1. Over dit document
1.1. Dit Security & Trust-document geeft inzicht in hoe DealSign.nl persoonsgegevens en documenten beschermt.
1.2. DealSign.nl is een platform voor digitaal ondertekenen van Mitss B.V. (KvK 42103487).
1.3. Technische details voor zakelijke klanten staan ook in Bijlage B van de verwerkersovereenkomst.
2. Beveiligingsfilosofie
2.1. DealSign.nl past privacy by design toe: tenant-isolatie, minimale opslag van identiteitsverificatiegegevens en versleuteling van geselecteerde gevoelige velden.
2.2. DealSign.nl beschikt niet over ISO 27001-, SOC 2- of vergelijkbare certificeringen.
2.3. DealSign.nl heeft geen 24/7 SOC-monitoring of externe APM (bijv. Sentry).
3. Infrastructuur
| Component | Beschrijving |
|---|---|
| Applicatie | Laravel 13, PHP 8.4 |
| Database | MySQL |
| Queue / cache | Redis, Laravel Horizon |
| Hosting | Hetzner Online GmbH, productie-VPS Duitsland |
| Documentopslag | Lokale opslag op productie-VPS |
| Database | Productie-VPS, Duitsland |
| Back-ups | Dagelijks op gescheiden Hetzner VPS, Duitsland |
| PDF-verwerking | Lokaal: LibreOffice, qpdf, Ghostscript |
| Transport | HTTPS/TLS in productie |
4. Toegangsbeheer en authenticatie
- Wachtwoordauthenticatie met bcrypt-hashing (12 rounds default)
- Optionele tweefactorauthenticatie via e-mail bij login vanaf niet-vertrouwde browser
- Optionele passkeys (WebAuthn)
- Tenant-isolatie tussen organisaties via middleware en policies
- Rolgebaseerde toegang binnen organisaties (Owner / Admin / Member)
- Beperkte platformbeheerderstoegang (e-mail-based admin gate)
- Horizon (queue monitoring) alleen voor beheerders
- Rate limiting op kritieke endpoints (signing, auth, admin, deployment)
5. Gegevensbescherming
5.1 Versleuteling en hashing
| Maatregel | Status |
|---|---|
| TLS/HTTPS voor transport | Ja |
| Laravel encrypted casts (AES-256-CBC) voor geselecteerde DB-velden | Ja |
| Versleutelde velden: telefoon, veldwaarden, IP in audit/signatures | Ja |
| Wachtwoord-hashing (bcrypt) | Ja |
| Uitnodigingstokens als hash | Ja |
| SMS-verificatiecodes als hash | Ja |
| Back-ups versleuteld | Ja — Restic client-side encryptie |
5.2 Integriteit en bewijsvoering
- SHA-256 documenthashketen voor documentversies
- Audit hashketen voor kritieke gebeurtenissen
- Webhook signature verification (Didit)
- Validatie van uploads (PDF/DOCX)
6. Organisatorische maatregelen
- Privacycontact en incidentmeldroute: [email protected]
- Geheimhoudingsplicht voor bevoegde personen
- Deployment via vast systemd-script (geen vrije shell)
- Deployment output sanitizer (geen secrets in logs)
- Productiechecklist met juridische en security-items
7. Back-ups en herstel
| Aspect | Waarde |
|---|---|
| Frequentie | Dagelijks, geautomatiseerd |
| Opslag | Afzonderlijke Hetzner VPS, Duitsland, gescheiden van productie |
| Encryptie | Restic client-side encryptie vóór verzending naar back-up-VPS |
| Sleutelbeheer | Decryptiesleutel niet op back-up-VPS; passwordmanager + noodkopie |
| Retentie dagelijks | 30 dagen |
| Retentie maandelijks | 12 maanden |
| Doel | Herstel, continuïteit, incidentafhandeling |
| Restore-tests | Periodiek — integriteit maandelijks; gedeeltelijke restore elk kwartaal; volledige restore jaarlijks |
8. Monitoring en logging
| Component | Retentie |
|---|---|
Applicatielog (laravel.log, daily) | 14 dagen |
| Horizon failed jobs | ~7 dagen |
Health endpoint /health | Operationeel (DB, Redis, storage, queue, scheduler) |
| Scheduler heartbeat | Elke minuut |
Externe APM (Sentry e.d.) is niet geïnstalleerd.
9. Incidenten en datalekken
9.1. Bij een datalek informeren wij betrokken klanten zonder onredelijke vertraging, waar mogelijk binnen 48 uur.
9.2. Meldingen aan de Autoriteit Persoonsgegevens geschieden wanneer wettelijk verplicht.
9.3. Zie verwerkersovereenkomst Bijlage E voor incidentinformatie aan zakelijke klanten.
10. Ondertekening en vertrouwen
10.1 Wat DealSign.nl levert
| Niveau | Status |
|---|---|
| Gewone elektronische handtekening (getekend/getypt + verklaring) | Ja |
| Aanvullende verificatie (e-mail, SMS, identiteit) | Ja |
| Geavanceerde elektronische handtekening (AES) volgens eIDAS | Nee |
| Gekwalificeerde elektronische handtekening (QES) | Nee |
10.2 Wat DealSign.nl niet garandeert
- Rechtskracht of bewijswaarde van handtekeningen of audit trails
- Acceptatie door elke rechter, instantie of tegenpartij
- Identiteit of bevoegdheid van ondertekenaars (ook niet na ID-verificatie)
11. Responsible disclosure
Beveiligingsonderzoekers kunnen kwetsbaarheden melden conform ons Responsible Disclosure-beleid.
12. Contact
| Onderwerp | Contact |
|---|---|
| Security / kwetsbaarheden | [email protected] |
| Privacy | [email protected] |
| Support | [email protected] |