Beveiliging

    Hoe wij uw gegevens en ons platform beschermen

    Onze toewijding

    Beveiliging vormt de kern van alles wat wij bouwen. Anzen is een platform gebouwd voor beveiligingsteams - en wij houden onszelf aan dezelfde standaarden die wij onze klanten helpen bereiken. Wij werken volgens een ISO 27001-afgestemd informatiebeveiligingsmanagementsysteem en verbeteren continu onze beveiligingspositie.

    Infrastructuurbeveiliging

    • Uitsluitend EU, zelfbeheerde infrastructuur - alle systemen draaien op infrastructuur die eigendom is van en wordt beheerd door SCRTY B.V. in Europese datacenters. Geen afhankelijkheid van Amerikaanse hyperscalers.
    • CIS-geharde systemen - elke server wordt bij uitrol gehard volgens CIS Benchmarks, waarbij geautomatiseerde compliance-controles afwijkingen direct zichtbaar maken.
    • Versleuteling tijdens transport - al het verkeer wordt versleuteld met TLS 1.2+ tussen clients en onze diensten, en tussen interne componenten.
    • Versleuteling in rust - infrastructuurgeheimen en geüploade klantbestanden worden in rust versleuteld met AES-256. Bestandsuploads gebruiken envelope-encryptie: elke workspace heeft een unieke Data Encryption Key (DEK) die bestanden met AES-256-GCM versleutelt, en de master Key Encryption Key (KEK) bevindt zich op geïsoleerde key-management-infrastructuur en verlaat deze nooit.
    • Netwerksegmentatie - productiesystemen zijn geïsoleerd van ontwikkel- en beheernetwerken met strikte firewallregels.
    • SIEM-monitoring - alle infrastructuur- en applicatielogs worden geaggregeerd in een centraal SIEM voor realtime dreigingsdetectie, alertering en incidentrespons.

    Applicatiebeveiliging

    • Tenantisolatie - elke klantworkspace is volledig geïsoleerd met een eigen datagrens. Datalekken tussen tenants is niet mogelijk.
    • Rolgebaseerde toegangscontrole - fijnmazige RBAC met entiteitgebonden machtigingen en hiërarchie-overerving.
    • Volledige audittrail - elke aanmaak-, wijzigings- en verwijderactie wordt gelogd met voor/na-waarden, gebruikersidentiteit en tijdstempel.
    • Invoervalidatie - alle API-invoer wordt gevalideerd met strikte schema’s. SQL-injectie, XSS en andere OWASP Top 10-risico’s worden door ontwerp gemitigeerd.

    Kwetsbaarheids- & patchbeheer

    Beveiliging houdt niet op bij de initiële build. Wij voeren continu kwetsbaarheids- en patchbeheer uit door de hele stack - van de externe bibliotheken waarvan wij afhankelijk zijn tot en met de onderliggende besturingssystemen.

    • SAST in CI/CD - static application security testing draait op elke build, zodat kwetsbaarheden worden onderschept voordat code de productieomgeving bereikt.
    • SBOM-gebaseerde afhankelijkheidsbewaking - voor elke build wordt een software bill of materials gegenereerd en continu vergeleken met CVE-feeds, zodat wij direct gealerteerd worden zodra een nieuwe kwetsbaarheid een door ons gebruikte library raakt.
    • Geautomatiseerde afhankelijkheidsupdates - non-breaking upgrades worden automatisch als pull requests geopend; elke update wordt gereviewd en in CI getest voordat deze wordt samengevoegd en uitgerold.
    • CI-afhandeling op ernst - builds falen wanneer er een kwetsbaarheid met hoge ernst wordt geïntroduceerd, zodat kwetsbare code de productieomgeving in eerste instantie niet bereikt.
    • OS-patchritme - besturingssysteempakketten op alle servers worden op een regelmatige cadans gepatcht, waarbij kritieke kwetsbaarheden binnen 24 uur worden aangepakt.
    • CIS-geharde OS-baseline - elke server wordt uitgerold tegen de CIS Benchmarks voor het betreffende OS, en geautomatiseerde compliance-controles rapporteren elke afwijking van die baseline.

    Toegangscontrole & authenticatie

    • SSO/OIDC-ondersteuning - klanten kunnen integreren met hun identiteitsprovider (Keycloak, Okta, Azure AD, etc.) voor single sign-on.
    • Interne toegang - alle SCRTY-medewerkers gebruiken SSO met verplichte multifactorauthenticatie (MFA) voor toegang tot productiesystemen.
    • Principe van minimale rechten - toegang tot productie-infrastructuur is beperkt tot een minimale groep engineers en wordt gelogd en gereviewd.
    • Geen permanente toegang - klantgegevens worden niet benaderd door SCRTY-personeel, tenzij expliciet gevraagd voor ondersteuning, en alle toegang wordt gelogd.

    Standaarden & frameworks

    Ons beveiligingsprogramma is afgestemd op de volgende frameworks:

    • ISO 27001 - afstemming op het informatiebeveiligingsmanagementsysteem.
    • CIS Benchmarks - baseline voor infrastructuurharding.
    • OWASP Top 10 - mitigatie van applicatiebeveiligingsrisico’s.
    • GDPR - gegevensbescherming en privacy by design.
    • NIS2 - netwerk- en informatiebeveiliging (EU-richtlijn 2022/2555).

    Responsible Disclosure

    Wij waarderen het werk van beveiligingsonderzoekers en verwelkomen verantwoorde melding van kwetsbaarheden in Anzen of onze infrastructuur. Als u een beveiligingsprobleem heeft ontdekt, meld dit dan aan ons zodat wij het snel kunnen verhelpen.

    Hoe te melden:

    • E-mail uw bevindingen naar security@scrty.nl.
    • Voeg een duidelijke beschrijving van de kwetsbaarheid en stappen om te reproduceren toe.
    • Voeg indien mogelijk een proof of concept bij.

    Onze toezegging:

    • Wij bevestigen uw melding binnen 2 werkdagen.
    • Wij houden u op de hoogte van onze voortgang en de verwachte oplossingsduur.
    • Wij ondernemen geen juridische stappen tegen onderzoekers die te goeder trouw handelen en dit beleid volgen.
    • Wij vermelden u (indien gewenst) wanneer het probleem is opgelost.

    Wij vragen u om:

    • Geen toegang te verkrijgen tot gegevens van andere gebruikers of tenants, deze niet te wijzigen of te verwijderen.
    • Geen denial-of-service-aanvallen uit te voeren of de platformbeschikbaarheid te verminderen.
    • De kwetsbaarheid niet openbaar te maken voordat wij redelijke tijd hebben gehad om deze te verhelpen.
    • Te goeder trouw te handelen en privacyschendingen te vermijden.

    Wij hebben momenteel geen bug bounty-programma. Wij waarderen elke melding en zullen uw bijdrage erkennen, maar er zijn op dit moment geen financiele beloningen gegarandeerd.

    Contact

    Voor beveiligingsgerelateerde vragen of om een kwetsbaarheid te melden, neem contact met ons op via security@scrty.nl.