Beveiliging

Kaartgegevens blijven veilig bij ons

Wij beveiligen kaartgegevens in onze PCI DSS Level 1-vault: versleuteld, alleen opgeslagen in Europese datacenters, met elke toegang gelogd. U raakt nooit het kaartnummer aan, u werkt alleen met tokens.

Certificering

PCI DSS Level 1

Dit is het hoogste niveau van PCI-naleving. Onze vault wordt elk jaar geaudit door onafhankelijke assessors, en u erft een groot deel van die bescherming.

Jaarlijkse audit

Een gekwalificeerde PCI-assessor (QSA) verifieert elk jaar dat wij aan alle vereisten voldoen. Het rapport is beschikbaar voor betalingsnetwerken en op verzoek ook voor u.

Kwartaalscans

Elk kwartaal scannen wij internetgerichte infrastructuur. Als wij iets vinden om te herstellen, lossen wij het op vóór de volgende scan.

Minder last voor u

Omdat kaartgegevens in onze vault staan, krimpt uw PCI-bereik. U kunt vaak een eenvoudigere vragenlijst (SAQ A) invullen in plaats van alles zelf te beheren.

Alleen Europa

Kaartgegevens verlaten de EU nooit

Wij slaan kaartgegevens alleen op en verwerken ze binnen de Europese Unie. Geen kopieën buiten Europa, geen niet-EU-cloud voor vault-operaties.

Gebouwd voor AVG

Verwerkersovereenkomsten, rechtsgronden en documentatie zijn al geregeld. U weet waar de gegevens zijn en wie ze beheert: wij, in de EU.

Datacenters in Duitsland en Nederland

Redundante infrastructuur met hoge beschikbaarheid. Disaster recovery blijft ook binnen Europese grenzen.

Geen doorgifte naar het buitenland

Versleutelingssleutels, token-koppelingen en auditlogs blijven onder EU-jurisdictie. Geen risico's door gegevensoverdracht buiten Europa.

Wat wij garanderen

Kaartgegevens alleen opgeslagen in EU-datacenters
Versleutelingssleutels gegenereerd en bewaard in de EU
AVG art. 28 conforme DPA beschikbaar
Geen niet-EU-subverwerkers voor de vault
Disaster recovery binnen EU-grenzen
Versleuteling

Versleuteld at rest en in transit

Kaartgegevens reizen nooit in platte tekst. Wij versleutelen ze bij opslag en bij transport tussen onze systemen.

01

AES-256 in de vault

At rest

Elk kaartnummer in de vault wordt versleuteld met AES-256. Sleutels blijven beschermd in dedicated hardware (HSM). Wij exporteren ze nooit in platte tekst.

02

TLS 1.3 in transit

Alleen beveiligde verbindingen

API's en betalingsflows gebruiken TLS 1.3. Oudere versies zijn uitgeschakeld. Zelfs als iemand verkeer onderschepte, kon hij het niet ontsleutelen.

03

Sleutelrotatie

Geen downtime

Master-sleutels roteren jaarlijks, zoals PCI DSS vereist. Herversleuteling verloopt op de achtergrond: voor u en uw klanten verandert er niets.

AES-256

Versleuteling at rest

TLS 1.3

Tussen systemen

Jaarlijks

Sleutelrotatie

Dedicated hardware

Sleutels staan in een HSM

Een HSM is een manipulatiebestendig hardware-apparaat waarin wij versleutelingssleutels genereren en bewaren. Kaartnummers verlaten het nooit in platte tekst.

FIPS 140-2 Level 3 gecertificeerd

Een erkende standaard voor hardwarebeveiliging. Als iemand het apparaat fysiek probeert te openen, worden sleutels automatisch vernietigd.

Sleutels gegenereerd in de HSM

Generatie, rotatie en vernietiging gebeuren alleen binnen de HSM-grens. Wij bewaren master-sleutels nooit op schijf of in generieke cloudopslag.

Manipulatiebestendigheid

Dedicated sensoren en behuizingen detecteren fysieke toegangspogingen. Bij afwijkingen wordt cryptografisch materiaal gewist.

