Beveiliging die je kunt navragen.

Beveiliging is bij RespondHero geen losse module. Elke architectuurkeuze (tenant isolatie via RLS, magic-link auth, hallucinatie-guardrails) is mede ingegeven door risico op datalek, fouten of misbruik. We zijn vandaag een single-founder organisatie zonder ISO 27001 certificering. Dat betekent niet dat de basis er niet ligt; het betekent dat we eerlijk zijn over waar we staan.

Onze klanten zijn mid-market webshops met €2 tot €25 miljoen omzet. Voor hen is de balans tussen aantoonbare zorgvuldigheid en operationele werkbaarheid belangrijker dan een certificeringssticker. Voor enterprise of zorg-organisaties verwijzen we eerlijk door tot we onze certificeringsroadmap hebben afgerond.

Elke klant is een aparte tenant in onze Postgres-database. Iedere rij in een tenant-tabel draagt een verplicht tenant_id, en Postgres Row-Level Security wordt afgedwongen op database-niveau. Een API-call zonder geldige tenant-claim ziet domweg geen rijen, ongeacht wat de SQL-query probeert.

We werken met een dubbele veiligheidslaag. De repository-laag voegt een explicieteWHERE tenant_id = ? filter toe op elke query. RLS op de database staat daaronder als vangnet. Eén van beide is voldoende; samen beschermen ze tegen menselijke fouten in code-reviews en tegen losse SQL-queries van admins.

Een verplichte CI-test (test_tenant_isolation.py) controleert bij elke pull request dat een JWT van tenant A geen data van tenant B kan zien. Bij regressie breekt de build. De keuze en motivatie staat in onze publieke architecture decision records (ADR-0003).

Alle persistente data is versleuteld at rest met AES-256, beheerd door Supabase. Backups staan in dezelfde regio en zijn op dezelfde wijze versleuteld. Sleutelrotatie volgt het Supabase-schema; we beheren geen eigen sleutels boven die laag uit.

Verkeer in transit gaat over TLS 1.3. Onze marketing site, dashboard, API en widget forceren HSTS. We accepteren geen onversleutelde verbindingen.

Productietoegang is beperkt tot de oprichter. Inloggen op het dashboard, op Supabase management en op Railway gebeurt met multi-factor authenticatie. We delen geen gedeelde accounts en gebruiken geen sleutelpaar zonder rotatieschema.

Binnen een tenant kennen we vier rollen: owner (volledige toegang inclusief facturering), admin (operationeel volledig, geen facturering), editor (kennisbank en configuratie, geen destructieve acties) en viewer (alleen lezen). De tenant-owner beheert deze rollen zelf.

Super-admin acties (impersonate-tenant voor support) worden gelogd met tijdstempel, actor en doel-tenant. Een klant kan dit logboek opvragen via privacy@respondhero.com.

We loggen elke API-request met structured logs (JSON). Iedere log-regel bevat een request-id en, waar van toepassing, tenant-id en gebruikers-id. Application logs bewaren we 30 dagen, security-relevante events 90 dagen.

Foutdetectie loopt via Sentry. We sturen geen volledige request-bodies naar Sentry zodat eindklant-PII niet onbedoeld in error-tracking belandt; alleen de minimale metadata die nodig is om de fout te reproduceren.

We monitoren actief op kosten-uitschieters per tenant (signaal voor misbruik), op tenant-id mismatches (signaal voor een mogelijk isolatie-probleem) en op authenticatie-fouten in patronen die op enumeration wijzen.

AI-systemen kunnen feitelijk onjuiste antwoorden geven. Het Hallon-arrest van 2026 in Nederland heeft bevestigd dat uitspraken van een chatbot juridisch worden toegerekend aan de inzettende organisatie. Wij behandelen dit niet als ongemak maar als kerneis op de architectuur.

• Tool-classificatie. Elke actie die de AI kan uitvoeren is geclassificeerd als safe (alleen lezen), confirm_required (vereist menselijke goedkeuring vóór uitvoering) of forbidden (nooit autonoom). Refunds, garantie en wijzigingen aan bestellingen vallen altijd onder confirm_required.
• Live data, geen geheugen. Prijzen, voorraad, orderstatus en levertijd komen altijd uit de live API van het shop-platform. Het AI-model gebruikt deze waarden alleen op het moment van antwoord.
• "Ik weet het niet" als verplichte fallback. Bij lage zekerheid of bij risicovolle onderwerpen draagt de AI over naar een mens. Verzinnen is niet toegestaan via systeemprompt en evals.
• Volledige gespreklogging met 90 dagen retentie. Voor audit-trail en voor de correctie-SLA van vier uur die wij richting onze klanten contractueel vastleggen.
• Disclaimer richting eindklant. Widget en WhatsApp-opener vermelden dat ze met een AI-medewerker praten.
• Eval-suite in CI. Elke pull request die prompts, tools of RAG-logica raakt draait een eval-suite met 50+ canonieke vragen per vertical en taal. Drempelwaarden: 95% pass op safety-evals, 80% op kwaliteits-evals.

We werken met een aantal zorgvuldig gekozen partners voor LLM, voice, email en hosting. Een actuele lijst, met locatie en doel per partij, staat op de pagina subverwerkers. Wijzigingen kondigen we minimaal 14 dagen vooraf aan.

Bij een datalek of beveiligingsincident gelden vaste stappen: containment binnen 24 uur, melding aan getroffen klanten binnen 24 uur na detectie, melding aan de Autoriteit Persoonsgegevens binnen 72 uur indien meldingsplichtig.

We delen een postmortem met de getroffen klanten, met daarin de tijdlijn, de oorzaak, de impact en de structurele maatregel. We nemen het postmortem op in onze interne kennisbank zodat dezelfde fout niet twee keer langskomt.

We maken expliciet welke certificeringen we vandaag wel en niet hebben.

• AVG / GDPR: volledig van toepassing, ingebed in dataflows en in onze privacyverklaring.
• DPA standaard meegeleverd: elke klant ondertekent een verwerkersovereenkomst conform AVG artikel 28. Zie de volledige tekst.
• SOC 2 Type I readiness: doelstelling Q3 2027. We hebben de basis voor de Trust Service Criteria (Security, Availability, Confidentiality) in techniek en proces, maar nog geen formele audit doorlopen.
• ISO 27001 certificering: doelstelling 2027 of zodra een enterprise klant deze formeel vereist. We voeren al jaarlijkse access reviews uit en houden een risicoregister bij, maar zonder externe audit.
• Penetratietest: jaarlijkse externe pentest is op de roadmap voor Q4 2026. Vóór die tijd voeren we kwartaal-zelfaudits uit volgens OWASP ASVS Level 1.

We claimen geen certificeringen die we niet hebben. Komt een prospect met een security-questionnaire, dan vullen we hem volledig in en zijn we open over open punten.

Vond je een kwetsbaarheid in onze widget, API of dashboard, neem dan contact op via security@respondhero.com. We bevestigen je melding binnen één werkdag en houden je op de hoogte van de oplossing.

We voeren responsible disclosure uit. We vragen je om geen klantdata te downloaden, geen denial-of-service uit te voeren en een redelijke remediatie-termijn te respecteren voordat je publiceert. Een PGP-sleutel publiceren we hier zodra een onderzoeker erom vraagt.

We hebben vandaag geen formeel bug-bounty programma. Wel waarderen we serieuze meldingen met een vermelding (op verzoek), een credit op deze pagina en een aandenken.