Veilig en Vertrouwd

De Storecove hardware infrastructuur, gehost door Amazon Web Services, voldoet aan de PCI-DSS hardware standaard, is ISO 27001 gecertificeerd en wordt regelmatig gescand door onze partner Acunetix:

Waar wordt Storecove gehost?

Storecove is een cloud web applicatie. Op dit moment draait Storecove op Amazon Web Services en onze servers bevinden zich fysiek in Europa. Het is mogelijk dat we in de toekomst andere cloud providers gebruiken die ook voldoen aan onze beschikbaarheid- en veiligheideisen indien wij daartoe aanleiding zien.

Alle data uitgewisseld met Storecove wordt verzonden over beveiligde (TLS) verbindingen. Onze publieke web applicatie draait uitsluitend op HTTPS en onze interne netwerk verbindingen (tussen service lagen, databases en caches) worden op transportlaag niveau geencrypt daar waar nodig of nuttig.

Welke gevoelige gegevens worden door Storecove opgeslagen?

Voor de Storecove dienstverlening is het noodzakelijk dat wij gevoelige gegevens opslaan op onze servers. Wij bewaren bijvoorbeeld facturen, credentials of OAuth tokens. Wij zullen altijd een token bewaren indien mogelijk en we bewaren alleen wachtwoorden indien absoluut noodzakelijk voor het leveren van onze dienst.

Hoe slaat Storecove mijn gegevens op?

Al uw gevoelige gegevens worden geencrypt opgeslagen. We gebruiken uitsluitend open-source cryptografische libraries en standaard algorithmen (AES-256 voor symmetrische operaties en RSA 4096 bit for asymmetrische operaties). We schrijven nooit onze eigen cryptografische code en passen nooit bestaande libraries aan.

De informatie die wij opslaan wordt regelmatig gebackuped door onze cloud providers. Deze backups worden opgeslagen in hetzelfde formaat als het origineel en is daarom even veilig.

Wanneer encrypt Storecove mijn gegevens?

De sleutels om uw gegevens de decrypten staan op een zeer beperkt aantal Storecove servers. Deze sleutels worden uitsluitend op deze machines zelf bewaard en worden nooit in source code bewaard. De servers die in staat zijn uw gegevens de decrypten draaien in een aparte applicatie welke niet toegankelijk is vanuit het publieke internet. Dit betekent dat mochten Storecove's publieke servers worden aangevallen, de master encryption keys niet gecompromiteerd worden.

Uw informatie wordt alleen gedecrypt wanneer nodig om namens u een operatie uit te voeren. Gedecrypte gegevens worden nooit naar disk geschreven of gelogd.

Zijn mijn gegevens beschikbaar voor Storecove medewerkers?

Het is technisch mogelijk voor een klein deel van de Storecove medewerkers om toegang te verkrijgen tot uw gegevens. Ons bedrijfsbeleid verbiedt dit. Ons interne controle systeem verhindert dat dit gebeurt. We decrypten nooit handmatig uw gegevens, zelfs niet wanneer we problemen met onze systemen of van derde partijen onderzoeken. We hebben een set van interne tools waarmee onze werknemers hun werk gebruik makend van uw gegevens kunnen uitvoeren, zonder toegang te geven tot de gedecrypte versie of onze beveiligde servers..

Een zeer klein deel van de Storecove werknemers heeft toegang tot de servers waarop de sleutels om uw gegevens te decrypten staan. Deze toegang wordt uitsluitend verleend aan medewerks voor wie deze absoluut noodzakelijk is. Derde partijen of ingehuurd personeel krijgen nooit toegang tot Storecove's master keys. Alle toegang en pogingen tot toegang tot Storecove servers wordt gelogd.

Welke gegevens legt Storecove vast?

Zoals elke web applicatie legt Storecove vast hoe onze servers elke binnenkomende request afhandelen. Deze informatie komt terecht in logs welke gebruikt worden om bugs op te lossen en om performance en uptime van onze applicatie te meten. We zorgen er voor dat in deze logs geen gevoelige informatie terecht komen.

Hoe beveiligt Storecove mijn gegevens?

Storecove gebruikt uitsluitend moderne web frameworks en gebruikt de best practices van die frameworks voor de toegangsbeveiliging. Wij houden bij welke bug- en security patches in onze systemen moeten worden toegepast in voeren deze ook door. Wij hebben de externe beveiligingsfirma Acunetix ingeschakeld om regelmatig penetratie tests en audits uit te voeren op onze systemen en zullen deze ook in de toekomst regelmatig blijven uitvoeren.

Wat kan ik doen als ik een probleem in de beveiliging vind met Storecove?

Graag aan ons doorgeven! Wij werken actief samen met security researchers die ethisch omgaan met dit soort zaken. Neem contact op met security@storecove.nl met de details van het probleem dat is ontdekt. Wij behandelen deze met de hoogste prioriteit. En we zullen geen juridische stappen ondernemen richting hen die volledige openheid geven en geen misbruik maken van kwetsbaarheden.