Gegevensbeveiliging
So schützen wir Ihre Daten: Verschlüsselung, Zugriffskontrollen, Schwachstellenoffenlegung und Incident-Response.
Beveiliging bij CRA Evidence
CRA Evidence draait op AWS-infrastructuur in de EU (Dublin, Ierland). Alle klantgegevens zijn versleuteld tijdens overdracht en in rust. Wij handhaven strikte tenantscheiding — de gegevens van uw organisatie zijn nooit toegankelijk voor andere klanten. Wij zijn een door oprichters geleid bedrijf in bèta en zijn transparant over onze huidige beveiligingspositie en roadmap.
Infrastructuur
| Detail | Waarde |
|---|---|
| Cloudprovider | Amazon Web Services (AWS) |
| Regio | eu-west-1 (Dublin, Ierland) |
| Dataresidentie | Alle klantgegevens uitsluitend opgeslagen in de EU |
| Netwerk | VPC met privésubnetten, NAT Gateway, geen publieke IP's op applicatiecontainers |
| Beheerderstoegang | Zero-trust VPN met apparaatgebaseerde authenticatie en minst-privilege toegangscontroles |
| Intern verkeer | VPC-eindpunten voor S3 en SES (verkeer gaat nooit via het openbare internet) |
| DDoS-bescherming | AWS Shield Standard |
| Infrastructuuraudit | AWS CloudTrail voor beheerplaneoperaties |
| Applicatieaudit | Onveranderlijk auditlogboek van alle gebruikersacties (165+ gebeurtenistypen, sequentieel geverifieerd) |
Versleuteling
| Laag | Methode |
|---|---|
| Tijdens overdracht | TLS 1.2 of hoger op alle verbindingen (HTTPS afgedwongen) |
| In rust | AES-256 via AWS (RDS, S3, EBS-volumes) |
| Sleutelbeheer | AWS KMS (sleutels verlaten nooit de KMS-grens) |
| Wachtwoorden | Argon2id-hashing (geheugenintensief, bestand tegen GPU/ASIC-aanvallen) |
| API-sleutels | SHA-256 gehasht vóór opslag (plaintext wordt nooit bewaard) |
Authenticatie en Toegangscontrole
- Aanmelden: E-mail/wachtwoord met Argon2id, OAuth (Google, Microsoft, GitHub), SAML SSO
- MFA: TOTP-gebaseerde meerfactorauthenticatie met reservecodes; organisaties kunnen MFA voor alle leden verplicht stellen
- Sessies: JWT-toegangstokens (kortlevend) met roterende vernieuwingstokens
- Botbeveiliging: Cloudflare Turnstile op authenticatie-eindpunten
- CSRF: Tokengebaseerde bescherming op alle statuswijzigende operaties
- RBAC: Vier rollen per organisatie — Eigenaar, Beheerder, Lid, Kijker — op basis van het principe van minimale rechten
- API-sleutels: Beperkte rechten, SHA-256 gehasht, afzonderlijk intrekbaar
- SSO-handhaving: Organisaties kunnen SAML SSO verplicht stellen voor alle leden
Tenantscheiding
CRA Evidence is een multi-tenantplatform. Elke databasequery filtert op organisation_id op de servicelaag:
- Organisaties kunnen geen gegevens van andere organisaties raadplegen, opvragen of ernaar verwijzen
- SBOM-data, kwetsbaarheidsdata, producten en compliancedocumenten zijn allemaal beperkt tot de eigenende organisatie
- Opslagpaden zijn gesegregeerd per organisatie-ID
- Auditregistratie houdt alle gegevenstoegang per organisatie bij
Kwetsbaarheidsbeheer
- Vulnerability Knowledge Base: Zelf gehoste multi-source kwetsbaarheidsscanning met 15-minuten synchronisatie vanuit NVD, OSV.dev, GitHub Advisories, CISA KEV en EPSS. Onze vulnerability scanner draait als onafhankelijke verificatielaag.
