vowlyevent
FunctiesHoe het werktVeelgestelde vragenSupportOver ons
Language
ENDEFRITTRESPLNLPT
InloggenDownload de app

Beveiliging
op elke laag.

Hoe we je gegevens en het Vowly Event-platform beschermen — versleuteling tijdens verzending en in rust, strikte toegangscontroles en security engineering, gebouwd op de gecertificeerde infrastructuur van Google Cloud.

Van kracht vanaf: 1 maart 2026
01

Versleuteling

Alle gegevens die het Vowly Event-platform in- en uitgaan, worden versleuteld met algoritmen die de industriestandaard vormen. We gebruiken TLS 1.3 met perfect forward secrecy voor gegevens tijdens verzending en AES-256 in GCM-modus voor gegevens in rust in onze primaire database, bestandsopslag en back-ups.

  • TLS 1.3 voor alle client–serververbindingen; opname in de HSTS-preloadlijst
  • AES-256-GCM-versleuteling in rust voor Firestore, Cloud Storage en back-ups
  • Versleutelde opslag van inloggegevens met bcrypt (work factor 12) en Argon2id voor nieuwere accounts
  • Cryptografisch sleutelbeheer via Google Cloud KMS met jaarlijkse sleutelrotatie
02

Toegangscontroles

We hanteren het principe van minimale rechten in alle systemen. Toegang tot de productieomgeving is beperkt tot een kleine groep engineers, vereist meervoudige authenticatie en elke bevoegde handeling wordt vastgelegd voor auditdoeleinden.

  • Op rollen gebaseerde toegangscontrole (RBAC), afgedwongen in alle interne tools
  • Verplichte hardware-beveiligingssleutels (FIDO2/WebAuthn) voor productietoegang
  • Just-in-time toegangsverleningen met automatisch verval (doorgaans 4 uur)
  • Uitgebreide auditlogging van alle administratieve handelingen
  • Driemaandelijkse toegangscontroles en geautomatiseerde offboarding binnen 1 uur na een rolwijziging
03

Infrastructuur

Vowly Event draait op Google Cloud Platform met primaire infrastructuur in de regio europe-west3 (Frankfurt) en multiregionale replicatie binnen de EU. Onze infrastructuur is ontworpen voor veerkracht, schaalbaarheid en naleving van de regelgeving inzake EU- en VK-dataopslag.

  • Cloudprovider: Google Cloud Platform (ISO 27001, SOC 2 Type II, ISO 27017, ISO 27018)
  • Primaire regio: europe-west3 (Frankfurt, Duitsland)
  • Database: Cloud Firestore met multiregionale replicatie (eur3)
  • CDN & DDoS-bescherming: Cloudflare met rate limiting en botmitigatie
  • Dagelijkse versleutelde back-ups met 35 dagen bewaring en driemaandelijkse hersteltests
04

Monitoring & detectie

We monitoren het platform 24/7 met geautomatiseerde meldingen voor afwijkingen, beveiligingsgebeurtenissen en prestatieverslechtering. Ons incidentresponseteam staat paraat om kritieke problemen binnen enkele minuten aan te pakken.

  • Realtime beveiligingsmonitoring op ongewone inlogpatronen en credential stuffing-pogingen
  • Application Performance Monitoring (APM) met anomaliedetectie
  • Web Application Firewall (WAF) en rate limiting op alle openbare endpoints
  • Continue kwetsbaarheidsscans voor afhankelijkheden (npm audit, Snyk)
  • Jaarlijkse penetratietests door externe, CREST-geaccrediteerde bedrijven
05

Veilige ontwikkelcyclus

Beveiliging is geïntegreerd in elke fase van onze softwareontwikkelcyclus. We volgen de best practices van OWASP en verplichten dat alle codewijzigingen geautomatiseerde beveiligingscontroles doorstaan vóór uitrol naar de productieomgeving.

  • Verplichte peer code review voor alle wijzigingen; geen directe commits naar productie-branches
  • Static Application Security Testing (SAST) bij elke pull request
  • Software Composition Analysis (SCA) om kwetsbare afhankelijkheden te identificeren
  • Geautomatiseerde beveiligingsheaders (CSP, X-Frame-Options, Referrer-Policy)
  • Secret scanning en -preventie via git pre-commit hooks
06

Incidentrespons

Ondanks onze beste inspanningen is geen enkel platform immuun voor beveiligingsincidenten. Als we een inbreuk in verband met persoonsgegevens detecteren, volgen we een gedocumenteerd incidentresponseplan en stellen we de getroffen gebruikers en de Britse ICO binnen 72 uur op de hoogte, in overeenstemming met artikel 33 van de UK GDPR.

  • Gedocumenteerd incidentresponseplan met gedefinieerde ernstniveaus
  • Wachtdienstrooster met een responstijd-SLA van 15 minuten voor kritieke incidenten
  • Verplichte post-mortem en herstel voor alle P0/P1-incidenten
  • Toezegging tot melding van inbreuken binnen 72 uur aan toezichthoudende autoriteiten en getroffen gebruikers
In geval van een bevestigde inbreuk in verband met persoonsgegevens die je gegevens treft, nemen we rechtstreeks per e-mail contact met je op en bieden we begeleiding bij beschermende stappen.
07

Naleving & certificeringen

Vowly Event is gebouwd op infrastructuur met toonaangevende beveiligingscertificeringen en is zo ontworpen dat het voldoet aan de eisen van meerdere privacy- en beveiligingskaders.

  • UK GDPR & EU GDPR — volledige naleving, inclusief registers conform artikel 30 en DPIA's
  • UK Data Protection Act 2018
  • PCI DSS — Stripe verwerkt alle betaalgegevens; wij houden een SAQ-A-scope aan
  • Regelmatige beveiligingsbeoordelingen, audits van afhankelijkheden en hardening van onze infrastructuur
  • SOC 2 Type II — certificering van de infrastructuuraanbieder (Google Cloud)
08

Verantwoorde melding

We waarderen de hulp van de beveiligingsgemeenschap om ons platform veilig te houden. Als je een kwetsbaarheid ontdekt, meld die dan op security@vowly.co met een duidelijke beschrijving, reproductiestappen en je contactgegevens. We verbinden ons ertoe meldingen binnen 48 uur te bevestigen en met je samen te werken aan tijdlijnen voor verantwoorde melding.

Misbruik kwetsbaarheden niet, test ze niet op de productieomgeving en maak ze niet openbaar voordat we een redelijke gelegenheid hebben gehad om ze te verhelpen.

Een kwetsbaarheid melden

We verwelkomen verantwoorde meldingen van de beveiligingsgemeenschap. Neem contact op met ons beveiligingsteam om kwetsbaarheden of beveiligingsproblemen te melden.

security@vowly.co