Naar inhoud springen

Beveiliging by design.

Wij auditeren andermans beveiliging. Het absolute minimum is onze eigen standaarden handhaven.

Scan-isolatie

Elke scan draait in een tijdelijke Docker-container gestart met --network=none. Geen internettoegang, geen toegang tot andere scans, geen toegang tot de orchestrator. Tijdelijk bestandssysteem wordt direct na extractie van bevindingen vernietigd.

Versleuteling

TLS 1.3 in transit. AES-256 at rest op Postgres en R2 (Scaleway managed). Secrets worden beheerd door de Scaleway secret manager, nooit in plaintext in de database.

Hosting

Scaleway Parijs (DC3). 100% EU. Geen niet-EU-subverwerker in de scanpijplijn. Anthropic Claude (AI-triage) is de enige uitzondering, opt-in: zie AI-triage.

AI-triage (opt-out)

Wanneer AI-triage is ingeschakeld (Standaard-tier en hoger), worden alleen geconsolideerde bevindingen naar Anthropic Claude gestuurd: CWE, file:line, maximaal 5 regels code. Geen secrets, geen volledige code, geen klantdata. Uitschakelbaar zonder extra kosten.

Auth & MFA

Opaque Redis-sessies. JWT voor API. TOTP MFA beschikbaar. RBAC over 4 rollen (eigenaar / admin / lid / kijker). Onveranderlijk auditlogboek.

DPA & GDPR

DPA beschikbaar op aanvraag voor Premium- en Studio-tiers. Subverwerkers vermeld, recht op verwijdering, bewaring configureerbaar per tier.