Looop
|

Databeveiliging

Versie 1.0 – Laatste update: mei 2026

De beveiliging van uw gegevens is een kernprioriteit voor Looop. Op deze pagina beschrijven wij de technische en organisatorische maatregelen die wij treffen om uw gegevens te beschermen.

1. Hosting en infrastructuur

  • Platform hosting: Vercel (CDN + edge network, serverless functions)
  • Database: Supabase (PostgreSQL), gehost in de EU (Frankfurt, Duitsland)
  • Bestandsopslag: Supabase Storage (private buckets, toegang alleen via signed URLs met beperkte geldigheid)
  • Authenticatie: Clerk (SOC 2 Type II gecertificeerd)

2. Versleuteling

  • Data in transit: TLS 1.2 / 1.3 versleuteling voor alle verbindingen
  • Data in rust: AES-256 versleuteling voor databaseopslag en bestandsopslag
  • Wachtwoorden: worden nooit opgeslagen — authenticatie via Clerk met industry-standard hashing
  • API-sleutels: worden opgeslagen als versleutelde omgevingsvariabelen, niet in code

3. Toegangscontrole

  • Multi-tenancy: elke organisatie heeft een strikt gescheiden dataomgeving; cross-tenant toegang is technisch onmogelijk
  • Rol-gebaseerde toegang (RBAC): vier niveaus (Eigenaar, Beheerder, Bewerker, Kijker) met gedifferentieerde rechten
  • Intern (Looop-medewerkers): productiedata is alleen toegankelijk voor geautoriseerde engineers, via MFA-beveiligde accounts
  • Audit log: alle acties op contracten en gebruikerswijzigingen worden gelogd met tijdstempel en gebruiker

4. Authenticatie en sessiebeveiliging

  • Multi-factor authenticatie (MFA) beschikbaar voor alle gebruikers
  • Automatische sessie-expiratie bij inactiviteit
  • Beveiligde JWT-tokens met beperkte geldigheidsduur
  • Signed URLs voor documenttoegang met een maximale geldigheid van 60 seconden

5. Netwerk- en applicatiebeveiliging

  • DDoS-beveiliging via Vercel Edge Network en Cloudflare
  • Web Application Firewall (WAF)
  • Rate limiting op API-endpoints om misbruik te voorkomen
  • Content Security Policy (CSP) headers
  • Regelmatige dependency-updates en beveiligingsscans via geautomatiseerde pipelines

6. Operationele beveiliging

  • Geautomatiseerde dagelijkse back-ups van de database
  • Back-ups worden versleuteld opgeslagen en getest op herstelbaarheid
  • Incidentresponsproces inclusief melding aan betrokken Klanten bij datalekken
  • Monitoring en alerts op ongebruikelijke toegangspatronen

7. Organisatorische maatregelen

  • Geheimhoudingsverklaringen voor alle medewerkers en externe partijen met toegang tot systemen
  • Minimale datamachtiging (need-to-know principe)
  • Periodieke beveiligingsreviews van code en infrastructuur
  • Verantwoordelijk omgaan met kwetsbaarheidsmeldingen (responsible disclosure)

8. Responsible Disclosure

Heeft u een beveiligingslek gevonden? Wij stellen uw melding op prijs. Stuur uw bevinding naar [INVULLEN: security e-mailadres] met een beschrijving van de kwetsbaarheid. Wij reageren binnen 5 werkdagen en lossen het probleem zo snel mogelijk op.

9. Contact

Voor vragen over onze beveiligingsmaatregelen kunt u contact opnemen via [INVULLEN: e-mailadres] of bekijk onze Verwerkersovereenkomst en Privacyverklaring.

Databeveiliging – Looop