Beveiliging

Zo houden wij uw ideeën veilig.

Laatst bijgewerkt: 23 april 2026

De Nederlandse vertaling is een werkversie. De Engelse versie is leidend tot verdere vertaling door een juridisch vertaler.

Infrastructuur

Sparqbox draait op Supabase (managed Postgres) in de Europese Unie, regio Frankfurt. Al het netwerkverkeer verloopt via TLS 1.3 met moderne cipher suites. Gegevens worden in rust versleuteld met AES-256 op de onderliggende infrastructuur. Assets van de marketingsite worden uitgeleverd via het wereldwijde CDN van Vercel; daar worden geen persoonsgegevens opgeslagen.

Authenticatie

Gebruikersaccounts gebruiken authenticatie met e-mail en wachtwoord via Supabase Auth, met bcrypt-gehashte wachtwoorden en strikte wachtwoordvereisten. SSO (SAML/OIDC) is beschikbaar op het Scale-niveau via een setupgesprek met ons team. Sessietokens zijn alleen geldig binnen het subdomein van de app; gedeelde sessies over meerdere subdomeinen zijn niet ingeschakeld.

Multi-tenant architectuur

Elke werkruimte is geïsoleerd door meerdere defense-in-depth-lagen: row-level security policies in Postgres, tenant-scope die in de backend op elke query wordt afgedwongen, en afzonderlijke servicerollen per klasse van tenant-operaties. Een werkruimte kan via geen enkel ondersteund pad de gegevens van een andere werkruimte lezen.

Toegang tot en export van gegevens

U blijft eigenaar van alle gegevens in uw werkruimte. Self-service CSV-export is op elk moment beschikbaar in het beheergedeelte van de werkruimte. Destructieve handelingen (verwijderde ideeën, verwijderde gebruikers, gesloten werkruimtes) worden gelogd in een onveranderlijke audittabel, die beheerders via support kunnen opvragen.

Compliance

  • AVG (GDPR): volledig compliant. Zie ons privacybeleid voor rechten van betrokkenen, contactgegevens van de FG en de lijst met verwerkers.
  • SOC 2 Type II: in voorbereiding, streefdatum Q4 2026. Wij werken deze pagina bij met de attestatiedetails zodra dit is afgerond. Op dit moment doen wij geen SOC 2-claim.
  • ISO 27001: bij de launch niet nagestreefd. Wordt heroverwogen op basis van klantvraag.

Engineeringpraktijken

  • Wachtwoorden worden gehasht met bcrypt; geen opslag in platte tekst, nergens.
  • Alle databasetoegang verloopt via geparametriseerde queries; geen SQL via stringconcatenatie.
  • Secrets worden beheerd via omgevingsvariabelen, roteren volgens schema en worden nooit in versiebeheer opgenomen.
  • Geautomatiseerde afhankelijkheidsscans bij elke pull request; kwetsbaarheden worden binnen één week (hoge ernst) of 30 dagen (gemiddelde ernst) opgepakt.
  • Waar mogelijk infrastructure-as-code; handmatige configuratiewijzigingen worden door Dennis gereviewd.

Incidentrespons

Dennis Jacobs is het beveiligingscontact. Meld vermoedelijke incidenten bij security@sparqbox.com. Voor kritieke incidenten (blootstelling van gegevens, omzeiling van authenticatie) garanderen wij een reactie binnen 24 uur. Voor incidenten met hoge ernst 48 uur. Getroffen klanten worden binnen 72 uur na bevestiging van een incident per e-mail geïnformeerd, conform artikel 33 AVG.

Responsible disclosure

Beveiligingsonderzoekers: stuur uw bevindingen naar security@sparqbox.com. Wij bevestigen binnen 48 uur, spreken een tijdslijn voor de fix af en vermelden onderzoekers (met hun toestemming) op deze pagina zodra de fix is uitgerold. Wij voeren op dit moment geen betaald bugbounty-programma, maar waarderen verantwoorde melding.

Back-ups en bedrijfscontinuïteit

Werkruimtegegevens worden dagelijks geback-upt, met een retentie van 30 dagen. Streefwaarden voor herstel (RTO/RPO): vier uur / één uur op het Scale-niveau, op basis van inspanningsverplichting voor Starter en Growth. Back-ups worden opgeslagen in de EU-regio.

Vragen

Enterprise-klanten die een beveiligingsreview of DPIA willen: stuur een e-mail naar hello@sparqbox.com en wij plannen een gesprek.