Beveiligingsvragenlijst

Een vooraf beantwoorde beveiligingsvragenlijst (CAIQ-Lite) — de vragen die enterprise-inkoop aan elke leverancier stelt, vooraf beantwoord vanuit onze werkelijke positie. De antwoorden weerspiegelen onze actuele positie; exporteer hieronder de machineleesbare versie.

JSON downloaden ↗ CAIQ-Lite · v2026-06-22

01Trust- & Compliancecentrum

Governance, risico & compliance

Houdt u gedocumenteerd informatiebeveiligingsbeleid bij?Gepubliceerd beveiligingsmodel + beveiligings-, aanvaardbaar-gebruik- en privacybeleid.

Gepland

Beschikt u over een SOC 2 Type II-attestatie?Controles geïmplementeerd conform de criteria; onafhankelijke attestatie staat op de roadmap.

Gepland

Bent u ISO/IEC 27001-gecertificeerd?ISMS afgestemd op 27001:2022 Annex A; certificering gepland.

Beoordeelt u subverwerkers en vereist u DPA’s?Subverwerkers beoordeeld; met elk een GDPR-conforme DPA afgesloten.

Voert u een leveranciers-/derdepartijrisicobeoordeling uit voordat u een subverwerker in gebruik neemt?Elke subverwerker wordt vóór gebruik beoordeeld op gegevensverwerking, regio en DPA-voorwaarden; de lijst is hier gepubliceerd.

Informeert u klanten over wijzigingen in subverwerkers?De subverwerkerslijst is gepubliceerd met een abonneer-op-wijzigingen-optie zodat klanten op de hoogte worden gesteld van toevoegingen.

02Trust- & Compliancecentrum

Identiteits- & toegangsbeheer

Ondersteunt u enterprise-SSO (SAML 2.0 / OIDC)?SAML 2.0- en OIDC-federatie voor partnerorganisaties.

Ondersteunt u SCIM-gebruikersprovisioning?SCIM 2.0 (RFC 7644) joiner/mover/leaver met auditspoor.

Is multifactorauthenticatie beschikbaar en afdwingbaar?MFA met afdwinging + step-up (AAL2) voor gevoelige handelingen.

Biedt u phishingbestendige authenticatie?Passkey-first (WebAuthn, gebruikersverificatie).

Wordt toegang geregeld via least-privilege RBAC?Rolgebaseerde toegang; tenant-isolatie afgedwongen op databaseniveau.

03Trust- & Compliancecentrum

Gegevensbeveiliging & versleuteling

Worden gegevens versleuteld tijdens transport?TLS 1.2+ overal; HSTS met preload.

Worden gegevens versleuteld in rust?Database, opslag en back-ups versleuteld in rust (AES-256).

Worden klantgegevens logisch geïsoleerd tussen tenants?Postgres Row-Level Security over 100+ tabellen.

Bevinden klantgegevens zich in een specifieke regio?Europese Unie — AWS eu-west-1; geen verplaatsing buiten de EU.

04Trust- & Compliancecentrum

Applicatie- & operationele beveiliging

Past u rate limiting toe op authenticatie-eindpunten?Atomaire, auth-bewuste, fail-closed limiter (per account + per IP).

Monitort u op afwijkende / misbruikende activiteit?Continue anomaliedetectie elke 5 min (met alerting).

Heeft u een beleid voor het melden van kwetsbaarheden?Beleid voor gecoördineerde melding + security.txt (RFC 9116).

Gepland

Voert u een bug-bountyprogramma uit?Een VDP is gepubliceerd; een bountyprogramma staat op de roadmap.

Gepland

Laat u onafhankelijke penetratietests uitvoeren?Vandaag interne beveiligingsreviews; een penetratietest door derden staat op de roadmap.

Houdt u een auditlog van beveiligingsgebeurtenissen bij?Beveiligingsrelevante gebeurtenissen vastgelegd in een append-only stroom.

Gedeeltelijk

Ondersteunt u auditlog-/SIEM-export?Vandaag een append-only auditstroom; gegevens op aanvraag beschikbaar. Selfservice SIEM-export staat op de roadmap.

Volgt u een change-managementproces voor productiewijzigingen?Wijzigingen doorlopen versiebeheer en review vóór release; databasewijzigingen worden uitgeleverd als beoordeelde migraties.

Gedeeltelijk

Volgt u een veilige softwareontwikkellevenscyclus (SDLC)?Code review, geautomatiseerde controles en dependency-hygiëne aanwezig; een formeel geattesteerde SDLC maakt deel uit van de SOC 2-/ISO-roadmap.

Gedeeltelijk

Heeft u een gedocumenteerd incidentresponsproces?Anomalie-alerting en een gedefinieerde datalekmeldings-SLA zijn actief; een volledig gedocumenteerde IR-runbook wordt geformaliseerd samen met het SOC 2-programma.

05Trust- & Compliancecentrum

Privacy & gegevensrechten

Ondersteunt u GDPR-verzoeken van betrokkenen (inzage, export, wissing)?Selfservice via de privacy-instellingen in de app.

Is er een verwerkersovereenkomst beschikbaar?DPA met SCC’s voor elke klant beschikbaar.

Worden klantgegevens verwijderd bij contractbeëindiging?Verwijdering op verzoek; vastgestelde bewaartermijnen.

Biedt u een SLA voor gegevensverwijdering / vastgestelde bewaartermijnen?Verwijdering op verzoek gehonoreerd; elk gegevenstype heeft een vastgestelde bewaartermijn, geen onbeperkte opslag.

Is uw subverwerkerslijst gepubliceerd?Gepubliceerd op dit Trust Center met een abonneer-op-wijzigingen-optie.

06Trust- & Compliancecentrum

AI-governance

Nee

Worden klantgegevens gebruikt om uw AI-modellen te trainen?Nooit. Klantgegevens worden niet gebruikt om een AI-model te trainen of fine-tunen.

Is er menselijk toezicht op AI-ondersteunde beslissingen?Club AI is ondersteunend — een mens neemt altijd de wervingsbeslissing.

Worden AI-model-subverwerkers bekendgemaakt?Met naam genoemd in de subverwerkerstabel met regio en gegevensvoorwaarden.

Voldoet u aan de EU AI Act-verplichtingen voor wervings-AI?Gebouwd voor transparantie, menselijk toezicht en tegen nadelige impact (hoog-risicoklasse).

07Trust- & Compliancecentrum

Veerkracht & continuïteit

Houdt u versleutelde back-ups bij?Back-ups versleuteld in rust.

Heeft u een gedefinieerde datalekmeldings-SLA?Binnen 72 uur na ontdekking (GDPR art. 33/34).

Publiceert u een realtime statuspagina?status.thequantumclub.com — live componentstatus + historische uptime.