Beveiliging van een API-koppeling is geen checkbox — het is een stack van maatregelen. Wat wij standaard toepassen:
Architectuur
Wij bouwen geen public-facing applicaties. De koppeling draait in een afgeschermde omgeving die zelfstandig opereert en alleen communiceert met de systemen die jij hebt geselecteerd. Er is dus geen inlogportaal dat op het publieke internet staat en door bots gescand kan worden.
Authenticatie & transport
- OAuth 2.0 of API-keys met rotatie waar de bron-API’s dat ondersteunen
- TLS 1.2+ voor alle verbindingen
- Secrets worden versleuteld opgeslagen (nooit in code of logs)
Hosting & netwerk
- Google Cloud (standaard) met hosting in de EU-regio
- Firewall-regels die inkomend verkeer strikt beperken
- Voor Corporate-klanten: hosting op hun eigen infrastructuur mogelijk
Monitoring
Elke koppeling wordt gemonitord op uitval, anomalieën en security-events. Bij Premium en Corporate service levels nemen wij direct actie bij een waarschuwing.
Updates
Security-updates op OS, netwerk en afhankelijkheden zijn standaard inbegrepen vanaf Premium. Zie ook welke updates inbegrepen zijn.