Demo aanvragenDemo
Security statement

Hoe we onszelf beveiligen.

Pulse Comply runt zijn eigen bedrijf volgens de standaarden die het platform ondersteunt. Hieronder een transparant overzicht van hoe we dat doen.
Laatst bijgewerkt: 17 juni 2026
ISO 27001 en NEN 7510 als basis
We hanteren beide kaders als referentiemodel voor onze interne werkwijze. Formele certificering is in voorbereiding.
EU-only productiehosting
Productie-infrastructuur en klantcontent draaien in datacenters in Nederland en Duitsland. Geen US sub-processors voor klantdata.
Logische scheiding per klant
Multi-tenant architectuur met strikte data-isolatie per organisatie en rolgebaseerde toegang.
Regelmatige penetration test
Onafhankelijke pen-test door een externe partij, met samenvatting op aanvraag beschikbaar voor klanten en prospects onder NDA.
Doelstelling 99,5% beschikbaarheid
Continue monitoring met automatische alarmering. Aanvullende of striktere SLA's regelen we per Order Form.
SSO en MFA
SAML 2.0, OIDC en Microsoft Entra ondersteund. MFA is verplicht voor beheerrollen; hardware keys ondersteund.

Hosting en infrastructuur

Het Pulse platform draait op gehardende Linux-instances bij Hetzner Online GmbH, in datacenters in Falkenstein (Duitsland) en Amsterdam (Nederland). Alle componenten zijn dubbel uitgevoerd over zones, met automatische failover op applicatie- en databaselaag. We gebruiken geen Amerikaanse cloudproviders voor klantcontent.

Netwerkverkeer loopt via een EU-CDN voor statische assets. Inkomend productieverkeer passeert een Web Application Firewall met OWASP Core Rule Set en rate limiting. Beheer-toegang is alleen mogelijk via een hardened bastion met kortlevende certificaten.

Encryptie

  • In transit: TLS 1.2 of hoger, met TLS 1.3 als voorkeur. HSTS aan met preload op pulsecomply.com en alle product-subdomeinen.
  • At rest: AES-256 disk-encryptie op databases, object storage en back-ups.
  • Secrets: centraal beheerd in HashiCorp Vault met audit logging; geen secrets in code of in CI-variabelen.
  • Sleutelbeheer: rotatie volgens fixed schedule, sleutelbron gescheiden van data-omgevingen.

Toegangsbeheer

Toegang tot productiesystemen is voorbehouden aan een klein team van geautoriseerde engineers. We werken volgens least-privilege en need-to-know.

  • SSO en MFA verplicht voor alle medewerkers en sub-processors die productie raken.
  • Beheerhandelingen worden gelogd, gecorreleerd en zijn herleidbaar tot een individu.
  • Bij wijziging van rol of uitdiensttreding worden toegangsrechten binnen 24 uur ingetrokken.
  • Klanten beheren binnen Pulse zelf rollen, organisatie-eenheden en bewijslast-eigenaarschap.

Monitoring en logging

Productieomgevingen worden 24/7 gemonitord met geautomatiseerde alarmering. Beveiligingsrelevante events worden gecentraliseerd in onze SIEM, met retentie van minimaal 12 maanden. Anomalie-detectie en geautomatiseerde regels signaleren patronen die wijzen op misbruik of onbedoelde fouten.

Back-up en continuiteit

  • Versleutelde back-ups van klantcontent, dagelijks volledig en met point-in-time recovery binnen het bewaarvenster.
  • Back-up retentie standaard 35 dagen, langere retentie mogelijk op contractbasis.
  • Disaster recovery doelen: RPO 24 uur, RTO 8 uur voor productieomgevingen, jaarlijks getest.
  • Business Continuity Plan met scenario-oefeningen voor onbeschikbaarheid van infrastructuur, key personnel en sub-processors.

Secure development en vulnerability management

We volgen een Secure Software Development Lifecycle met code review, dependency scanning, static analysis en automated secret scanning op elke pull request. Productie-deployments doorlopen een vier-ogen review en automated tests.

  • Continue scanning van containers en afhankelijkheden op bekende CVE's.
  • Patching SLA: kritieke kwetsbaarheden binnen 7 dagen, hoge binnen 30, gemiddelde binnen 90 dagen.
  • Regelmatige onafhankelijke penetration test op de productieomgeving, met opvolging van bevindingen vastgelegd in onze risk register.
  • Bug bounty via responsible disclosure (zie hieronder).

Sub-processors

Een actuele lijst van sub-processors voor klantcontent verstrekken wij als bijlage bij de verwerkersovereenkomst en leveren wij op verzoek aan bestaande klanten. De belangrijkste partijen die de werking van Pulse mogelijk maken:

Partij Functie Locatie
Hetzner Online GmbH Productiehosting NL en DE
Microsoft 365 E-mail en kantoorautomatisering EU (West-Europa)
GitHub, Inc. Broncode-hosting marketing site en CMS-content EU/VS (Data Privacy Framework)

Responsible disclosure

Heb je een security-probleem gevonden? Meld het bij info@pulsecomply.com. We bevestigen ontvangst binnen 24 uur, houden je op de hoogte van de afhandeling en eren onderzoekers in onze hall of fame bij relevante meldingen.

Wat we vragen: geef ons redelijk de tijd om te onderzoeken en te patchen, gebruik geen brute force of social engineering, en deel kwetsbaarheden niet publiek voordat ze zijn verholpen.

Een publieke PGP-sleutel voor versleutelde meldingen publiceren wij binnenkort op deze pagina.

Vragen over onze security setup?

Voor klanten en serieuze prospects stellen wij ons volledige security dossier en pen-test summary onder NDA beschikbaar.

Vraag dossier aan