GetSam
InloggenGratis proberen
Trust Center

Beveiliging

GetSam is ontworpen met beveiliging als fundament. Hieronder vind je een overzicht van de technische en organisatorische maatregelen die wij treffen.

ISO 27001 — Werkend naar certificering

GetSam implementeert de technische controls van ISO 27001:2022. Formele certificering vereist een externe audit door een geaccrediteerde certificeringsinstelling (bijv. DNV, BSI, DEKRA). Wij werken actief aan het behalen van de certificering.

Toegangscontrole

ISO 27001 A.8.2–A.8.5

  • Rolgebaseerde toegang (RBAC)

    Owner / Admin / User — elke rol ziet alleen wat nodig is

  • Twee-factor authenticatie (TOTP)

    Google Authenticator, Authy of elke RFC 6238 app

  • Wachtwoordhashing

    bcrypt met 12 rondes — plain-text wachtwoorden nooit opgeslagen

  • Account-blokkering

    Na 10 mislukte pogingen: 15 minuten geblokkeerd

  • Rate limiting

    Login, registratie en wachtwoordreset worden per IP beperkt

  • Multi-tenant isolatie

    Elk bedrijf ziet uitsluitend eigen data

Infrastructuur & versleuteling

ISO 27001 A.8.20–A.8.24

  • HTTPS / TLS 1.2+ verplicht

    Let's Encrypt certificaat via Certbot, auto-renew

  • HSTS ingeschakeld

    max-age=63072000, includeSubDomains, preload

  • Databaseversleuteling

    PostgreSQL met versleuteling voor gevoelige kolommen (AES-256)

  • EU-hosting

    Servers in Europa — data verlaat de EER niet

  • Firewall & network isolation

    Docker interne netwerken, alleen publieke poort 443

  • Security headers

    X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy

Logging & monitoring

ISO 27001 A.8.15–A.8.16

  • Audit log voor beveiligingsgebeurtenissen

    Inlog, 2FA, dataexport, verwijdering — 12 maanden bewaard

  • Failed login tracking

    Per account en IP bijgehouden

  • Automatische dataretentie

    Berichten ouder dan 12 maanden worden maandelijks gewist

  • Foutmelding zonder stacktrace

    Technische details nooit zichtbaar voor eindgebruikers

Privacybescherming (AVG/GDPR)

ISO 27001 A.5.34 + AVG

  • Toestemmingsvastlegging bij registratie

    Tijdstempel opgeslagen conform AVG Art. 7

  • Recht op vergetelheid

    Volledige dataverwijdering op verzoek (Art. 17)

  • Dataportabiliteit

    JSON-export van alle persoonsgegevens (Art. 20)

  • Privacy-kennisgeving bij eerste contact

    Automatisch bij eerste WhatsApp/email bericht

  • AI-melding bij bellen

    Beller geïnformeerd vóór gegevensverwerking (Telecomwet)

  • Verwerkersregister

    Sub-processors gedocumenteerd in privacyverklaring

Incidentrespons

ISO 27001 A.5.26

  • Contactpunt beveiligingsincidenten

    security@getsam.nl — reactie binnen 24 uur

  • Meldplicht datalekken

    Conform AVG Art. 33 — binnen 72 uur bij AP

  • Responsible disclosure

    Kwetsbaarheden melden via security@getsam.nl

Vragen over beveiliging? Mail naar security@getsam.nl

Kwetsbaarheid gevonden? Meld het via responsible disclosure naar hetzelfde adres.

Laatste update: mei 2026