Security

Security-praktijk bij
SIA

Hoe we jouw data, operatie en vertrouwen beschermen. EU-hosting, ISO 27001 gecertificeerd, overal versleuteld, onafhankelijk getoetst.

Infrastructuur

SIA draait op cloud-infrastructuur binnen de EU met fysieke toegangscontrole, 24/7 monitoring en redundant stroom- en netwerkvoorzieningen. Alle klantdata (operationele data, documenten, foto's) wordt opgeslagen in de Europese Unie.

  • Primaire regio: Nederland
  • Redundante backups in een andere EU-regio
  • Dagelijkse encrypted backups met 30 dagen retentie
  • Geteste disaster-recovery procedures

Versleuteling

  • In transit: TLS 1.3 voor alle connecties. HSTS afgedwongen. Perfect forward secrecy.
  • At rest: AES-256 voor databases, object storage en backups.
  • Secret-beheer: Credentials en sleutels in een beheerde secrets vault met automatische rotatie.

Toegangsbeheer

  • Role-based access control (RBAC): aparte rollen voor HSE-managers, crew, auditors en admins
  • Single Sign-On (SSO via SAML / OIDC) beschikbaar voor enterprise klanten
  • Multi-factor authenticatie (MFA) ondersteund voor alle accounts, verplicht voor admin-rollen
  • Principle of least privilege voor interne engineering-toegang. Productie-toegang vereist goedkeuring, wordt gelogd en gereviewd.

Applicatie-security

  • Secure development lifecycle volgens OWASP ASVS
  • Dependencies continu gescand op kwetsbaarheden
  • Statische en dynamische security-tests in CI
  • Security code reviews voor alle kritische wijzigingen
  • Responsible disclosure programma (zie onder)

Monitoring & incident response

  • Gecentraliseerde logging en SIEM met anomaly-detection
  • 24/7 alerting voor security- en availability-incidenten
  • Gedocumenteerd incident-response plan met duidelijke rollen en escalatie
  • Klantnotificatie binnen 72 uur na bevestiging van een datalek dat hun data betreft (conform AVG)

Audits & compliance

  • ISO 9001 gecertificeerd voor kwaliteitsmanagement
  • ISO 27001 gecertificeerd voor informatiebeveiliging
  • Jaarlijkse onafhankelijke penetratietests op het SIA-platform
  • Jaarlijkse interne ISMS-audits en management reviews
  • AVG-conforme processen: DPIA's voor nieuwe features met persoonsgegevens, Verwerkersovereenkomsten met alle subverwerkers

Certificaten en audit-samenvattingen zijn beschikbaar voor (potentiële) klanten onder NDA. Contact: security@odinqhse.com.

Business continuity

  • Recovery Time Objective (RTO): 4 uur
  • Recovery Point Objective (RPO): 1 uur
  • Jaarlijkse DR-oefeningen met gedocumenteerde uitkomsten
  • Publieke statuspagina (coming soon) voor real-time beschikbaarheid

Dataverwerking

  • Klant-content wordt nooit gebruikt om third-party AI-modellen te trainen zonder expliciete toestemming
  • Data is geïsoleerd per tenant met strikte toegangsgrenzen
  • Export op elk moment mogelijk in standaardformaten (CSV, PDF, JSON)
  • Verwijdering op verzoek: uit productie binnen 30 dagen, uit backups binnen de backup-retentieperiode

Responsible disclosure

Security-issue gevonden? Meld het privé bij security@odinqhse.com. We bevestigen binnen 48 uur, bevestigen of weerspreken de melding binnen 7 dagen, en publiceren credits (indien gewenst) na de fix. We ondernemen geen juridische actie tegen goedbedoelde onderzoekers die deze policy volgen.

Test niet tegen klant-productiedata, voer geen DoS uit, en maak niets publiek voordat we tijd hebben gehad om te fixen.

Contact

Security-vragen, VWO's, audit-aanvragen: security@odinqhse.com