Alle voorwaarden

Beveiligingsbeleid

Van kracht sinds 1 maart 2026

Dit Beveiligingsbeleid ("Beleid") beschrijft de technische en organisatorische beveiligingsmaatregelen die Subduxion B.V. ("Subduxion", "wij" of "onze") heeft geïmplementeerd om de vertrouwelijkheid, integriteit en beschikbaarheid van het Blake-platform en alle gegevens die via het platform worden verwerkt (de "Diensten") te beschermen.

Subduxion onderhoudt een uitgebreid informatiebeveiligingsprogramma dat is ontworpen om te voldoen aan artikel 32 van Verordening (EU) 2016/679 (AVG), het ISO/IEC 27001-raamwerk en best practices binnen de sector voor cloud-native SaaS-platforms.

1. Beveiligingsgovernance

1.1 Organisatie

Beveiligingsgovernance bij Subduxion is verankerd op directieniveau. De verantwoordelijkheid voor informatiebeveiliging is toegewezen aan aangewezen leidinggevenden, met operationele ondersteuning vanuit engineering- en compliancefuncties. Beveiligingsbeleid, -standaarden en -procedures worden ten minste jaarlijks beoordeeld en goedgekeurd door het management.

1.2 Beveiligingsprogramma

Subduxion onderhoudt een schriftelijk informatiebeveiligingsprogramma dat omvat:

  • Risicobeoordelings- en risicobehandelingsprocedures, die ten minste jaarlijks en bij materiële wijzigingen aan de Diensten worden uitgevoerd.
  • Gedocumenteerd beveiligingsbeleid met betrekking tot toegangscontrole, cryptografie, operationele beveiliging, communicatiebeveiliging en incidentbeheer.
  • Gedefinieerde rollen en verantwoordelijkheden voor informatiebeveiliging binnen de organisatie.
  • Continue verbetering op basis van beveiligingsincidenten, auditbevindingen en veranderingen in het dreigingslandschap.

1.3 Personeelsbeveiliging

Alle medewerkers met toegang tot productiesystemen of klantgegevens zijn onderworpen aan:

  • Achtergrondverificatie passend bij de functie en het toepasselijke recht.
  • Bindende geheimhoudingsverplichtingen, hetzij via arbeidsovereenkomsten, hetzij via afzonderlijke geheimhoudingsovereenkomsten.
  • Verplichte beveiligingsbewustzijnstraining bij indiensttreding en op regelmatige tijdstippen daarna.
  • Gedefinieerde procedures voor het intrekken van toegang bij functiewijziging of beëindiging van het dienstverband.

2. Infrastructuurbeveiliging

2.1 Hostingomgeving

De Diensten worden gehost op infrastructuur van gevestigde cloudplatformaanbieders die beschikken over erkende certificeringen, waaronder SOC 2 Type II, ISO 27001 en PCI DSS Level 1. De fysieke beveiliging van de datacentervoorzieningen, inclusief omgevingscontroles, toegangsbeperkingen en bewaking, valt onder de verantwoordelijkheid van de infrastructuuraanbieder en is onderworpen aan contractuele waarborgen en regelmatige audits door de aanbieder.

2.2 Netwerkbeveiliging

Subduxion implementeert gelaagde netwerkbeveiligingsmaatregelen, waaronder:

  • Netwerksegmentatie om productie-, staging- en ontwikkelomgevingen te isoleren.
  • Web application firewall (WAF) en bescherming tegen distributed denial-of-service (DDoS)-aanvallen aan de netwerkrand.
  • Intrusion detection- en preventiemogelijkheden met continue monitoring.
  • Restrictief netwerktoegangsbeleid met een deny-by-default-instelling.

2.3 Gegevensscheiding

Klantgegevens worden logisch gescheiden binnen de Diensten. Toegangscontroles handhaven tenantscheiding op de applicatie-, database- en API-lagen. Cross-tenant gegevenstoegang wordt architectonisch voorkomen door middel van scoped toegangspatronen die op elke laag van de applicatiestack worden afgedwongen.

3. Gegevensbescherming

3.1 Versleuteling

  • Tijdens transport: Alle gegevens die worden verzonden tussen clients en de Diensten, en tussen interne servicecomponenten, worden versleuteld met TLS 1.2 of hoger. Interne service-to-service-communicatie maakt gebruik van wederzijds geauthenticeerde versleutelde kanalen.
  • In rust: Alle persistente gegevensopslag wordt versleuteld met AES-256 of vergelijkbare algoritmen. Versleutelingssleutels worden beheerd via een dedicated sleutelbeheersinfrastructuur met functiescheiding.

3.2 Toegangscontrole

  • Rolgebaseerde toegangscontrole (RBAC) wordt afgedwongen op alle lagen van de Diensten.
  • Toegang tot productiesystemen en klantgegevens is beperkt tot geautoriseerd personeel op basis van need-to-know.
  • Multi-factor authenticatie (MFA) is vereist voor alle beheers- en productiesysteemtoegang.
  • Toegangsrechten worden periodiek beoordeeld en bij elke wijziging van functie of verantwoordelijkheid.
  • Geprivilegieerde toegang wordt gelogd en is onderworpen aan beoordeling.

3.3 Gegevensback-up en -herstel

  • Geautomatiseerde back-ups worden op regelmatige tijdstippen uitgevoerd met point-in-time herstelmogelijkheid.
  • Back-upgegevens worden versleuteld en opgeslagen op geografisch gescheiden locaties.
  • Back-upherstelprocedures worden periodiek getest om de integriteit en hersteltijddoelstellingen te verifiëren.