Hoe een verzoek verloopt

Uw API-verzoek (TLS 1.3)
PCI Proxy Engine Ontvangt kaartgegevens en maakt het token
HSM (FIPS 140-2 L3) Genereert sleutels en versleutelt kaartgegevens
Versleutelde vault (AES-256) Kaartnummer versleuteld, sleutels alleen in HSM
Actieve bescherming

Anti-misbruikcontroles

Naast versleuteling en tokenisatie monitoren wij elk verzoek. Als iets verdacht lijkt, blokkeren of markeren wij het voordat het een probleem wordt.

Ratelimits

Wij detecteren ongebruikelijke pieken in verzoeken van hetzelfde account, IP of API-sleutel. Configureerbare drempels activeren tijdelijke blokkades en waarschuwen het securityteam.

Verdachte patronen

Wij analyseren verkeer op ongebruikelijk gedrag: sequentieel testen, atypische volumes, geografische inconsistenties. Gemarkeerde verzoeken worden gestopt volgens uw beleid.

24/7 monitoring

Ons securityteam volgt fouten, latency en gegevenstoegang. Bij afwijkingen reageren wij binnen minuten.

Externe tests

Wij worden ook van buitenaf getest

Wij stoppen niet bij PCI-audits: regelmatige penetratietests en scans door derden verifiëren dat de vault solide blijft.

01

Penetratietests

Tweemaal per jaar simuleren geaccrediteerde firma's aanvallen op ons netwerk en onze API's. Elk gevonden probleem wordt hersteld en opnieuw geverifieerd.

02

Kwetsbaarheidsbeheer

Wekelijkse interne scans van alle componenten. Kritieke problemen worden opgelost binnen vastgestelde termijnen: de ernstigste binnen 24 uur.

03

SOC 2 Type II-rapport

Jaarlijks verifiëren onafhankelijke auditors beveiliging, beschikbaarheid en vertrouwelijkheid. Op verzoek onder NDA delen wij het rapport met klanten.

04

Veilige ontwikkeling

Elke codewijziging doorloopt review en geautomatiseerde tests. Voordat wij de vault aanraken, beoordelen wij risico's gestructureerd.

Als er iets gebeurt

Incidentresponse

Wij hopen dat het nooit gebeurt. Maar bij een security-incident detecteren wij het, beperken wij het en houden wij u transparant op de hoogte.

24/7
Monitoring

Altijd actief

Real-time log- en alertcorrelatie over de volledige infrastructuur

<15m
Detectie

Eerste respons

Wij classificeren de ernst en starten containment binnen 15 minuten

<72h
Communicatie

Wij informeren u

Indien nodig informeren wij binnen 72 uur zoals vereist door AVG en PCI

Daarna
Verbetering

Analyse en herstel

Post-mortem met corrigerende maatregelen om herhaling te voorkomen

Beschikbaarheid: 99,95% uptime met automatische failover. Een productie-incident wordt binnen 5 minuten geëscaleerd naar het senior team.

99,95% uptime
Certificeringen

Standaarden die wij naleven

PCI DSS, ISO 27001, ISO 9001, SOC 2, AVG, DORA en gecertificeerde hardware: niet alleen labels, maar jaarlijks geverifieerde controles.

PCI DSS L1

Hoogste PCI-niveau

FIPS 140-2 L3

Gecertificeerde HSM-hardware

SOC 2 Type II

Geverifieerde controles

AVG

Gegevens alleen in de EU

ISO 27001

Informatiebeveiliging

ISO 9001

Kwaliteitsmanagement

DORA

Operationele veerkracht

Jaarlijkse PCI-audit

Volledig conformiteitsrapport

Kwartaalscans

Externe kwetsbaarheden

Halfjaarlijkse penetratietests

Geaccrediteerde derden

Wilt u weten hoe wij uw betalingen beschermen?

Wij beheren de PCI-vault. U integreert de API en werkt met tokens. Minder risico, minder papierwerk, dezelfde betalingen.