1. Maatregelen op hoofdlijnen
- Versleutelde verbindingen voor verkeer tussen gebruiker, app en leveranciers.
- Accounttoegang via authenticatie en sessiebeheer.
- MFA met authenticator-app en MFA-step-up voor gevoelige acties.
- Bankkoppeling koppelen of verbreken mag alleen na MFA-step-up waar dit beschikbaar is.
- Toegangsbeperking en ownership-controles zodat gebruikers alleen hun eigen appdata kunnen benaderen.
- Databasebeveiliging met Row Level Security en aanvullende ownership-triggers.
- Rate limiting, payloadlimieten, botbescherming en same-origin checks bij gevoelige routes.
- Webhookverificatie, idempotency en provider-side controles voor betalingen en bankkoppelingen.
- Beveiligings- en foutlogs met redactie om misbruik, storingen en incidenten te onderzoeken.
- Technische retentiecleanup voor security audit logs, webhook receipts en bank-sync runs.
- Leveranciers voor hosting, database, betaling, bankkoppeling en beveiliging die nodig zijn voor de dienst.
- Interne procedure voor security-incidenten en mogelijke datalekken.
2. Gevoelige acties
3. Logging en bewaartermijnen
Security logging is bedoeld voor misbruikbestrijding, foutoplossing en incidentonderzoek. We proberen gevoelige waarden zoals tokens, cookies, volledige banktransacties, authorization headers, IBANs en PDF/CSV-inhoud niet in technische logs op te nemen.
Security audit events worden standaard 400 dagen bewaard, verwerkte webhook receipts 180 dagen, onverwerkte webhook receipts 400 dagen en finAPI sync-runs 180 dagen. Platformlogs, backups en betaaladministratie volgen aparte provider- of wettelijke bewaartermijnen.
4. Wat we bewust niet publiceren
We publiceren geen interne netwerkdetails, databaseconfiguraties, exacte logretenties, rate-limitwaarden, detectieregels, incidentplaybooks, adminprocedures of andere details die misbruik makkelijker kunnen maken.
5. Wat jij zelf kunt doen
- Gebruik een uniek, sterk wachtwoord.
- Zet MFA aan en bewaar herstelcodes veilig als de provider die aanbiedt.
- Deel geen account, sessie, exportbestand of bankkoppeling met onbevoegden.
- Controleer periodiek gekoppelde banken en verbreek koppelingen die je niet gebruikt.
- Stuur geen volledige bankafschriften, tokens of wachtwoorden via gewone supportberichten.
6. Datalekken en incidenten
Bij een vermoedelijk datalek onderzoeken we de oorzaak, beperken we de impact, leggen we het incident vast en beoordelen we of melding aan de Autoriteit Persoonsgegevens en/of betrokken gebruikers nodig is. Waar wettelijk vereist gebeurt melding aan de toezichthouder binnen de wettelijke termijn.
7. Melden van kwetsbaarheden
Denk je een kwetsbaarheid te hebben gevonden? Meld dit via het supportkanaal of via info@omw2am.com. Gebruik geen gegevens van anderen, vermijd verstoring van de dienst, voer geen destructieve tests uit en deel voldoende informatie om het probleem veilig te kunnen onderzoeken.
