Beveiliging.
Insyte beheert orders, klantgegevens en geld. Dat verdient dezelfde precisie als de rest van het product. Deze pagina beschrijft wat we doen, met welke partijen, en hoe je een probleem aan ons meldt.
Onze houding
Beveiliging is geen aparte afdeling. Het is een werkwijze die voor elke wijziging van het systeem geldt: schrijven, reviewen, uitrollen, observeren.
Insyte werkt met de uitgangspunten van least privilege, defense in depth en secure by default. Elke nieuwe functie wordt ontworpen met de vraag wat er misgaat als een component faalt. Dat is geen poster aan de muur; dat is hoe een pull request wordt gereviewd.
Onze klanten zijn dropship-operators die met echt klantgeld werken. Daarom houden wij ons aan twee regels die niet onderhandelbaar zijn. Klantgegevens verlaten de productie omgeving niet, behalve op uitdrukkelijk verzoek van de operator. AI-modellen worden niet getraind op operator- of klantdata.
Architectuur
Insyte draait op een gescheiden, EU-residente infrastructuur. Geen multi-tenant database-rommel, geen schaduw-staging waar productiedata leeft.
- Hosting in Frankfurt, Duitsland (Hetzner), met geografisch redundante back-ups in een ander EER-datacenter.
- Gescheiden productie-, staging- en ontwikkelomgevingen. Staging en ontwikkeling gebruiken synthetische data; nooit een kopie van productie.
- Per operator één logisch tenant met row-level security op de database. Toegang vanuit de applicatie is altijd gefilterd op tenant.
- Privé netwerksegmenten tussen applicatie, database en object-storage. Administratieve toegang via gescheiden bastion en hardware-token.
Versleuteling
| Plek | Mechanisme |
|---|---|
| In transport | TLS 1.2 of hoger, HSTS afgedwongen op alle domeinen, perfect forward secrecy. |
| Database in rust | AES-256 op volume-niveau plus per-tenant kolomsleutels voor gevoelige velden. |
| Object-storage (uploads, bijlagen) | AES-256 server-side encryption met sleutelrotatie elke 90 dagen. |
| Back-ups | AES-256 op de back-up, separate sleutelhouder, alleen herstelbaar via twee-persoons-handeling. |
| Geheimen | Hashicorp Vault, korte-leven-tokens, geen plaintext in repositories of CI-omgevingen. |
Authenticatie en toegang
4.1Voor operators en teamleden
Wachtwoorden worden gehasht met Argon2id (geheugen 64 MiB, parallelisme 4). Twee-factorauthenticatie is verplicht voor de beheerder, sterk aanbevolen voor alle teamleden, en verplicht voor accounts op het plan Schaal en hoger. SSO via SAML 2.0 en OIDC is beschikbaar op Enterprise.
4.2Voor Insyte-medewerkers
Toegang tot productie is uitsluitend mogelijk vanaf beheerde laptops met volledige schijfversleuteling, via een hardware-token (YubiKey of WebAuthn-equivalent), met just-in-time toekenning per ticket en automatische intrekking na 4 uur. Elke handeling wordt geaudit op een append-only log buiten de applicatie-database.
Netwerk en perimeter
- Cloudflare aan de rand voor DDoS-mitigatie, rate-limiting en bot-detectie.
- Web application firewall met regels voor OWASP Top 10, getest tegen open testsuites.
- IP-allowlisting voor administratieve consoles en de SSH-bastion.
- Strikte content security policy en subresource integrity op alle publieke assets.
- CORS-allowlist beperkt tot insyte.co en bekende klantdomeinen die expliciet zijn toegestaan voor embeds.
Monitoring en logging
Iedere administratieve handeling, iedere wijziging in accountinstellingen en iedere export wordt gelogd met user-id, ip-adres, tijdstempel en korte beschrijving. De logs worden 24 maanden bewaard en zijn onveranderbaar gemaakt door append-only opslag in een aparte beveiligde omgeving.
Automatische alerting reageert op afwijkende patronen: massale exports, plotselinge inlogpogingen vanuit nieuwe regio's, abnormale API-volumes per token. Alerts gaan naar een 24/7 oncall-rotatie.