4. Applicatiebeveiliging

4.1 Veilige ontwikkeling

Subduxion volgt een veilige softwareontwikkelingslevenscyclus (SSDLC) die omvat:

  • Analyse van beveiligingsvereisten tijdens de ontwerpfase.
  • Verplichte codebeoordeling voor alle wijzigingen aan productiesystemen.
  • Geautomatiseerde statische applicatiebeveiligingstesten (SAST) geïntegreerd in de ontwikkelpipeline.
  • Dependency-scanning voor bekende kwetsbaarheden in componenten van derden.
  • Scheiding van ontwikkel-, test- en productieomgevingen.

4.2 Kwetsbaarheidsbeheer

  • Geautomatiseerde kwetsbaarheidsscanning wordt continu uitgevoerd op alle productiesystemen.
  • Geïdentificeerde kwetsbaarheden worden getriageerd op basis van ernst en exploiteerbaarheid, met gedefinieerde hersteltermijnen: kritiek (24 uur), hoog (72 uur), gemiddeld (30 dagen), laag (90 dagen).
  • Externe penetratietesten worden ten minste jaarlijks uitgevoerd door gekwalificeerde onafhankelijke beoordelaars. Materiële bevindingen worden verholpen en geverifieerd vóór de volgende beoordelingscyclus.

5. Monitoring en logging

  • Beveiligingsrelevante gebeurtenissen worden centraal gelogd, inclusief authenticatiegebeurtenissen, toegang tot klantgegevens, beheersacties en systeemwijzigingen.
  • Logs worden minimaal 12 maanden bewaard in manipulatiebestendige opslag.
  • Anomaliedetectie en waarschuwingen zijn geïmplementeerd voor beveiligingskritieke gebeurtenissen.
  • Loggegevens zijn beschikbaar voor forensische analyse in het geval van een beveiligingsincident.

6. Incidentrespons

6.1 Incidentresponsplan

Subduxion onderhoudt een gedocumenteerd incidentresponsplan dat het volgende definieert:

  • Classificatiecriteria voor beveiligingsincidenten op basis van ernst en impact.
  • Rollen en verantwoordelijkheden voor incidentrespons, inclusief aangewezen incidentcommandanten.
  • Escalatieprocedures en communicatieprotocollen.
  • Procedures voor inperking, onderzoek, eliminatie en herstel.
  • Post-incidentbeoordeling en lessons-learned-processen.

6.2 Melding

In het geval van een bevestigd beveiligingsincident dat klantgegevens treft, zal Subduxion de getroffen klanten zonder onredelijke vertraging en in elk geval binnen 48 uur op de hoogte stellen, in overeenstemming met de Verwerkersovereenkomst. Meldingen omvatten een beschrijving van het incident, de betrokken gegevens, de genomen maatregelen en aanbevolen acties voor de Klant.

7. Bedrijfscontinuïteit

  • Subduxion onderhoudt bedrijfscontinuïteits- en noodherstelprocedures die zijn ontworpen om de beschikbaarheid en veerkracht van de Diensten te waarborgen.
  • Hersteldoelstellingen worden gedefinieerd en periodiek getest.
  • De Diensten zijn ontworpen met redundantie op de infrastructuur-, applicatie- en gegevenslagen om de impact van componentfalen te minimaliseren.

8. Verantwoorde openbaarmaking

Subduxion verwelkomt verantwoorde openbaarmaking van beveiligingskwetsbaarheden door externe onderzoekers. Indien u een potentiële kwetsbaarheid in de Diensten heeft geïdentificeerd, verzoeken wij u deze te melden aan:

Email: security@subduxion.com

Vermeld bij uw melding:

  • Een gedetailleerde beschrijving van de kwetsbaarheid, inclusief stappen om deze te reproduceren.
  • De potentiële impact en eventueel ondersteunend bewijs.
  • Uw contactgegevens voor opvolging.

Subduxion verplicht zich tot:

  • Bevestiging van ontvangst van uw melding binnen 2 werkdagen.
  • Het verstrekken van een eerste beoordeling binnen 10 werkdagen.
  • U op de hoogte houden van de voortgang van het herstel.
  • Het niet ondernemen van juridische stappen tegen onderzoekers die te goeder trouw en in overeenstemming met dit openbaarmakingsbeleid melden.
  • Het erkennen van uw bijdrage op verzoek, onder voorbehoud van wederzijdse overeenstemming.

Wij verzoeken onderzoekers om kwetsbaarheden niet openbaar te maken vóór het herstel en om ervoor te zorgen dat het testen de Diensten niet verstoort voor andere gebruikers, geen toegang verschaft tot gegevens van andere klanten, en geen social engineering, fysieke toegang of denial-of-service-technieken omvat.

9. Certificeringen en compliance

Subduxion streeft ernaar beveiligingscertificeringen te behalen en te behouden die passen bij de aard en omvang van de Diensten. Onze huidige en geplande certificeringen omvatten:

StandaardStatus
SOC 2 Type IIGepland
ISO/IEC 27001Gepland
ISO/IEC 42001 (AI-management)In evaluatie
AVG-complianceActief
EU AI Act-complianceActief

10. Herziening

Dit Beleid wordt ten minste jaarlijks herzien en bijgewerkt om wijzigingen in het dreigingslandschap, regelgevende vereisten en de beveiligingspostuur van de Diensten weer te geven. Materiële wijzigingen worden aan Klanten gecommuniceerd via de Diensten of door middel van kennisgeving aan het primaire accountcontact.

11. Contact

Voor beveiligingsvragen, incidentmeldingen of verantwoorde openbaarmakingen:

Subduxion B.V.
T.a.v.: Beveiliging
High Tech Campus 5
5656 AE Eindhoven
Nederland
Email: security@subduxion.com

Blake

Sales is geen afdeling. Het is de zuurstof van je bedrijf.

Zonder sales heb je geen bedrijf. Je hebt een hobby. En hobby's betalen geen salarissen.