Korte, eerlijke antwoorden op de vragen die je beveiligingsteam zal stellen.
We publiceren wat we doen en, net zo belangrijk, wat we niet doen. Geen retargeting van scanners, geen pixels van derden, geen ruwe IP's of user-agents in onze database, nooit. Voor de uitgebreide dataresidentie-uitsplitsing zie /security/; voor live uptime zie /status/.
1. Privacy-first analytics
Per ADR-0004 logt de scan-pipeline nooit een IP-adres of ruwe User-Agent. Bij binnenkomst lezen we CF-IPCountry (land) en classificeren we de UA via een apparaatklasse-regex (mobile / tablet / desktop / unknown), waarna de ruwe string wordt weggegooid. Stadsgegevens zijn een samengevoegde rollup van request.cf.city, geen per-scan rij, geen koppelbaar identificatiegegeven. Landen met minder dan 5 scans worden samengevoegd in "Overig" ter bescherming tegen heridentificatie.
2. Versleutelde back-ups
Elke nacht om 03:00 UTC maakt een aparte Worker een snapshot van D1 naar R2. Back-ups zijn AES-GCM versleuteld met een KDF-geroteerde dataksleutel gewikkeld door BACKUP_ENCRYPTION_KEY. Elk pakket heeft een SHA-256-digest + manifest voor manipulatiedetectie (zie de backups-tabel). Retentie: 7 jaar voor Pro-tenants. De encryptiesleutel wordt bewaard in drie onafhankelijke kopieën (Worker-secret, 1Password-kluis, sealed offline), het verliezen van alle drie zou historische back-ups onherstelbaar maken, dus we behandelen het als één operationeel ankerpunt.
3. API Shield + strikte CSP
Onze openbare OpenAPI 3.1-spec wordt geüpload naar Cloudflare API Shield en elk verzoek naar /api/* wordt gevalideerd. Schema-drift wordt geëlimineerd door een post_deploy-hook die de spec bij elke productiedeploy opnieuw uploadt. Aan de frontend verbiedt een strikte Content Security Policy overal inline scripts, elke pagina verwijst naar zijn JS via <script src>, en onze pre-deploy make check weigert een pagina te verzenden die de regel schendt.
4. Auditlog + GDPR-register
Elke mutatie (code aanmaken/patchen/verwijderen, teamuitnodiging, sleuteluitgifte, abonnementswijziging, webhookbewerking) schrijft een alleen-toevoegen rij naar audit_log met actor, scope en tijdstempel, 180 dagen bewaard en door de sweeper verwijderd. Het GDPR-verzoekregister (gdpr_requests) bijhoudt elk export- / verwijder- / herstelverzoek; rijen overleven accountverwijdering (FK ON DELETE SET NULL, e-mail bewaard) zodat we jaren na verwijdering van het account nog kunnen bewijzen dat elk wettelijk verzoek tijdig is nagekomen.
5. Authenticatiebeveiliging
Authenticatie is gedelegeerd aan de gedeelde abundera.ai-identiteitslaag (EdDSA JWT via JWKS). Beschikbaar voor Pro-klanten:
- 2FA (TOTP), RFC 6238 tijdgebaseerde eenmalige wachtwoorden, elke standaard authenticator-app, reservecodes uitgegeven bij inschrijving.
- SAML 2.0 SSO, Okta, Entra ID, JumpCloud, Google Workspace, eigen IdP's. Beschikbaar op Team+ (inbegrepen bij Agency/Enterprise).
- SCIM 2.0-provisioning, RFC 7643/7644 gebruikers- + groepslevenscyclus, per-token gelimiteerd, auditgelogd. Standaard uitgeschakeld; per klant ingeschakeld.
- API-sleutels, Business+, opgeslagen als
sha256(raw); ruweabnd_qrpro_...-waarde wordt alleen teruggegeven bij aanmaken en nooit daarna.
6. Subverwerkers
De korte lijst: Cloudflare (hosting, D1, KV, R2, API Shield), Stripe (betalingen), Zoho / ZeptoMail (transactionele e-mail), Twilio (telefoonverificatie + SMS). Zie /trust/subprocessors/ voor de volledige lijst met regio's, datacategorieën en ons 30-daagse wijzigingsnotificatieverplichting.
7. Gegevensverwerkingsovereenkomst
Onze GDPR-conforme DPA (EU SCC's, VK-addendum, Zwitsers FADP-addendum) is downloadbaar op abundera.ai/legal/dpa/. Hij is automatisch van toepassing op alle betalende abonnementen, geen aparte ondertekening vereist tenzij je inkoopproces dat vereist (we tekenen op verzoek via legal@abundera.ai).
8. SOC 2
SOC 2 Type II, in uitvoering, doel Q3 2026. We zijn in afbakenings- / observatievensterplanning met een Big-4-gerelateerd auditkantoor. Totdat het rapport is uitgegeven, zullen we geen SOC 2-badge weergeven. Als SOC 2-afsluiting een harde inkoopvereiste is voor jou vandaag, mail enterprise@abundera.ai, we kunnen huidige controlebewijs, onze conceptsysteembeschrijving en de verwachte attestdatum delen onder NDA.
9. Geen pixels van derden, nooit
Dit is een wezenlijke belofte en een productgrens, geen standaard die we stilletjes zouden kunnen wijzigen. We injecteren niet Google Analytics, Google Tag Manager, Meta Pixel, TikTok Pixel, LinkedIn Insight, Hotjar, FullStory of andere trackers van derden, niet in onze redirect-antwoorden, niet in onze gehoste landingspagina's, niet in dashboardoppervlakken die je scanners zien. Je scanners worden nooit geretarget. Als je pixel-gebaseerde attributie nodig hebt op je eigen bestemming, voeg je eigen UTM- (of pixel-)parameters toe aan de bestemmings-URL; wij blijven buiten de loop. De redirect zelf is een 302 van onze worker naar jouw URL, niets anders draait.
10. Verantwoorde disclosure
Iets gevonden? Begin bij /.well-known/security.txt voor de actuele contactgegevens, PGP-sleutel en scope. Mail security@abundera.ai, we bevestigen binnen 24u (werkdagen), triagen binnen 72u en stemmen fix + disclosure met je af. Onderzoekers die te goeder trouw rapporteren, krijgen publieke erkenning op abundera.ai/security/thanks/ zodra een fix live gaat.
11. Status + uptime
Live status, componentgezondheid en incidentgeschiedenis staan op /status/. Het redirect-hotpad wordt elke 5 minuten gemonitord door een externe Worker; verminderde of uitgevallen componenten worden binnen één peilingcyclus weergegeven op de statuspagina.