Skip to content
Beveiliging

Beveiliging

Hoe Alpha Analytics s.r.o. de gegevens beschermt die aan het Carsdata.com-platform worden toevertrouwd — onze maatregelen, hosting en praktijken.

Laatst bijgewerkt9 juni 2026

Onze aanpak van beveiliging

Carsdata fungeert als data-infrastructuur voor de Europese automobielmarkt, en de vertrouwelijkheid, integriteit en beschikbaarheid van de aan ons toevertrouwde gegevens zijn van fundamenteel belang voor die rol. Wij hanteren een defence-in-depth-aanpak: beveiliging is ingebouwd in de wijze waarop wij het platform ontwerpen, bouwen en exploiteren, in plaats van achteraf toegevoegd. Deze pagina vat de technische en organisatorische maatregelen samen die wij handhaven. Zij wordt verstrekt omwille van transparantie en maakt geen deel uit van enige overeenkomst; specifieke verbintenissen zijn uiteengezet in de relevante dienstenovereenkomst en Verwerkersovereenkomst.

Governance en naleving

Ons beveiligingsprogramma is ontworpen rond de maatregelen en Trust Services Criteria die zijn uiteengezet in internationaal erkende kaders — waaronder ISO/IEC 27001 en SOC 2 — en wij beoordelen en verbeteren onze praktijken daaraan voortdurend. Wij verwerken persoonsgegevens overeenkomstig de AVG, en onze verwerking namens klanten wordt geregeld door onze Verwerkersovereenkomst.

Beveiliging valt onder de verantwoordelijkheid op managementniveau, ondersteund door gedocumenteerde beleidsregels betreffende aanvaardbaar gebruik, toegangscontrole, gegevensclassificatie, wijzigingsbeheer, leveranciersbeheer en incidentrespons. De beleidsregels worden periodiek en na elke significante wijziging van onze omgeving herzien.

Datahosting en infrastructuur

Het platform draait op de infrastructuur van gevestigde cloudaanbieders die gecertificeerde, fysiek beveiligde datacentra exploiteren. Persoonsgegevens worden hoofdzakelijk gehost binnen de Europese Unie / Europese Economische Ruimte. Onze infrastructuur is logisch gescheiden, uitgerold over veerkrachtige beschikbaarheidszones, en beheerd via infrastructure-as-code, zodat omgevingen consistent, controleerbaar en reproduceerbaar zijn.

Versleuteling

Gegevens tijdens transport worden versleuteld met behulp van TLS over openbare netwerken. Gegevens in rust worden versleuteld met behulp van sterke, in de sector gangbare algoritmen. Versleutelingssleutels worden beheerd via de key management services van onze cloudaanbieders, waarbij de toegang beperkt is tot gemachtigde systemen en personeel.

Toegangscontrole

Toegang tot systemen en gegevens volgt de beginselen van minimale rechten en need-to-know. Administratieve toegang vereist meervoudige authenticatie, wordt op rolbasis verleend, wordt gelogd, en wordt periodiek herzien en onmiddellijk ingetrokken wanneer zij niet langer nodig is. Waar dit wordt ondersteund, kan de toegang van klanten tot het platform worden gefedereerd via single sign-on.

Netwerk- en applicatiebeveiliging

Ons netwerk wordt beschermd door firewalls, beveiligingsgroepen en segmentatie die het verkeer beperken tot wat noodzakelijk is. Applicaties worden beschermd tegen veelvoorkomende webkwetsbaarheden door middel van veilig ontwerp, invoervalidatie en geharde configuraties, en openbare eindpunten worden afgeschermd door bescherming tegen volumetrische aanvallen en aanvallen op applicatieniveau.

Veilige ontwikkelcyclus

Wijzigingen aan het platform doorlopen versiebeheer, peer code review en geautomatiseerd testen vóór uitgave. Wij maken in onze pipelines gebruik van geautomatiseerd scannen van afhankelijkheden en kwetsbaarheden, scheiden de ontwikkel-, staging- en productieomgevingen, en volgen een gecontroleerd wijzigingsbeheerproces, zodat uitgaven traceerbaar en omkeerbaar zijn.

