Ga naar inhoud
Compliance · B2B procurement

ISO 27001 roadmap

We zijn nog niet ISO 27001-gecertificeerd, maar documenteren hier welke controles al live zijn, welke we dit jaar afronden, en wat gepland staat. Laatst bijgewerkt: 12 mei 2026.

Live
11
In progress
5
Gepland
1
A.5.1Information security policiesIn progress

Formele informatiebeveiliging policy gepubliceerd en jaarlijks geëvalueerd.

A.5.7Threat intelligenceLive

Volgen van CVEs + Vercel/Neon security bulletins. Afhankelijkheden maandelijks geüpdatet via `npm audit`.

A.5.10Acceptable use of informationLive

Medewerkersrichtlijn voor omgang met retailer-data, verplicht gelezen bij onboarding.

A.5.15Access controlLive

Principle of least privilege voor alle secrets (SESSION_SECRET, CRON_SECRET, REDEEM_API_KEY, STRIPE_WEBHOOK_SECRET, PRINTONE_WEBHOOK_SECRET). Aparte keys per integratiepartner.

A.5.17Authentication informationLive

Scrypt-hashed wachtwoorden, HMAC-SHA256 gesigneerde session cookies, magic-link tokens met 15-min expiry en one-time use.

A.5.33Protection of recordsLive

Retailer-accounts: 12 mnd na opzegging verwijderd. Bezorgadressen: max. 30 dagen. Factuurdata: 7 jaar fiscale bewaarplicht.

A.5.34Privacy and PIILive

Volledige DPIA-documentatie publiek op /avg-dpia. AVG-balans-test per categorie verwerking opgenomen.

A.8.7Protection against malwareLive

Geen user-uploaded executables; alleen afbeeldingen via Vercel Blob met MIME-validatie.

A.8.12Data leakage preventionLive

SSRF-guard op scrape + flyer/generate, formula-injection escape op CSV exports, rate-limits op auth + redeem endpoints.

A.8.13BackupIn progress

Neon point-in-time recovery (7 dagen). Nightly logical dumps naar object storage in plan.

A.8.15LoggingIn progress

Structured console.error + captureError via lib/telemetry. Sentry/Highlight swap-in punt klaar; externe aggregator in plan.

A.8.16Monitoring activitiesIn progress

/api/health endpoint + geplande Better Uptime checks met on-call routing.

A.8.23Web filtering / CSPLive

Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options gezet in middleware.

A.8.24Use of cryptographyLive

TLS 1.3 via Vercel edge, HTTPS-only cookies, scrypt voor passwords, HMAC-SHA256 voor session tokens.

A.8.28Secure codingLive

TypeScript strict mode, ESLint CI gate, vitest testcoverage verplicht op kritieke lib/ modules, code review voor elke merge.

A.8.32Change managementIn progress

Alle wijzigingen via GitHub PR met CI (tsc, vitest, next build). Drizzle-kit migraties gepland, nog niet in CI.

A.8.34Protection during audit testingGepland

Externe pentest voor Q4 2026.

Vragen over security? Mail security@lokaalkabaal.agency of bekijk ons AVG/DPIA document.