Beveiliging

    Hoe wij uw gegevens en ons platform beschermen

    Onze toewijding

    Beveiliging vormt de kern van alles wat wij bouwen. Anzen is een platform gebouwd voor beveiligingsteams - en wij houden onszelf aan dezelfde standaarden die wij onze klanten helpen bereiken. Wij werken volgens een ISO 27001-afgestemd informatiebeveiligingsmanagementsysteem en verbeteren continu onze beveiligingspositie.

    Infrastructuurbeveiliging

    • Uitsluitend EU, zelfbeheerde infrastructuur - alle systemen draaien op infrastructuur die eigendom is van en wordt beheerd door SCRTY B.V. in Europese datacenters. Geen afhankelijkheid van Amerikaanse hyperscalers.
    • CIS-geharde systemen - elke server wordt bij uitrol gehard volgens CIS Benchmarks, waarbij geautomatiseerde compliance-controles afwijkingen direct zichtbaar maken.
    • Versleuteling tijdens transport - al het verkeer wordt versleuteld met TLS 1.2+ tussen clients en onze diensten, en tussen interne componenten.
    • Versleuteling in rust - infrastructuurgeheimen en geüploade klantbestanden worden in rust versleuteld met AES-256. Bestandsuploads gebruiken envelope-encryptie: elke workspace heeft een unieke Data Encryption Key (DEK) die bestanden met AES-256-GCM versleutelt, en de master Key Encryption Key (KEK) bevindt zich op geïsoleerde key-management-infrastructuur en verlaat deze nooit.
    • Netwerksegmentatie - productiesystemen zijn geïsoleerd van ontwikkel- en beheernetwerken met strikte firewallregels.
    • SIEM-monitoring - alle infrastructuur- en applicatielogs worden geaggregeerd in een centraal SIEM voor realtime dreigingsdetectie, alertering en incidentrespons.

    Applicatiebeveiliging

    • Tenantisolatie - elke klantworkspace is volledig geïsoleerd met een eigen datagrens. Datalekken tussen tenants is niet mogelijk.
    • Rolgebaseerde toegangscontrole - fijnmazige RBAC met entiteitgebonden machtigingen en hiërarchie-overerving.
    • Volledige audittrail - elke aanmaak-, wijzigings- en verwijderactie wordt gelogd met voor/na-waarden, gebruikersidentiteit en tijdstempel.
    • Invoervalidatie - alle API-invoer wordt gevalideerd met strikte schema’s. SQL-injectie, XSS en andere OWASP Top 10-risico’s worden door ontwerp gemitigeerd.

    Kwetsbaarheids- & patchbeheer

    Beveiliging houdt niet op bij de initiële build. Wij voeren continu kwetsbaarheids- en patchbeheer uit door de hele stack - van de externe bibliotheken waarvan wij afhankelijk zijn tot en met de onderliggende besturingssystemen.

    • SAST in CI/CD - static application security testing draait op elke build, zodat kwetsbaarheden worden onderschept voordat code de productieomgeving bereikt.
    • SBOM-gebaseerde afhankelijkheidsbewaking - voor elke build wordt een software bill of materials gegenereerd en continu vergeleken met CVE-feeds, zodat wij direct gealerteerd worden zodra een nieuwe kwetsbaarheid een door ons gebruikte library raakt.
    • Geautomatiseerde afhankelijkheidsupdates - non-breaking upgrades worden automatisch als pull requests geopend; elke update wordt gereviewd en in CI getest voordat deze wordt samengevoegd en uitgerold.
    • CI-afhandeling op ernst - builds falen wanneer er een kwetsbaarheid met hoge ernst wordt geïntroduceerd, zodat kwetsbare code de productieomgeving in eerste instantie niet bereikt.
    • OS-patchritme - besturingssysteempakketten op alle servers worden op een regelmatige cadans gepatcht, waarbij kritieke kwetsbaarheden binnen 24 uur worden aangepakt.
    • CIS-geharde OS-baseline - elke server wordt uitgerold tegen de CIS Benchmarks voor het betreffende OS, en geautomatiseerde compliance-controles rapporteren elke afwijking van die baseline.

    Toegangscontrole & authenticatie

    • SSO/OIDC-ondersteuning - klanten kunnen integreren met hun identiteitsprovider (Keycloak, Okta, Azure AD, etc.) voor single sign-on.
    • Interne toegang - alle SCRTY-medewerkers gebruiken SSO met verplichte multifactorauthenticatie (MFA) voor toegang tot productiesystemen.
    • Principe van minimale rechten - toegang tot productie-infrastructuur is beperkt tot een minimale groep engineers en wordt gelogd en gereviewd.
    • Geen permanente toegang - klantgegevens worden niet benaderd door SCRTY-personeel, tenzij expliciet gevraagd voor ondersteuning, en alle toegang wordt gelogd.

