Juridisch — Toqen

Beveiliging en verantwoorde openbaarmaking

Wij implementeren passende technische en organisatorische maatregelen ter bescherming van persoonsgegevens en de veiligheid van de dienst, en verwelkomen verantwoorde meldingen van kwetsbaarheden.

TL;DR

  • Beveiligd transport en versleuteling waar passend.
  • Strikte toegangscontroles, omgevingsscheiding en monitoring.
  • Responsible disclosure met een safe-harbor-toezegging voor onderzoek te goeder trouw.

Beveiligingsmaatregelen

Wij onderhouden een beveiligingsprogramma dat is ontworpen om de vertrouwelijkheid, integriteit en beschikbaarheid van de Toqen-dienst en de daarmee verband houdende verwerking van persoonsgegevens te beschermen. Onze maatregelen worden geselecteerd en onderhouden op basis van een risicogebaseerde aanpak, rekening houdend met de stand van de techniek, implementatiekosten en de aard, omvang, context en doeleinden van de verwerking, evenals de risico’s voor betrokkenen.

  • Versleuteling tijdens transport met gebruik van actuele TLS-standaarden; versleuteling van gegevens in rust waar passend en ondersteund door de relevante infrastructuur.
  • Toegangscontroles volgens het principe van minimale bevoegdheid, waaronder beperkte administratieve toegang en, waar passend, scheiding van taken.
  • Logische scheiding tussen ontwikkel-, test- en productieomgevingen, met controles ter beperking van het risico op ongeoorloofde toegang en gegevensblootstelling.
  • Technische en organisatorische maatregelen om misbruik en aanvallen te detecteren en te beperken, zoals rate limiting, bot-mitigatie en replaybescherming waar van toepassing.
  • Monitoring, logging en waarschuwingen ter ondersteuning van beveiligingsoperaties, incidentdetectie en probleemoplossing, met toegang tot logs beperkt tot geautoriseerd personeel en serviceprocessen.
  • Veilige softwareontwikkelpraktijken, waaronder code-reviews en geautomatiseerde tests gericht op het identificeren van beveiligings- en betrouwbaarheidsproblemen.
  • Bescherming van Launch Partner-deelnamegegevens en gerelateerde administratieve gegevens in beveiligde systemen met toegang beperkt tot geautoriseerd personeel en serviceprocessen.

Wij beoordelen onze technische en organisatorische maatregelen regelmatig en actualiseren deze waar passend in lijn met veranderende risico’s en wijzigingen in de dienst.

Om veiligheidsredenen maken wij geen gevoelige details over specifieke controles, configuraties of detectiemechanismen openbaar.

AVG en EU-gegevensbeschermingsbeginselen

Onze dienst is ontworpen met inachtneming van de EU-gegevensbeschermingsbeginselen, waaronder dataminimalisatie, doelbinding, integriteit, vertrouwelijkheid en opslagbeperking.

Waar technisch haalbaar en passend bij de gekozen functionaliteit, is de dienst ontworpen om onnodige langdurige opslag van persoonsgegevens te beperken en om standaard geen identiteitsgerichte profielen te vereisen.

Nadere informatie over de verwerking van persoonsgegevens, waaronder bewaartermijnen, doorgiften en rechten van betrokkenen, is opgenomen in ons Privacybeleid. Wanneer Toqen persoonsgegevens verwerkt namens een partner, wordt deze relatie beheerst door de Data Processing Addendum (DPA) en toepasselijke gegevensbeschermingsovereenkomsten.

Passende technische en organisatorische maatregelen worden geïmplementeerd ter ondersteuning van de beveiliging van de verwerking overeenkomstig artikel 32 van de AVG.

Responsible disclosure

Indien u meent een beveiligingskwetsbaarheid te hebben ontdekt die Toqen treft, meldt deze dan via hi@toqen.app en verstrek voldoende details zodat wij het probleem kunnen reproduceren en onderzoeken.

Wij beoordelen meldingen die te goeder trouw worden ingediend volgens een responsible-disclosurebenadering en streven ernaar geldige meldingen binnen een redelijke termijn te bevestigen. Wij kunnen om aanvullende informatie of afstemming verzoeken om risico’s voor gebruikers en partners te beperken.

Safe harbor: Wij zullen geen juridische stappen ondernemen tegen personen die beveiligingsonderzoek te goeder trouw uitvoeren, mits zij (i) de toepasselijke wetgeving naleven, (ii) privacyinbreuken, gegevensvernietiging en verstoring van de dienst vermijden, (iii) geen gegevens benaderen, verzamelen, bewaren, gebruiken of openbaar maken die verder gaan dan noodzakelijk om de kwetsbaarheid aan te tonen, (iv) de kwetsbaarheid onverwijld aan ons melden en ons een redelijke gelegenheid geven om deze te verhelpen en (v) de kwetsbaarheid of exploitdetails niet openbaar maken vóór herstel of vóórdat een gecoördineerde openbaarmakingstermijn is overeengekomen.

Infrastructuur- en dienstverleners

Wij maken gebruik van gevestigde infrastructuur- en dienstverleners voor het exploiteren en beveiligen van de dienst. Waar deze aanbieders persoonsgegevens verwerken, treden zij op als verwerker of subverwerker onder passende contractuele voorwaarden, inclusief verplichtingen inzake gegevensbescherming en beveiliging, zoals vereist door toepasselijk recht.

Beveiligingscontroles worden geïmplementeerd via gelaagde technische en organisatorische maatregelen. Hoewel wij geen gevoelige implementatiedetails openbaar maken, streven wij ernaar beveiligingspraktijken duidelijk, nauwkeurig en niet-misleidend te communiceren.