Trust Center
Laatste update: 17 april 2026
Finibase neemt de beveiliging van de verwerkingsactiviteiten zeer serieus en heeft de volgende technische en organisatorische maatregelen geïmplementeerd om de vertrouwelijkheid, integriteit en beschikbaarheid van de Persoonsgegevens te waarborgen.
Beveiligingsmaatregelen
A. Vertrouwelijkheid en encryptie
Data-in-transit-encryptie
Alle dataverkeer tussen gebruiker, platform en onderliggende diensten is versleuteld met TLS 1.2/1.3. HTTP-verkeer wordt afgedwongen via HSTS.
Data-at-rest-encryptie op opslagniveau
Inactieve data wordt opgeslagen op versleutelde NVMe SSD-volumes met AES-256-GCM, geïmplementeerd in een hardwaremodule op de instance.
Applicatielaag-encryptie voor gevoelige velden
Voor de meest gevoelige velden passen we op applicatieniveau een extra encryptielaag toe bovenop de opslagencryptie. Zo blijft deze data onleesbaar, ook als de onderliggende opslag doorbroken zou worden.
Verplichte channel binding op databaseverbindingen
Iedere applicatieverbinding naar de productiedatabase wordt afgedwongen met channel_binding=require. Dit voegt wederzijdse authenticatie toe bovenop TLS en vormt zo een extra verdedigingslaag tegen man-in-the-middle-aanvallen, ook als TLS zelf doorbroken zou worden.
B. Toegang en authenticatie
Multi-factor authenticatie
Toegang tot het Finibase Platform verloopt via onze authenticatieprovider, die multi-factor authenticatie (MFA) afdwingt.
Rolgebaseerd toegangsbeheer
Geregistreerde Gebruikers krijgen binnen de Dienst rollen en rechten toegekend die bepalen welke data en functies zij kunnen raadplegen of wijzigen.
Scheiding tussen server- en client-logica
Code die toegang geeft tot gevoelige systemen of data is gemarkeerd als serverside-only, zodat deze nooit in de browser-bundle van de gebruiker terechtkomt.
Behoud volledige controle over uw data
Finibase past een beleid toe dat u op elk moment alle data die wij opslaan kan opvragen of laten verwijderen.
C. Isolatie per kantoor
Dedicated infrastructuur voor productiedata en identiteit
Elke Klant krijgt bij onboarding een eigen, geïsoleerd database-project (eigen cluster, eigen credentials) en een eigen identity-context (eigen IAM-scope). Data en identiteit zijn op infrastructuurniveau gescheiden van andere Klanten.
Afgedwongen isolatie in de applicatielaag
De applicatie weigert verzoeken waarin de tenant-scope niet overeenstemt met de geauthenticeerde sessie. Elk identificatieveld wordt gevalideerd tegen strikte whitelist-patronen.
Geïsoleerde client-side cache
Data in de browsercache wordt gesleuteld per gebruiker en tenant-scope, zodat data van verschillende kantoren niet in dezelfde cache-entry kan terechtkomen.
D. Infrastructuur en platform
Beveiligde datacenters
Alle klantdata wordt opgeslagen in gecertificeerde datacenters in de Europese Economische Ruimte, regio Frankfurt, continu geauditeerd op compliance met industriestandaarden (waaronder ISO 27001 en SOC 2).
HTTP security headers
Elke response bevat een gehardhede set security headers: CSP met per-request nonce, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin-when-cross-origin, restrictieve Permissions-Policy, en Cross-Origin-Opener/Embedder/Resource-Policies.
DDoS-mitigatie
Applicatie-hosting verloopt via een cloud-platform met automatische DDoS-mitigatie.
E. Applicatiebescherming
Edge-firewall en bot-detectie
Het cloud-platform filtert verdacht en geautomatiseerd verkeer aan de netwerkrand, vóór het de applicatie bereikt. Dit blokkeert bekende bot- en scraping-patronen, aanvals-signatures en verdachte geo-origins.
Rate limiting
Gevoelige eindpunten worden beperkt per gebruiker en tenant via een gedistribueerde rate-limiter, waardoor misbruik, brute-force en scraping worden tegengehouden.
Realtime aanvalsdetectie in de applicatielaag
Inkomend verkeer wordt binnen de applicatie extra gescand op bekende aanvalspatronen. Verdachte verzoeken worden geweigerd en gelogd voor verder onderzoek.
Inputvalidatie
Alle externe input wordt gevalideerd op type, lengte en patronen met een strikte whitelist-benadering vóór verwerking.
F. Ontwikkel- en leveringsproces
Statische code-analyse (SAST) bij elke update
De broncode wordt bij elke update automatisch gecontroleerd op kwetsbaarheden via static application security testing.
Supply-chain bescherming op developer-machines
Alle developer-machines draaien Aikido safe-chain om malafide pakketten tijdens installatie te detecteren.
Automatische kwetsbaarheidsscans van dependencies in CI
Elke update wordt gescand op bekende kwetsbaarheden in third-party dependencies. Updates met gekende kwetsbaarheden worden automatisch geblokkeerd.
Snelle mitigatie bij bekende kwetsbaarheden
Zodra een kwetsbaarheid bekend wordt in een externe library die deel uitmaakt van onze stack, dwingen we een veilige versie af, ook als die library slechts indirect wordt gebruikt.
Automatische controle op Klant-isolatie
Een geautomatiseerde controle blokkeert updates waarbij nieuwe queries geen duidelijke Klant-scope bevatten, zodat data van verschillende Klanten nooit in dezelfde cache kan terechtkomen.
Strikte code-kwaliteitseisen
Elke update moet slagen voor een strikte set geautomatiseerde kwaliteitscontroles, waaronder regels die onveilig databasegebruik voorkomen. Code die niet voldoet, wordt automatisch geblokkeerd voor ze in productie kan terechtkomen.
G. Observability
Error monitoring
Fouten en uitzonderingen worden in productie vastgelegd in een error-monitoring-systeem zodat incidenten snel opgespoord en verholpen kunnen worden.
Infrastructuurmonitoring
Uptime, latency en beschikbaarheid worden bewaakt met automatische alarmering aan het Finibase-team.
Productanalytics
Gebruiksstatistieken worden verzameld via een productanalytics-dienst met hosting in de Europese Economische Ruimte.
H. Best-in-class providers voor security-gevoelige componenten
Voor security-gevoelige componenten (database, cache, authenticatie, hosting, achtergrondprocessen, monitoring) kiest Finibase niet voor eigen implementaties, maar voor gespecialiseerde providers met auditeerbare compliance-certificeringen, waaronder GDPR, ISO 27001 en SOC 2 Type II.