Beveiliging
We bouwen software waar bedrijven dagelijks op draaien — vaak met data die ertoe doet. Beveiliging is daarom geen los onderdeel achteraf, maar onderdeel van hoe we ontwerpen, bouwen en beheren. Hieronder lees je precies hoe we dat aanpakken, en waar we eerlijk over zijn.
Security by design, geen bijzaak
Beveiliging zit ingebakken vanaf de eerste regel code: strikt toegangsbeheer, versleuteling, geteste back-ups en monitoring horen bij de basis, niet bij het meerwerk. We werken met een klein, vast team en korte lijnen — degene die je systeem bouwt, kent ook hoe het beveiligd is.
Hoe we data en systemen beveiligen
De maatregelen die bij elk project standaard meegaan, en dieper waar een project daarom vraagt.
Strikt toegangsbeheer
Toegang tot productie is beperkt tot de ontwikkelaars die op een project werken. Servertoegang via beveiligde sleutels, geen wachtwoorden. Tweestapsverificatie is afgedwongen op alle infrastructuur- en cloudaccounts. Wachtwoorden en sleutels staan in een wachtwoordmanager (Bitwarden) met rolgebaseerde rechten.
Versleuteling
Alles gaat over HTTPS — nooit onversleuteld verkeer. Data wordt versleuteld opgeslagen op schijf en in de database. Waar een project daarom vraagt, gaan we verder met versleuteling op veldniveau, tot decryptie aan de clientzijde via een unieke link aan toe.
Back-ups die we testen
Databases worden elk uur geback-upt, servers eveneens, buiten de primaire omgeving. Een tweede kopie staat op onze eigen back-upserver op kantoor. En belangrijker dan back-uppen — we testen het terugzetten daadwerkelijk, met een tool die we daar zelf voor bouwden.
Europese hosting
We hosten standaard binnen Europa. Alleen wanneer een project het echt vereist wijken we daarvan af, en altijd in overleg met jou. We beheren de servers zelf of zetten beheerde diensten in, zoals managed PostgreSQL of MongoDB.
Veilig ontwikkelen
Code wordt gereviewd voordat die live gaat. Secrets staan in een secrets manager en nooit in de code. We houden dependencies bij, werken met een aparte staging-omgeving en laten releases door geautomatiseerde controles in onze CI-pipelines lopen.
Monitoring en beheer
We houden omgevingen actief in de gaten met foutmonitoring (Sentry) en uptime-monitoring, zodat we problemen vaak eerder zien dan gebruikers. Beveiligingsupdates voeren we als onderdeel van het beheer zelf door.
Een back-up is pas een back-up als je 'm kunt terugzetten
Veel partijen maken back-ups. De vraag is of ze ooit getest zijn. Wij zetten back-ups daadwerkelijk terug om te controleren dat herstel werkt — niet alleen dat het bestand bestaat. Naast de offsite-back-up draait er een tweede kopie op onze eigen back-upserver op kantoor, zodat we niet afhankelijk zijn van één locatie.
Versleuteling tot op veldniveau
Voor de meeste systemen volstaat versleuteling op schijf- en databaseniveau. Werkt een project met extra gevoelige gegevens, dan gaan we verder — versleuteling per veld, of zelfs serverside versleutelen en client-side ontsleutelen via een unieke link, zodat de data ook voor ons onleesbaar blijft.
Veelgestelde vragen over beveiliging
Nee, een formeel certificaat hebben we (nog) niet. Het staat op onze roadmap, maar als team van zeven is dat geen stap voor vandaag. Wel passen we de praktijk die erachter zit nu al toe: strikt toegangsbeheer, versleuteling, geteste back-ups, veilige ontwikkeling en monitoring. We zijn daar liever eerlijk over dan dat we een certificaat suggereren dat we niet hebben.
Standaard binnen Europa. Alleen als een project het echt vereist hosten we (deels) daarbuiten, en dat doen we altijd in overleg met jou — nooit zonder dat je het weet.
Alleen de ontwikkelaars die op jouw project werken. Toegang is per project afgebakend, gaat via beveiligde sleutels met tweestapsverificatie, en wachtwoorden beheren we in een wachtwoordmanager met rolgebaseerde rechten.
Ja, standaard. We kunnen je ook een overzicht geven van de subverwerkers die we inzetten, zoals hostingpartijen.
Databases en servers worden elk uur geback-upt, buiten de primaire omgeving, met een tweede kopie op onze eigen back-upserver. We testen het terugzetten ook echt — een back-up die nooit teruggezet is, is geen back-up.
We monitoren actief, dus problemen zien we vaak eerder dan gebruikers. Gaat er iets mis, dan volgen we snel op met duidelijke communicatie over oorzaak en oplossing. Door de korte lijnen heb je direct contact met de mensen die het systeem kennen.
Vragen over beveiliging of een project bespreken?
Bel ons of plan een kennismaking — dan bespreken we wat er nodig is en hoe we het veilig inrichten.
Reactie binnen 24 uur