Ga naar inhoud
Beveiliging

Beveiligingsbeleid

Verantwoorde openbaarmaking, afhandeling van kwetsbaarheden en onze toewijding aan de beveiliging van uw gegevens.

Laatst bijgewerkt: mei 2026

01 Beleid voor verantwoorde openbaarmaking

InfoPeak waardeert security-onderzoekers en verwelkomt verantwoorde openbaarmaking van kwetsbaarheden. Ontdekt u een beveiligingsprobleem in een InfoPeak-dienst, dan verzoeken wij u dit aan ons te melden.

Meld een kwetsbaarheid

security@infopeak.io

Voor gevoelige meldingen kunt u onze openbare PGP-sleutel opvragen.

02 Reikwijdte

De volgende diensten en assets vallen onder verantwoorde openbaarmaking:

  • infopeak.io - hoofdapplicatie en website
  • auth.infopeak.io - authenticatiedienst
  • InfoPeak Pass - browserextensie
  • InfoPeak VPN - mobiele en desktop-apps

03 Richtlijnen voor openbaarmaking

Wij vragen security-onderzoekers deze richtlijnen te volgen:

  • Geef voldoende details om de kwetsbaarheid te reproduceren.
  • Raad geen gegevens van andere gebruikers aan, wijzig ze niet en verwijder ze niet.
  • Voer geen denial-of-service-aanvallen of social engineering uit.
  • Geef ons redelijke tijd (90 dagen) om het probleem op te lossen vóór openbare openbaarmaking.

04 Reactietijdlijn

72 uur

Wij bevestigen de ontvangst van uw melding.

14 dagen

Wij geven een eerste beoordeling en een verwachte oplossingstermijn.

90 dagen

Wij streven ernaar alle bevestigde kwetsbaarheden binnen dit venster op te lossen.

05 Safe Harbor

InfoPeak zal geen juridische stappen ondernemen tegen security-onderzoekers die kwetsbaarheden te goeder trouw ontdekken en melden conform dit beleid. Wij beschouwen security-onderzoek onder dit beleid als geautoriseerd en starten geen juridische claims voor het omzeilen van technische maatregelen wanneer het onderzoek conform dit beleid plaatsvindt.

06 Incidentrespons & melding van datalekken

Bij een beveiligingsincident of datalek volgt InfoPeak deze procedures conform de NIS2-richtlijn (EU) 2022/2555 en AVG-artikelen 33 en 34:

  • Binnen 24 uur: Vroege waarschuwing aan het relevante nationale CSIRT (Computer Security Incident Response Team).
  • Binnen 72 uur: Volledige incidentmelding aan de toezichthouder (AVG) en CSIRT (NIS2), inclusief omvangsbeoordeling en mitigerende maatregelen.
  • Zonder onnodige vertraging: Getroffen gebruikers worden per e-mail geïnformeerd met duidelijke informatie over de aard van het lek, betrokken gegevens, genomen maatregelen en aanbevolen acties.
  • Binnen 1 maand: Een eindrapport wordt ingediend bij de bevoegde autoriteiten met oorzaakanalyse en preventieve maatregelen.

07 Beveiligingsarchitectuur

InfoPeak past de volgende beveiligingsmaatregelen toe als onderdeel van onze inzet voor de Cyber Resilience Act (CRA):

  • Versleuteling at rest: AES-256-CBC voor alle opgeslagen gebruikersgegevens.
  • Versleuteling in transit: TLS 1.3 voor alle verbindingen.
  • Zero-knowledge-architectuur: Persoonlijke versleutelingssleutels worden client-side afgeleid. InfoPeak heeft geen toegang tot uw versleutelde inhoud.
  • Alleen EU-hosting: Alle infrastructuur bevindt zich binnen de Europese Unie.
  • Regelmatige beveiligingsupdates: Afhankelijkheden en infrastructuur worden continu gemonitord en bijgewerkt.