Beveiliging by design

Beveiliging by design (security by design) betekent dat we beveiliging niet achteraf toevoegen, maar vanaf het begin meenemen in architectuur, ontwikkeling en operatie. Onze uitgangspunten zijn hetzelfde in alle talen en regio's: vertrouwen door transparantie, preventie vóór reactie, en continue verbetering.

We bouwen en beheren het platform zo dat beschikbaarheid, integriteit en vertrouwelijkheid van uw gegevens gewaarborgd zijn. Daarbij maken we gebruik van bewezen technieken en standaarden en volgen we waar mogelijk erkende kaders zoals ISO/IEC 27001, zonder daarmee te beweren dat wij zelf volledig gecertificeerd zijn.

Het netwerk is opgebouwd uit twee lagen: het edge-netwerk en het computenetwerk. Samen zorgen ze voor snelheid, beveiliging en schaalbaarheid.

Verkeersstroom: Inkomend verkeer komt eerst binnen op het edge-netwerk, verspreid over vele locaties wereldwijd. Het verzoek wordt naar de dichtstbijzijnde edge-locatie geleid. Daar passeren de verzoeken eerst DDoS-mitigatie en de Web Application Firewall (WAF). Daarna wordt het antwoord óf direct vanaf de cache aan de rand geleverd (bij statische content), óf doorgestuurd naar het computenetwerk waar uw applicatie draait.

Edge-caching: Statische bestanden (zoals CSS, JavaScript, afbeeldingen) worden aan de edge gecached. Dat vermindert de belasting op de applicatie en verlaagt de latentie voor gebruikers. De cache wordt bij elke deployment automatisch geleegd, zodat geen verouderde bestanden worden uitgeserveerd. U kunt zelf Cache-Control- en Expires-headers instellen; die worden gerespecteerd.

Compute-netwerk: De applicatie draait in een privénetwerk en is niet rechtstreeks vanaf het open internet bereikbaar. Toegang verloopt uitsluitend via het edge-netwerk. Rekenkracht is verdeeld over meerdere beschikbaarheidszones (multi-AZ) voor stabiliteit en snelle herstel bij storingen. Verkeer wordt gelijkmatig verdeeld over de beschikbare instanties (load balancing).

Uitgaand verkeer: Uitgaande verzoeken van het platform gebruiken vaste IP-adressen per regio. Die zijn beschikbaar voor allowlisting bij firewalls, security groups of externe diensten die uw applicatie nodig heeft.

Verkeer naar en van het platform loopt via een wereldwijd edge-netwerk. Daarmee realiseren we:

• DDoS-bescherming op netwerk- (L3/L4) en applicatielaag (L7), met automatische detectie en mitigatie van gedistribueerde denial-of-service aanvallen.
• Web Application Firewall (WAF) met regelensets die aansluiten op de OWASP Top 10. Verkeer wordt vóór het uw applicatie bereikt gefilterd op bekende aanvallen en kwetsbaarheden.
• SSL/TLS-versleuteling voor alle verbindingen. Optioneel Strict-Transport-Security (HSTS) om HTTPS af te dwingen.
• Beveiligingsheaders op elke response: X-Frame-Options (tegen iframe-abuse), X-Content-Type-Options: nosniff (tegen MIME-type confusion).
• Botbeheer: voor bepaalde typen geautomatiseerd verkeer (zoals crawlers of monitoring) kan een JavaScript-uitdaging worden getoond; legitieme gebruikers komen door.
• Rate limiting: beperking van het aantal verzoeken per IP per tijdseenheid, met acties zoals uitdaging, throttling of tijdelijke blokkade om misbruik tegen te gaan. Bij herhaalde foutresponses (4xx) of overschrijding van rate limits kan extra beperking worden toegepast.
• Modus bij grootschalige aanvallen: bij ernstige L7 DDoS of verdachte pieken kan een extra beveiligingslaag worden ingeschakeld. Bezoekers zien dan kort een controlepagina en moeten een JavaScript-uitdaging doorstaan; daarna wordt geldig verkeer doorgelaten en verdacht of automatisch verkeer tegengehouden. Deze modus verloopt automatisch na een ingestelde periode.

Op applicatieniveau zetten we onder meer in op:

• Beheerde beveiligingsregels die worden bijgewerkt bij nieuwe bedreigingen, inclusief zero-day bescherming waar dit door de gebruikte diensten wordt geboden.
• Detectie van misbruik, zoals gelekte credentials, kwaadaardige uploads en blootstelling van gevoelige data.
• Security analytics om geblokkeerd en gemitigeerd verkeer te kunnen reviewen en de configuratie te verfijnen.

