Gegevensbeveiliging

Hoe wij uw gegevens beschermen: versleuteling, toegangscontroles, kwetsbaarheidsopenbaarmaking en incidentrespons.

Beveiliging bij CRA Evidence

CRA Evidence wordt gehost op AWS in de Europese Unie. Alle klantgegevens zijn versleuteld tijdens overdracht en in rust. Wij handhaven strikte tenantscheiding: de gegevens van uw organisatie zijn nooit toegankelijk voor andere klanten.

Infrastructuur

  • Cloud: Gehost in de Europese Unie (Dublin, Ierland)
  • Dataresidentie: Alle klantgegevens uitsluitend opgeslagen in de EU
  • Netwerk: Applicatiecontainers draaien in privénetwerken zonder publieke blootstelling
  • Audit: Onveranderlijk auditlogboek van alle gebruikersacties (165+ gebeurtenistypen, sequentieel geverifieerd)

Versleuteling

  • Tijdens overdracht: TLS 1.2 of hoger op alle verbindingen (HTTPS afgedwongen)
  • In rust: AES-256-versleuteling op alle gegevensopslag
  • Sleutelbeheer: Dedicated sleutelbeheerdienst; sleutels worden nooit blootgesteld aan de applicatielaag
  • Inloggegevens: Wachtwoorden gehasht met geheugenintensieve algoritmen; API-sleutels gehasht vóór opslag (plaintext wordt nooit bewaard)

Authenticatie en Toegangscontrole

  • Aanmelden: E-mail/wachtwoord, OAuth (Google, Microsoft, GitHub), SAML SSO
  • MFA: TOTP-gebaseerde meerfactorauthenticatie met reservecodes; organisaties kunnen MFA voor alle leden verplicht stellen
  • Rollen: Vier rollen per organisatie (Eigenaar, Beheerder, Lid, Kijker), op basis van het principe van minimale rechten
  • API-sleutels: Beperkte rechten, afzonderlijk intrekbaar
  • SSO-handhaving: Organisaties kunnen SAML SSO verplicht stellen voor alle leden

Tenantscheiding

CRA Evidence is een multi-tenantplatform. Elke databasequery filtert op organisation_id op de servicelaag:

  • Organisaties kunnen geen gegevens van andere organisaties raadplegen, opvragen of ernaar verwijzen
  • SBOM-data, kwetsbaarheidsdata, producten en compliancedocumenten zijn allemaal beperkt tot de eigenende organisatie
  • Opslagpaden zijn gesegregeerd per organisatie-ID
  • Auditregistratie houdt alle gegevenstoegang per organisatie bij

Kwetsbaarheidsbeheer

  • Vulnerability Knowledge Base: Zelf gehoste multi-source kwetsbaarheidsdatabase met 15-minuten synchronisatie vanuit NVD, OSV.dev, GitHub Advisories, CISA KEV en EPSS. Onze vulnerability scanner draait als onafhankelijke verificatielaag.
  • Afhankelijkheidsmonitoring: Geautomatiseerde controles op applicatieafhankelijkheden
  • Patchbeheer: Regelmatige updates van applicatie- en infrastructuurcomponenten

Gegevensbewaring

  • Actieve accountgegevens: Bewaard zolang het abonnement actief is
  • Verwijderde accounts: Gegevens verwijderd binnen 30 dagen na verzoek
  • Auditlogboeken: 10 jaar bewaard per vereisten van CRA Artikel 13(14)
  • Back-ups: Versleutelde dagelijkse geautomatiseerde snapshots

AVG en Privacy

  • Verwerkersovereenkomst (DPA): Beschikbaar op aanvraag (privacy@craevidence.com)
  • Register van verwerkingsactiviteiten (RVA/ROPA): Bijgehouden per AVG Artikel 30
  • Subverwerkers: Gepubliceerde lijst met 30-daagse kennisgeving bij wijzigingen
  • Gegevensportabiliteit: SBOM-export in standaardformaten (CycloneDX, SPDX)
  • Gegevenswissing: Account en alle bijbehorende gegevens verwijderd binnen 30 dagen na verzoek
  • Privacybeleid: Lees ons privacybeleid

Compliance

Onze Compliance

  • Conform AVG (EU 2016/679): RVA, DPA, subverwerkerlijst, privacybeleid
  • EU-dataresidentie: alle gegevens gehost in de Europese Unie
  • RFC 9116: security.txt gepubliceerd
  • ISO 29147/30111 afgestemd: Gecoördineerd kwetsbaarheidsoffenbaringproces

Certificeringen van Infrastructuurprovider

Onze infrastructuurprovider behoudt SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018 en C5 (Duits BSI) certificeringen voor de EU-regio die wij gebruiken.

Roadmap

  • Onafhankelijke penetratietest (gepland)
  • SOC 2 Type II (gepland)
  • ISO 27001 (onder evaluatie)

Wij bouwen onze compliancepositie op naast ons product. Deze pagina weerspiegelt de huidige stand van zaken.

Kwetsbaarheidsmelding

Wij verwelkomen verantwoordelijk beveiligingsonderzoek. Als u een kwetsbaarheid in ons platform ontdekt, meld dit dan.

Hoe te melden

Scope

  • Binnen scope: *.craevidence.com, de CRA Evidence API, de CRA Evidence CLI
  • Buiten scope: Diensten van derden, social engineering, denial-of-service-aanvallen

Safe Harbor

Wij zullen geen juridische stappen ondernemen tegen beveiligingsonderzoekers die:

  • Te goeder trouw handelen
  • Privacyschendingen, gegevensvernietiging of service-onderbreking vermijden
  • Bevindingen onmiddellijk melden en redelijke tijd voor herstel toestaan

CVD-beleid

Wij volgen de ISO 29147/30111-normen voor Gecoördineerde Kwetsbaarheidsoffenbaring.

Contact

Laatste update: maart 2026.

Beveiligingscontact
Beveiligingsteam
security@craevidence.com
Algemene vragen
Contactformulier
Compliance

Onze naleving

  • Conform GDPR (EU 2016/679)
  • EU-gegevensverblijf
  • RFC 9116 (security.txt)
  • ISO 29147/30111 aligned (CVD)

Infrastructuurleverancier

SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018, C5

Routekaart

  • Onafhankelijke penetratietests
  • SOC 2 Type II
  • ISO 27001
Gerelateerde pagina's
Privacybeleid Gebruiksvoorwaarden Cookiebeleid security.txt

Vragen over onze beveiligingspraktijken?

Wij hechten aan transparantie. Neem contact op als u beveiligingsgerelateerde vragen heeft.

Neem contact op met het beveiligingsteam Algemeen contact