Security

Jouw klantdata, onze hoogste prioriteit.

Bureaus beheren via Senly gevoelige klantgegevens. Daarom is security geen feature die we later toevoegen — het zit in het fundament van het platform.

Hoe we het doen

Zes pijlers van verantwoord platform-design.

Encryption at rest & in transit

Alle data wordt versleuteld opgeslagen (AES-256-GCM) en over TLS 1.3 verzonden. Social-media cookies krijgen per-tenant gescopte keys.

Multi-tenant isolation

Elk bureau heeft een eigen tenant-scope op database-niveau. Cross-tenant reads zijn architectonisch onmogelijk, niet alleen door access rules.

AVG / GDPR-conform

Volledig AVG-compliant: verwerkersovereenkomst per bureau, sub-verwerkers binnen EU, data-rights workflows in-product (export, verwijderen, inzage).

Role-based access & audit logs

Granulaire rollen per teamlid, audit-log van iedere kritieke actie (SyncLog), JWT-sessies met 30-dagen lifetime en automatische rotatie.

Rate limiting & abuse prevention

Login-pogingen, API-routes en publieke endpoints zijn rate-limited. Brute-force, scraping en DoS-attempts worden automatisch gestopt.

Verantwoorde disclosure

Beveiligingsonderzoekers kunnen vulnerabilities direct melden via security@senly.io. We bevestigen binnen 24u en patchen kritieke issues binnen 72u.

Standaarden

Standaarden waar we ons aan houden.

AVG / GDPR

EU regulation 2016/679

TLS 1.3

Modern transport security

AES-256-GCM

At-rest encryption

bcrypt

Password hashing

HSTS

2-year HTTP Strict Transport

CSP

Content Security Policy headers

Senly Connector — security in detail

De optionele Chrome-extensie heeft toegang tot social-media sessie-cookies. Dat is gevoelig spul. Hoe we het waterdicht houden:

  • Opt-in per klant: de extensie leest alleen cookies nadat je expliciet "Verbind" klikt in een klantprofiel. Geen achtergrond-collecties.
  • Per-tenant encryption: elke tenant heeft een eigen AES-256-GCM key. Cookies van bureau A zijn fysiek niet ontcijferbaar door bureau B — zelfs niet door ons engineering-team.
  • Geen wachtwoorden: we lezen alleen sessie-tokens van reeds-actieve sessies. Klant-wachtwoorden raken nooit ons systeem.
  • Direct intrekbaar: "Ontkoppel" verwijdert de versleutelde cookies onmiddellijk uit de database. Geen restdata.
  • Open source extensie: de Connector-code is publiek inzichtelijk, zodat onderzoekers kunnen verifiëren dat de extensie doet wat we beweren.

Incident response

Bij een datalek dat risico voor betrokkenen oplevert, informeren wij het betreffende bureau binnen 24 uur na ontdekking. Het bureau is verantwoordelijk voor de melding aan de Autoriteit Persoonsgegevens binnen 72 uur, en wij ondersteunen met technische forensics en logs.

Een kwetsbaarheid melden

Heb je iets gevonden? We waarderen verantwoorde disclosure. Stuur details naar security@senly.io — bij voorkeur PGP-versleuteld met onze sleutel (op aanvraag). We bevestigen binnen 24 uur en houden je op de hoogte van de fix.

Vragen over security?

We denken graag met je mee.

Compliance-vragen, DPIA-input, security-audit voor enterprise klanten? Plan een gesprek met ons security-team.

security@senly.ioPlan een gesprek