    Standaarden & frameworks

    Ons beveiligingsprogramma is afgestemd op de volgende frameworks:

    • ISO 27001 - afstemming op het informatiebeveiligingsmanagementsysteem.
    • CIS Benchmarks - baseline voor infrastructuurharding.
    • OWASP Top 10 - mitigatie van applicatiebeveiligingsrisico’s.
    • GDPR - gegevensbescherming en privacy by design.
    • NIS2 - netwerk- en informatiebeveiliging (EU-richtlijn 2022/2555).

    Opschorting en beëindiging van workspaces

    Naast de reguliere opzegging die in onze Algemene Voorwaarden is geregeld, behoudt SCRTY B.V. zich het recht voor om in te grijpen wanneer een workspace betrokken is bij illegale activiteiten of gedrag dat de integriteit van het platform of andere klanten in gevaar brengt. Deze sectie beschrijft welke maatregelen wij kunnen treffen; de volledige juridische tekst staat in de Algemene Voorwaarden en het Privacybeleid.

    Aanleidingen:

    • Wetsovertredingen - gebruik van het platform dat in strijd is met toepasselijk EU- of Nederlands recht, sanctieregimes of de wetgeving van een jurisdictie waarin de workspace actief is.
    • Verdachte activiteit - patronen die wijzen op fraude, misbruik, credential stuffing, ongeautoriseerde toegang tot gegevens, of pogingen om het platform tegen andere klanten of derden in te zetten.
    • Wezenlijke schending van de Algemene Voorwaarden - waaronder wanbetaling, onjuiste opgaven bij aanmelding of herhaalde overtredingen van het acceptable-use-beleid.

    Maatregelen die wij kunnen nemen:

    • Verificatie-hold - wij kunnen een workspace tijdelijk op hold zetten terwijl wij het account, de operator of de activiteit in kwestie verifiëren. Tijdens de hold is de workspace ontoegankelijk voor gebruikers; de gegevens blijven aan onze kant alleen-lezen behouden.
    • Bewaartermijn van 30 dagen tijdens hold - workspaces onder hold worden maximaal 30 dagen bewaard. Wordt de zaak binnen die termijn opgelost, dan wordt de workspace hersteld. Wordt de hold niet binnen 30 dagen opgeheven - bijvoorbeeld omdat de operator niet reageert op onze verificatieverzoeken - dan worden de workspace en alle gegevens definitief verwijderd.
    • Onmiddellijke verwijdering - in ernstige gevallen (illegale inhoud, actief misbruik van het platform tegen derden, expliciete instructies van een bevoegde autoriteit) kunnen wij een workspace en de gegevens daarvan zonder hold-periode verwijderen. Voor zover de wet dat toelaat, informeren wij de operator achteraf.
    • Medewerking aan autoriteiten - wij voldoen aan rechtsgeldige bevelen van bevoegde EU-autoriteiten en kunnen gegevens indien vereist langer dan de termijn van 30 dagen bewaren.

    Deze bevoegdheden tasten de gewone opzegging niet aan. Klanten die hun abonnement vrijwillig beëindigen volgen de termijnen uit de Algemene Voorwaarden en het Privacybeleid, met een exportvenster vóór verwijdering.

    Responsible Disclosure

    Wij waarderen het werk van beveiligingsonderzoekers en verwelkomen verantwoorde melding van kwetsbaarheden in Anzen of onze infrastructuur. Als u een beveiligingsprobleem heeft ontdekt, meld dit dan aan ons zodat wij het snel kunnen verhelpen.

    Hoe te melden:

    • E-mail uw bevindingen naar security@scrty.nl.
    • Voeg een duidelijke beschrijving van de kwetsbaarheid en stappen om te reproduceren toe.
    • Voeg indien mogelijk een proof of concept bij.

    Onze toezegging:

    • Wij bevestigen uw melding binnen 2 werkdagen.
    • Wij houden u op de hoogte van onze voortgang en de verwachte oplossingsduur.
    • Wij ondernemen geen juridische stappen tegen onderzoekers die te goeder trouw handelen en dit beleid volgen.
    • Wij vermelden u (indien gewenst) wanneer het probleem is opgelost.

    Wij vragen u om:

    • Geen toegang te verkrijgen tot gegevens van andere gebruikers of tenants, deze niet te wijzigen of te verwijderen.
    • Geen denial-of-service-aanvallen uit te voeren of de platformbeschikbaarheid te verminderen.
    • De kwetsbaarheid niet openbaar te maken voordat wij redelijke tijd hebben gehad om deze te verhelpen.
    • Te goeder trouw te handelen en privacyschendingen te vermijden.

    Wij hebben momenteel geen bug bounty-programma. Wij waarderen elke melding en zullen uw bijdrage erkennen, maar er zijn op dit moment geen financiele beloningen gegarandeerd.

    Contact

    Voor beveiligingsgerelateerde vragen of om een kwetsbaarheid te melden, neem contact met ons op via security@scrty.nl.