Beveiliging by design.
Wij auditeren andermans beveiliging. Het absolute minimum is onze eigen standaarden handhaven.
Scan-isolatie
Elke scan draait in een tijdelijke Docker-container gestart met --network=none. Geen internettoegang, geen toegang tot andere scans, geen toegang tot de orchestrator. Tijdelijk bestandssysteem wordt direct na extractie van bevindingen vernietigd.
Versleuteling
TLS 1.3 in transit. AES-256 at rest op Postgres en R2 (Scaleway managed). Secrets worden beheerd door de Scaleway secret manager, nooit in plaintext in de database.
Hosting
Scaleway Parijs (DC3). 100% EU. Geen niet-EU-subverwerker in de scanpijplijn. Anthropic Claude (AI-triage) is de enige uitzondering, opt-in: zie AI-triage.
AI-triage (opt-out)
Wanneer AI-triage is ingeschakeld (Standaard-tier en hoger), worden alleen geconsolideerde bevindingen naar Anthropic Claude gestuurd: CWE, file:line, maximaal 5 regels code. Geen secrets, geen volledige code, geen klantdata. Uitschakelbaar zonder extra kosten.
Auth & MFA
Opaque Redis-sessies. JWT voor API. TOTP MFA beschikbaar. RBAC over 4 rollen (eigenaar / admin / lid / kijker). Onveranderlijk auditlogboek.
DPA & GDPR
DPA beschikbaar op aanvraag voor Premium- en Studio-tiers. Subverwerkers vermeld, recht op verwijdering, bewaring configureerbaar per tier.