ClientFlow
Beveiliging eerst

Professionele beveiliging

De veiligheid van uw gegevens heeft voor ons de hoogste prioriteit. We implementeren beveiligingsmaatregelen volgens industriestandaarden om uw bedrijf en de gegevens van uw klanten te beschermen. Alle gegevens worden gehost in Duitsland, binnen de Europese Unie, op Hetzner-infrastructuur.

Active
Monitoring
<72u
Inbreukmelding
TLS 1.3
Transportversleuteling
AVG
Naleving

Gegevensbescherming

Versleuteling in rust

Versleuteld

Databasevolumes worden in rust versleuteld op infrastructuurniveau. Gevoelige inloggegevens en betalingstokens worden bovendien op applicatieniveau versleuteld vóór opslag.

Versleuteling tijdens transport

TLS 1.3

Alle gegevens die tussen uw browser en onze servers worden verzonden, worden versleuteld met TLS 1.3 en moderne cipher suites.

OAuth 2.0-authenticatie

OAuth 2.0

We gebruiken OAuth 2.0 volgens industriestandaard met Google, Facebook en Apple voor veilige authenticatie. Er worden geen wachtwoorden opgeslagen.

JWT-tokenbeveiliging

Roterend

Toegangstokens verlopen na 1 uur. Refresh-tokens worden bij elk gebruik geroteerd en kunnen direct worden ingetrokken.

Infrastructuurbeveiliging

ISO 27001 (DC)

Gehost bij Hetzner in Duitsland. De datacenters van Hetzner zijn ISO 27001-gecertificeerd en bieden fysieke beveiliging op enterpriseniveau en DDoS-mitigatie aan de rand van het netwerk.

Database-back-ups

Back-ups

Er worden PostgreSQL-back-ups gemaakt vóór elke productie-uitrol en migratie. De back-ups worden opgeslagen op beschermde volumes en bewaard om snel te kunnen terugrollen.

Beveiligingspraktijken

Foutmonitoring

Applicatiefouten en mislukte authenticatiepogingen worden via Sentry gelogd en gemonitord om anomalieën vroegtijdig te detecteren.

Regelmatige updates

Afhankelijkheden en systemen worden regelmatig bijgewerkt om beveiligingsproblemen aan te pakken en best practices te handhaven.

Toegangscontroles

Isolatie van gegevens per gebruiker en op rollen gebaseerde toegangscontrole (RBAC) zorgen ervoor dat teamleden alleen toegang hebben tot de gegevens die nodig zijn voor hun rol.

Interne codereview

Codewijzigingen doorlopen vóór de release een interne beveiligingsreview met geautomatiseerde tools (Bandit, afhankelijkheidsscans).

Naleving & certificeringen

GDPR-conform

  • Gegevensverwerkingsovereenkomsten
  • Recht op toegang & verwijdering
  • Gegevensportabiliteit
  • Inbreukmelding

PCI DSS

  • Veilige betalingsverwerking via iyzico
  • Geen kaartgegevens opgeslagen
  • Getokeniseerde transacties
  • Fraudebescherming

Incidentrespons

Onze toewijding

In het onwaarschijnlijke geval van een beveiligingsincident dat uw gegevens beïnvloedt, verplichten we ons tot:

  • Getroffen gebruikers binnen 72 uur na ontdekking op de hoogte stellen
  • Duidelijke informatie verstrekken over welke gegevens zijn getroffen
  • Onmiddellijke stappen ondernemen om het incident in te dammen en te herstellen
  • Grondige post-incident reviews uitvoeren

Een kwetsbaarheid melden

We waarderen verantwoorde openbaarmaking. Als u een beveiligingskwetsbaarheid ontdekt, meld deze dan aan ons via contact@clientflow.center

We bevestigen de ontvangst binnen 24 uur en werken met u samen om het probleem te begrijpen en snel aan te pakken.

Gerelateerde documenten

PrivacybeleidGegevensverwerkingsovereenkomstAlgemene voorwaarden