Waar mogelijk sluiten we aan bij actuele threat intelligence en best practices, zodat we dreigingen proactief kunnen beperken.

De applicatie draait in een professioneel beheerde, geïsoleerde omgeving. Kenmerken daarvan zijn onder meer:

• Toegewijde infrastructuur: eigen compute, netwerk en schaling waar nodig, voor voorspelbare prestaties en geen "noisy neighbors".
• Privaat netwerk: de applicatie is alleen bereikbaar via het edge-netwerk, niet rechtstreeks vanaf het open internet. Verbinding met ondersteunende diensten waar mogelijk via privénetwerken, voor lagere latentie en minder blootstelling.
• Vaste uitgaande IP-adressen per regio, voor eenvoudige whitelisting, traceerbaarheid en compliance.
• Hoge beschikbaarheid met automatische failover: meerdere nodes over beschikbaarheidszones, zodat bij uitval automatisch kan worden overgeschakeld. Load balancing over alle instanties bij horizontaal schalen.

De omgeving is ingericht met het oog op compliance: geïsoleerde compute, beperkte aanvalsoppervlakte en beheer volgens best practices.

Persoonsgegevens en andere gevoelige informatie worden beschermd door:

• Versleuteling in transit (zoals hierboven beschreven) en waar van toepassing encryptie at rest voor opgeslagen data.
• Strikte toegangscontrole en het principe van minimale rechten: alleen wat nodig is voor de taak.
• Logging en monitoring om incidenten te kunnen signaleren en onderzoeken.

We zijn bekend met ISO/IEC 27001 (informatiebeveiligingsmanagementsystemen) en passen de daarin beschreven principes en maatregelen toe waar dat binnen onze architectuur en dienstverlening mogelijk en passend is. Denk aan risicobeheer, toegangsbeheer, cryptografie en continu verbeteren van beveiliging.

We claimen hiermee niet dat wij als organisatie volledig ISO 27001-gecertificeerd zijn; wel dat we de standaard serieus nemen en waar mogelijk naar die norm handelen. Voor specifieke compliancevragen (bijv. verwerkersovereenkomsten of audits) kunt u contact met ons opnemen.

Beveiliging is geen eenmalige stap maar een doorlopend proces. We monitoren dreigingen, passen configuraties en regels aan, en werken met beveiligde development- en releaseprocessen. Bij incidenten volgen we duidelijke procedures voor communicatie en herstel.

Heeft u vragen over onze aanpak of wilt u meer technische of juridische details? Neem gerust contact met ons op.

We zetten ons in voor een veilig en compliant platform. Daarbij sluiten we aan bij erkende kaders zonder te beweren dat wij zelf alle bijbehorende certificeringen hebben.

SOC 2 Type 2 is een raamwerk (ontwikkeld door het AICPA) dat zich richt op hoe diensten veilig blijven en klantgegevens beschermen. Het omvat vijf Trust Services Categories met criteria voor beveiliging, vertrouwelijkheid, beschikbaarheid en meer. De infrastructuur en processen waarop het platform draait, zijn waar van toepassing ingericht op dezelfde principes: Security, Confidentiality en Availability.

ISO/IEC 27001 is de internationaal erkende standaard voor informatiebeveiligingsmanagementsystemen (ISMS). Zoals in de sectie Standaarden en compliance beschreven, passen we de principes en maatregelen daaruit toe waar dat binnen onze architectuur mogelijk en passend is.

Wat dit voor u betekent:

• Gegevensbeveiliging: bescherming van uw data tegen ongeautoriseerde toegang, gebruik, openbaarmaking, verstoring, wijziging of vernietiging.
• OWASP Top 10: verkeer via ons edge-netwerk wordt gefilterd met regelensets die aansluiten op de OWASP Top 10 (injectie, authenticatie, data-exposure e.d.) voordat het uw applicatie bereikt.
• Beschikbaarheid: inzet op continue werking van het platform en minimalisering van uitval.
• Vertrouwelijkheid: waarborgen van de privacy van uw gegevens en voorkomen van ongeautoriseerde toegang.
• Compliance: naleving van best practices en relevante regelgeving waar van toepassing.

We houden deze pagina actueel bij nieuwe ontwikkelingen. Voor vragen over onze compliance of beveiliging kunt u contact met ons opnemen.