Monitoring, logging en detectie

Wij verzamelen applicatie-, infrastructuur- en toegangslogs centraal en monitoren op afwijkende activiteit en beschikbaarheidsproblemen. Waarschuwingen worden doorgestuurd naar het verantwoordelijke team, zodat mogelijke problemen onmiddellijk kunnen worden onderzocht en aangepakt.

Kwetsbaarheidsbeheer en testen

Wij scannen onze systemen en afhankelijkheden regelmatig op bekende kwetsbaarheden en verhelpen deze op een naar risico geprioriteerde basis. Wij schakelen gekwalificeerde derden in om periodiek penetratietesten uit te voeren en pakken bevindingen aan naargelang hun ernst.

Back-ups en bedrijfscontinuïteit

Van gegevens worden regelmatig back-ups gemaakt, waarbij de back-ups worden versleuteld en gescheiden van de primaire systemen worden opgeslagen. Wij handhaven plannen voor bedrijfscontinuïteit en noodherstel met gedefinieerde hersteldoelstellingen, en wij testen ons vermogen om de dienst te herstellen, zodat wij met minimale impact kunnen herstellen van een verstoring.

Personeelsbeveiliging

Personeel is gebonden door geheimhoudingsverplichtingen en ontvangt opleiding inzake beveiliging en gegevensbescherming die past bij zijn rol, zowel bij indiensttreding als doorlopend. Toegang tot productiegegevens is beperkt tot degenen die deze voor hun werk nodig hebben en wordt verwijderd wanneer zij van rol veranderen of vertrekken.

Subverwerkers en leveranciersbeheer

Wij schakelen een beperkt aantal zorgvuldig geselecteerde subverwerkers in — hoofdzakelijk aanbieders van cloudinfrastructuur en -opslag — om de Diensten te leveren. Wij beoordelen de beveiligingshouding van onze leveranciers, binden hen door middel van passende contractuele verplichtingen inzake gegevensbescherming en beveiliging, en houden een actuele lijst van subverwerkers bij zoals waarnaar in onze Verwerkersovereenkomst wordt verwezen.

Incidentrespons

Wij handhaven een gedocumenteerd incidentresponsproces dat detectie, triage, indamming, verwijdering, herstel en evaluatie na het incident omvat. In geval van een inbreuk in verband met persoonsgegevens die gevolgen heeft voor klantgegevens, stellen wij de getroffen klanten zonder onnodige vertraging in kennis en ondersteunen wij hen bij het nakomen van hun eigen meldingsverplichtingen, in lijn met de AVG en onze Verwerkersovereenkomst.

Gegevensbescherming en privacy

Beveiliging en privacy worden samen behandeld. Wij passen de beginselen van gegevensminimalisatie en doelbinding toe, verwerken persoonsgegevens overeenkomstig de AVG, en regelen de verwerking die namens klanten wordt uitgevoerd via onze Verwerkersovereenkomst. Voor bijzonderheden over de wijze waarop wij persoonsgegevens behandelen, zie ons Privacybeleid.

Een kwetsbaarheid melden

Wij verwelkomen meldingen van beveiligingsonderzoekers en gebruikers. Indien u meent dat u een beveiligingskwetsbaarheid in Carsdata.com heeft gevonden, neem dan contact met ons op via info@carsdata.com met voldoende details om het probleem te reproduceren. Wij verzoeken u ons een redelijke gelegenheid te geven om het te onderzoeken en te verhelpen vóór enige openbare bekendmaking, en geen gegevens te raadplegen of te wijzigen die niet de uwe zijn. Wij zullen uw melding bevestigen en u op de hoogte houden van onze voortgang.

Bedrijfsgegevens
Alpha Analytics s.r.o.
Statutaire zetel
Gustav Mahlerplein 2
1082 MA Amsterdam
Nederland
Bedrijfsidentificatienummer (IČO)
228 01 154
Handelsregister
Krajský soud v Ústí nad Labem
Dossiernr. C 32406

Vragen over dit document? Stuur ons een e-mail op info@carsdata.com.