Zo houden wij uw ideeën veilig.

1. Overzicht

Sparqbox verwerkt interne bedrijfsideeën. Op deze pagina leest u hoe wij die gegevens vertrouwelijk, beschikbaar en intact houden. Voor inkoopteams: combineer deze met onze verwerkersovereenkomst, onze subverwerkerslijst en ons privacybeleid. Beveiligingsonderzoekers: stuur een e-mail naar support@sparqbox.com. Wij bevestigen binnen twee werkdagen.

2. Infrastructuur

Klantgegevens worden in rust opgeslagen binnen de Europese Unie. Verwerking buiten de EU is beperkt tot specifieke functies en wordt gedekt door modelcontractbepalingen of het EU-US Data Privacy Framework, per subverwerker. De volledige lijst staat op sparqbox.com/subprocessors.

3. Versleuteling

• Bij transport: TLS 1.2+ met moderne cipher suites op elk publiek endpoint. HSTS op productie-hosts.
• In rust: AES-256 op de onderliggende database en object-opslag.
• Secrets: opgeslagen in versleutelde omgevingsvariabelen beheerd door onze hostingproviders, nooit in versiebeheer opgenomen. Roteren volgens schema en na elke personeelswijziging.

4. Tenant-isolatie

Wij gebruiken een defense-in-depth-model met drie onafhankelijke lagen, zodat een fout in één laag de gegevens van een andere werkruimte niet kan blootstellen:

• Laag 1 (Identiteit): elke geauthenticeerde request bevat een JWT, ondertekend met ES256, met daarin de tenant-identifier. Tokens zijn kortlevend; refresh-tokens zijn intrekbaar.
• Laag 2 (Applicatie): de backend leidt de tenant-scope uitsluitend af van de geverifieerde JWT. Door de client aangeleverde tenant-identifiers in body of querystring worden genegeerd.
• Laag 3 (Database): row-level security policies op elke business-tabel dwingen de tenant-scope opnieuw af op de opslaglaag.

5. Toegangsbeheer

• Productie-toegang is beperkt tot een kleine, benoemde groep; elke toegang wordt gelogd en gereviewd.
• Reguliere support vereist geen toegang tot klantgegevens; wanneer toegang tot klantgegevens nodig is, vereist dit klanttoestemming en wordt het gelogd.
• MFA is verplicht voor alle interne accounts (hosting, code forge, e-mail).
• Credentials roteren volgens schema en na elke personeelswijziging.

6. Authenticatie

• Standaard e-mail + wachtwoord, met strikte wachtwoordregels en brute-force-bescherming (rate limiting + lockout).
• SSO (SAML of OIDC) op het Scale-niveau via setup met ons team.
• Sessietokens zijn kortlevend; refresh-tokens zijn intrekbaar. Sessie-delen tussen subdomeinen is uitgeschakeld.

7. AI-verwerking

AI-ondersteunde functies draaien op de Claude-API van Anthropic. Wanneer ingeschakeld in uw werkruimte wordt de inhoud van ideeën ter verwerking naar Anthropic gestuurd. Anthropic verwerkt deze gegevens onder hun commerciële voorwaarden en gebruikt klantgegevens van Sparqbox niet om modellen te trainen. AI doet uitsluitend aanbevelingen. Een definitieve beslissing wordt nooit door AI alleen genomen. AI-functies kunnen op werkruimteniveau worden uitgeschakeld; in dat geval wordt er geen inhoud van ideeën naar Anthropic gestuurd.

8. Back-ups en uitwijk

• Dagelijkse versleutelde back-ups met 30 dagen retentie.
• Point-in-time recovery binnen een venster van 7 dagen.
• Versleutelde back-upkopieën in een andere regio.
• Herstelprocedures zijn gedocumenteerd en worden periodiek getest.

9. Kwetsbaarhedenbeheer

• Geautomatiseerde afhankelijkheidsscans bij elke pull request.
• Code review is verplicht vóór merge naar main; productiedeployments zijn auditeerbaar.
• Patches voor hoge ernst binnen 7 dagen; gemiddelde ernst binnen 30 dagen.
• Jaarlijkse onafhankelijke penetratietest gepland, Q4 2026.

10. Logging en monitoring

• Gecentraliseerde applicatie- en infrastructuurlogs.
• Anomaliealerts voor inlogpatronen, betaalgebeurtenissen en AI-kostenpieken.
• Onveranderlijke auditlog voor destructieve en administratieve handelingen (verwijderen van ideeën, gebruikers, werkruimtes, wijzigingen van beheerdersrollen).

11. Incidentrespons

Wij hebben een gedocumenteerd incidentenproces met duidelijke rollen en een 24-uurs triage-commitment voor actieve klantomgevingen. Getroffen klanten worden zonder onnodige vertraging geïnformeerd. Waar wettelijk vereist informeren wij de bevoegde toezichthoudende autoriteit binnen 72 uur na ontdekking, conform artikel 33 AVG. Elk incident wordt gevolgd door een post-incident-review, met lessen die teruggevoerd worden naar engineering en operations.

12. Compliance

Wij claimen geen certificeringen die wij niet hebben. Waar een attestatie in voorbereiding is, vermelden wij dat expliciet.

13. Responsible disclosure

Beveiligingsonderzoekers: stuur een e-mail naar support@sparqbox.com. Vermeld de betrokken URL of endpoint, een duidelijk reproductiepad en de impact die u zag. Wij bevestigen binnen twee werkdagen en spreken een tijdslijn voor de fix af. Met uw toestemming vermelden wij onderzoekers op deze pagina zodra de fix is uitgerold. Wij ondernemen geen juridische stappen tegen onderzoek te goeder trouw dat binnen deze richtlijnen blijft: geen exfiltratie van gegevens verder dan nodig om het probleem aan te tonen, geen privacyinbreuk, geen verstoring van de dienst, geen social engineering tegen medewerkers of klanten.

14. Subverwerkers

De volledige subverwerkerslijst, inclusief doel, gegevenscategorie, locatie en doorgiftemechanisme, staat op sparqbox.com/subprocessors. Werkruimtebeheerders worden ten minste 30 dagen van tevoren per e-mail geïnformeerd voordat wij een nieuwe subverwerker toevoegen die persoonsgegevens verwerkt.

15. Contact

• Beveiligingsincidenten en disclosure: support@sparqbox.com
• Privacy en verzoeken van betrokkenen: support@sparqbox.com
• Inkoop en vragenlijsten: support@sparqbox.com