en een probleem niet openbaar te maken voordat wij de kans hebben gehad om het te verhelpen.