Kwetsbaarheidsbeheer
| Maatregel | Frequentie |
|---|---|
| Automatische dependency-scan en automatische pull requests voor patches | Dagelijks |
| Statische code-analyse en geheim-scanning in CI | Per pull request |
| Dynamische applicatie-scan tegen staging | Wekelijks |
| Onafhankelijke penetratietest door externe partij | Jaarlijks, en na elke materiële architectuurwijziging |
| Threat modeling op nieuw ontworpen flows | Per kwartaal en bij elke nieuwe persona of integratie |
Patch-SLA: kritieke kwetsbaarheden worden binnen 24 uur na vaststelling gepatcht in productie. Hoge ernst binnen 72 uur. Gemiddelde ernst binnen 14 dagen. Lage ernst meegenomen in de reguliere release-cadans.
Mensen en processen
- Achtergrondcheck bij elke nieuwe medewerker met productietoegang.
- Geheimhoudingsovereenkomst per contractant en per medewerker.
- Jaarlijkse verplichte training over informatiebeveiliging, AVG, en social engineering, met praktijktoetsen.
- Maandelijkse phishingsimulaties op alle medewerkers.
- Vier-ogen-principe op productie-deploys en op iedere wijziging in het toegangsbeleid.
- Onmiddellijke intrekking van toegang bij vertrek of overgang naar een rol zonder productietoegang.
Incident response
Voor security-incidenten houden wij een gedocumenteerd proces aan, dat we per kwartaal oefenen.
- Detectie via alerts of via een melding bij security@insyte.co.
- Triage binnen één uur in kantooruren, binnen vier uur buiten kantooruren, op basis van een vooraf gedefinieerde ernstmatrix.
- Inperking, bewijszekering en eerste analyse door de oncall-engineer.
- Communicatie naar getroffen operators binnen 48 uur na vaststelling van een Datalek, conform de DPA.
- Postmortem binnen 10 werkdagen, gedeeld op verzoek met de getroffen operators.
Continuïteit en herstel
| Doel | Norm |
|---|---|
| RPO (recovery point objective) | Maximaal 15 minuten dataverlies in een ramp-scenario. |
| RTO (recovery time objective) | Vier uur tot herstel naar volledig functionele dienst. |
| Back-up retentie | 30 dagen actief, 180 dagen koud, getest in een kwartaal-restore. |
| Datacenter-uitval | Failover naar tweede EER-datacenter binnen één uur, met automatische DNS-switch. |
Onze maandelijkse beschikbaarheidsdoelstelling is 99,9% en wordt gepubliceerd op status.insyte.co.
AI en data-isolatie
AI-aanroepen verlopen via gecontracteerde aanbieders met een expliciet verbod op het bewaren van prompts en op het trainen van modellen met klantdata. Prompts worden gestructureerd verstuurd, zonder onnodige metadata, en logs worden bij Insyte zelf met een korte retentie van 7 dagen bewaard voor foutopvolging.
De volledige lijst van AI-aanbieders, hun locatie en hun grondslag staat in bijlage A van de verwerkersovereenkomst. Operators op Enterprise kunnen kiezen voor een beperkte modellenlijst of voor EU-only-inferentie.
Compliance en audits
| Norm of attest | Status | Reikwijdte |
|---|---|---|
| AVG (GDPR) | Lopend, in productie | Volledige dienst. |
| ISO 27001 | Voorbereiding loopt, audit Q4 2026 | Volledige dienst. |
| SOC 2 Type I | Voorbereiding loopt, audit Q4 2026 | Productie-omgeving en kritieke processen. |
| NIS2 (richtlijn) | Gap-analyse afgerond, implementatie loopt | Operatie en incident response. |
| PCI DSS | Niet van toepassing | Insyte slaat geen kaartgegevens op; alle kaartgegevens lopen via Stripe (PCI DSS Level 1). |
Responsible disclosure
Onderzoekers en operators die een kwetsbaarheid vinden zijn welkom. Wij houden ons aan een coordinated disclosure-aanpak.
- Meld een vermoede kwetsbaarheid via security@insyte.co. PGP-sleutel op verzoek beschikbaar.
- Wij bevestigen ontvangst binnen één werkdag en geven een initiële inschatting binnen vijf werkdagen.
- Zolang het onderzoek loopt vragen wij geen publicatie. Na patch worden onderzoekers met toestemming benoemd in de jaarlijkse beveiligingsrapportage.
- Geen geautomatiseerd scannen, geen denial-of-service en geen toegang tot data van anderen dan jezelf. Binnen die grenzen vervolgen wij geen onderzoekers.
Wij overwegen een bug-bounty-programma voor 2027. Tot die tijd kennen wij waardering toe aan gerichte meldingen via een formele dankbetuiging en, op verzoek, vermelding in onze hall of fame.
Contact
Beveiligingsmeldingen: security@insyte.co. Algemene vragen over deze pagina: legal@insyte.co. Statuspagina: status.insyte.co.