Onze security-aanpak
We passen security engineering-principes toe gedurende de gehele projectcyclus, niet als afvinklijst, maar als kerncompetentie.
Security by design
Securitybeslissingen worden genomen in de architectuurfase, niet daarna. Threat modelling, authenticatie- en autorisatieontwerp, dataclassificatie en toegangscontrolegrenzen worden gedefinieerd voordat er een regel code geschreven wordt.
Dataprivacy & AVG
Alle systemen die we bouwen voldoen aan de van toepassing zijnde gegevensbeschermingsregelgeving. We implementeren dataminimalisatie, doelbinding, retentiebeleid en procedures voor toegangsverzoeken van betrokkenen by default voor elk systeem dat persoonsgegevens verwerkt.
Veilige codepraktijken
Onze engineeringteams volgen de OWASP secure coding guidelines. Dependency scanning, secret detection en statische analyse zijn geïntegreerd in onze CI/CD-pipelines. We verhelpen kwetsbaarheden voordat ze productie bereiken.
AI-specifieke security
AI-systemen introduceren unieke risico's: prompt injection, lekkage van trainingsdata, modelvergiftiging en adversarial inputs. We ontwerpen AI-systemen met deze bedreigingsvectoren in gedachten, niet als naderhand.
Infrastructuurbeveiliging
Netwerksegmentatie, versleutelde opslag, veilig secrets management, minimale rechten en geharde containerimages zijn standaard in onze infrastructuurconfiguraties. Productieomgevingen volgen het least-privilege-principe door de hele stack heen.
Incidentrespons
Elk productiesysteem dat we beheren, heeft een gedocumenteerd incidentrespons-playbook. We definiëren ernstsniveaus, escalatiepaden, communicatieprotocollen en processen voor post-incident-reviews voordat iets live gaat.
Compliancekaders waarmee we werken
We helpen klanten compliancevereisten te navigeren in gereguleerde sectoren.
AVG / GDPR
Gegevensbescherming by design en by default. We implementeren DPIA's voor risicovolle verwerking, datamapping, toestemmingsbeheer en procedures voor datalekken voor elk systeem dat EU-persoonsgegevens verwerkt.
ISO 27001-afstemming
Onze securitypraktijken zijn afgestemd op de ISO 27001-principes voor informatiebeveiligingsbeheer. We ondersteunen klanten die aan certificering werken door systemen en processen te bouwen die aansluiten bij de standaard.
SOC 2-gereedheid
Voor SaaS-platforms en dataverwerkingssystemen ontwerpen we met de SOC 2 Type II-criteria in gedachten: security, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacycontroles.
NIS2-bewustzijn
Voor klanten in sectoren die vallen onder de EU NIS2-richtlijn (kritieke infrastructuur, digitale diensten, gezondheidszorg) bouwen we systemen met de incident-rapportage- en veerkrachtvereisten van NIS2 in gedachten.
Financiële diensten (DORA)
Voor fintech- en financiëledienstverlenersklanten ontwerpen we systemen in lijn met de DORA-operationele veerkrachtvereisten: ICT-risicobeheer, incidentclassificatie en governance van derde-partijrisico.
Gezondheidszorg & AVG zorg
Voor zorgklanten die beschermde gezondheidsinformatie verwerken, implementeren we technische en administratieve waarborgen die zijn afgestemd op de toepasselijke regelgeving, inclusief audittrails en toegangsregistratie.
Heb je een specifieke compliancevereiste?
Neem contact op, we leggen uit hoe we kunnen helpen en wat we zouden implementeren voor jouw context.