- Afhankelijkheidsmonitoring: Geautomatiseerde controles op applicatieafhankelijkheden
- Patchbeheer: Regelmatige updates van applicatie- en infrastructuurcomponenten
- Penetratietest: Onafhankelijke penetratietest gepland (zie Roadmap)
Bedrijfscontinuïteit en Noodherstel
| Detail | Waarde |
|---|---|
| Databaseback-ups | Versleutelde dagelijkse geautomatiseerde RDS-snapshots |
| SBOM-opslag | S3 met 99,999999999% duurzaamheid (11 negens) |
| Uptime-toezegging | 99,5% (per serviceovereenkomst) |
| RPO | 24 uur (dagelijkse back-ups) |
| RTO | Doel 4 uur |
| Implementatie | Enkele regio (eu-west-1) — multi-AZ gepland |
| Incidentrespons | Door oprichters geleid monitoring en respons tijdens de bètafase |
Gegevensbewaring
- Actieve accountgegevens: Bewaard zolang het abonnement actief is
- Verwijderde accounts: Gegevens verwijderd binnen 30 dagen na verzoek
- Auditlogboeken: 10 jaar bewaard per vereisten van CRA Artikel 13(14)
- Back-ups: Versleutelde dagelijkse geautomatiseerde snapshots
AVG en Privacy
- Verwerkersovereenkomst (DPA): Beschikbaar op aanvraag (privacy@craevidence.com)
- Register van verwerkingsactiviteiten (RVA/ROPA): Bijgehouden per AVG Artikel 30
- Subverwerkers: Gepubliceerde lijst met 30-daagse kennisgeving bij wijzigingen
- Gegevensportabiliteit: SBOM-export in standaardformaten (CycloneDX, SPDX)
- Gegevenswissing: Account en alle bijbehorende gegevens verwijderd binnen 30 dagen na verzoek
- Privacybeleid: Lees ons privacybeleid
Compliance
Onze Compliance
- Conform AVG (EU 2016/679) — RVA, DPA, subverwerkerlijst, privacybeleid
- EU-dataresidentie — alle gegevens in AWS eu-west-1 (Dublin, Ierland)
- RFC 9116 — security.txt gepubliceerd
- ISO 29147/30111 afgestemd — Gecoördineerd kwetsbaarheidsoffenbaringproces
Certificeringen van Infrastructuurprovider
AWS behoudt de volgende certificeringen voor eu-west-1: SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018, C5 (Duits BSI).
Roadmap
- Onafhankelijke penetratietest — gepland
- SOC 2 Type II — gepland
- ISO 27001 — onder evaluatie
Wij bouwen onze compliancepositie op naast ons product. Deze pagina weerspiegelt de huidige stand van zaken.
Kwetsbaarheidsmelding
Wij verwelkomen verantwoordelijk beveiligingsonderzoek. Als u een kwetsbaarheid in ons platform ontdekt, meld dit dan.
Hoe te melden
- E-mail: security@craevidence.com
- Reactie: Bevestiging binnen 24 uur, initiële beoordeling binnen 7 werkdagen
Scope
- Binnen scope: *.craevidence.com, de CRA Evidence API, de CRA Evidence CLI
- Buiten scope: Diensten van derden, social engineering, denial-of-service-aanvallen
Safe Harbor
Wij zullen geen juridische stappen ondernemen tegen beveiligingsonderzoekers die:
- Te goeder trouw handelen
- Privacyschendingen, gegevensvernietiging of service-onderbreking vermijden
- Bevindingen onmiddellijk melden en redelijke tijd voor herstel toestaan
CVD-beleid
Wij volgen de ISO 29147/30111-normen voor Gecoördineerde Kwetsbaarheidsoffenbaring.
Contact
- Beveiligingsmeldingen: security@craevidence.com
- Privacyvragen: privacy@craevidence.com
- DPA-verzoeken: privacy@craevidence.com
Laatste update: februari 2026.
Fragen zu unseren Sicherheitspraktiken?
Wir setzen auf Transparenz. Melden Sie sich, wenn Sie Fragen zur Sicherheit haben.