Beveiliging & compliance
Bewust gebouwd. NL-gehost. Geen US-vendor.
GovSign opereert volledig binnen de EU, met versleuteling, append-only audit-logs en certificeringen die zowel zakelijke security-teams als overheids-CISO's tevreden stellen.
De fundamenten
Versleuteling, hosting en sleutelbeheer
- TLS 1.3 in transit. Geen oudere ciphers ondersteund.
- AES-256-GCM at rest. Kolom-niveau voor PII.
- Sleutelbeheer via KMS met jaarlijkse rotatie.
- Append-only audit-logs, cryptografisch gekoppeld.
- Sub-verwerkers expliciet opgesomd in DPA.
- Primaire hosting Amsterdam (NL), failover EU-only.
- Geen data-overdracht naar VS. Geen CLOUD Act-blootstelling.
- ISO 27001-gecertificeerde infrastructuur (Supabase EU).
- Eigen ISO 27001-traject 2026; BIO-mapping nu al beschikbaar.
- SOC 2 control-matrix op aanvraag.
Wie wat doet
Sub-verwerkers
| Partij | Doel | Vestiging | Toegang tot inhoud? |
|---|---|---|---|
| Supabase EU | Platform: database, auth, storage | Ierland (EU) | Encrypted-at-rest; geen menselijke toegang |
| Paddle.com Market Ltd. | Merchant of Record voor betalingen | Verenigd Koninkrijk / EU | Alleen factuurmetadata |
| Signicat (optioneel) | Gekwalificeerde TSP voor QES | Noorwegen / EU | Alleen ondertekenmoment |
| Resend (transactionele e-mail) | Verzending uitnodig- en notificatie-e-mails | EU | Alleen e-mail-adres + onderwerp |
Veelgestelde vragen
Vragen van security & compliance
Welke certificeringen heeft GovSign?+
Wij draaien op ISO 27001-gecertificeerde infrastructuur (Supabase EU). Een eigen ISO 27001-traject loopt in 2026. Onze BIO-mapping en SOC 2-controlsmatrix zijn nu al beschikbaar op aanvraag.
Waar staan onze documenten?+
Primaire opslag in Amsterdam (NL). Failover binnen de EU. Geen US-vendor in de data-pad. Wij gebruiken Supabase EU als platform, Paddle (EU-entiteit Paddle.com Market Ltd.) als MoR voor betalingen, en Signicat (NO) als optionele TSP voor QES.
Hoe gaat encryptie?+
Documenten in transit via TLS 1.3, at rest met AES-256-GCM. Database-encryptie op kolomniveau voor PII. Sleutels beheerd via KMS, jaarlijkse rotatie.
Doen jullie pen-tests?+
Ja. Externe pen-test door een Nederlandse partij (rapportage onder NDA beschikbaar voor Gov/API-klanten). Continu code-scanning, dependency-scanning en SAST in de CI/CD-pijplijn.