Beveiliging & vertrouwen

Onze beveiligingsbelofte

Wij behandelen beveiliging als een continue ingenieurspraktijk, niet als een eenmalige audit. Onze principes zijn: zo min mogelijk data verzamelen, alles versleutelen in transit, toegang strikt beheren, betekenisvolle events loggen en afhankelijkheden regelmatig patchen. Wij verkopen geen persoonsgegevens en trainen geen externe AI-providers met uw inhoud.

Infrastructuur en hosting

ImmoStory draait op dedicated EU-infrastructuur. De productie-database, applicatieservers en object-storage zijn ondergebracht in EU-datacenters. Wij gebruiken container-gebaseerde deployments achter een reverse proxy met TLS-terminatie. Productie-, staging- en development-omgevingen zijn gescheiden met onafhankelijke credentials en geen gedeelde secrets.

Versleuteling tijdens transport en in rust

Al het verkeer van en naar het platform gebruikt TLS 1.2 of hoger met moderne cipher suites. Wachtwoorden worden opgeslagen met bcrypt en een sterke work factor. Applicatie-secrets worden buiten de coderepository bewaard en geroteerd bij teamwijzigingen. Database-back-ups zijn versleuteld in rust en roteren op een cyclus van 30 dagen.

Toegangscontrole en authenticatie

Toegang tot productiedata is beperkt tot een klein aantal benoemde engineers, beveiligd met SSH-sleutels, IP-allowlisting en multi-factor authenticatie. Klantaccounts ondersteunen sterke wachtwoorden; wij hashen credentials en bewaren geen recoverable plaintext. JWT-sessies verlopen bij inactiviteit en kunnen door de gebruiker worden ingetrokken vanuit de accountinstellingen.

Monitoring en audit logging

Applicatie-, billing- en authenticatie-events worden centraal gelogd met retentie beperkt tot operationele noodzaak. Fouten worden in realtime gecapteerd zodat het team kan reageren op regressies en abusepatronen. Verdacht gedrag activeert automatisch rate-limiting van de betrokken sessies.

Incidentrespons

Wij onderhouden een interne incident-response runbook met detectie, containment, eradication, recovery en post-mortem. Bij een bevestigd datalek dat waarschijnlijk een risico inhoudt voor gebruikersrechten, melden wij dit binnen 72 uur aan de bevoegde toezichthouder volgens AVG artikel 33, en informeren betrokken gebruikers zonder onnodige vertraging wanneer het risico hoog is.

AVG en gegevensbescherming

Wij zijn gevestigd in de EU en verwerken klantdata onder de Algemene Verordening Gegevensbescherming. Ons privacybeleid documenteert rechtsgronden, gegevenscategorieën, bewaartermijnen, subverwerkers en uw rechten als betrokkene. Internationale doorgiften steunen op Standard Contractual Clauses of gelijkwaardige waarborgen. Een verwerkersovereenkomst is beschikbaar op aanvraag voor zakelijke klanten.

Responsible disclosure

Als u meent een beveiligingsprobleem in ImmoStory gevonden te hebben, gelieve dit privé te rapporteren aan [email protected] vóór publieke disclosure. Wij streven ernaar binnen twee werkdagen te bevestigen en een oplossing te coördineren zonder juridische actie tegen onderzoekers te goeder trouw die de privacy van gebruikers respecteren en onze diensten niet verstoren.

Subverwerkers

Wij vertrouwen op een beperkte set gescreende subverwerkers voor de werking van het platform. Provider-locaties geven aan waar data hoofdzakelijk wordt verwerkt. Bij data buiten de EER steunen doorgiften op de Standard Contractual Clauses van de Europese Commissie of gelijkwaardige waarborgen van de provider.

Deze lijst wordt bijgewerkt bij materiële wijzigingen. Voor verwerkersovereenkomsten of meer detail, contacteer [email protected].