Security en privacy
Waar je data staat, hoe we hem beveiligen
Deze pagina is bedoeld voor IT-security teams, DPO's en privacy-officers die met ons mee willen kijken. Heb je een specifieke vraag die hier niet beantwoord wordt? Mail naar info@servicechanger.com.
Hosting en data residency
Alle ticket- en knowledge-base data staat in een PostgreSQL-database in een Supabase EU-region. De applicatie en API draaien op Vercel serverless functions in de EU (Frankfurt, fra1). Zo blijven zowel je data als de verwerking (compute) volledig binnen de EU. De CDN voor itsmautopilot.com loopt via Cloudflare met edge-routing dichtbij de bezoeker: statische assets worden aan de rand geserveerd, je ticket-data niet.
AI-aanroepen lopen via OpenAI's API en kunnen tussen EU en US gerouteerd worden afhankelijk van load. Voor organisaties met stricte data-residency-vereisten kunnen we per-organisatie ZDR (zero-data-retention) aanzetten zodat OpenAI prompts en completions niet vasthoudt; neem hiervoor contact op via info@servicechanger.com.
Encryptie
- TLS 1.3 voor al het netwerkverkeer tussen klanten, onze API en sub-processors
- AES-256 at rest voor de database (Supabase managed)
- API-keys (OpenAI, ITSM credentials) opgeslagen in Supabase Vault, niet in plain text in de database
- Webhook tokens en signing secrets per organisatie, niet shared
Sub-processors
Dit zijn de partijen die namens ons (en daarmee namens jou) een rol spelen in de verwerking van data. Allemaal met een eigen DPA en GDPR-/AVG-compliant.
| Partij | Rol | Locatie | DPA |
|---|---|---|---|
| Vercel | Hosting van de app en API (serverless compute) | EU (Frankfurt, fra1) | Bekijk |
| Supabase | PostgreSQL database, auth, Vault voor secrets, file storage | EU | Bekijk |
| Cloudflare | DNS, CDN, DDoS-bescherming voor itsmautopilot.com | Global edge, EU-first routing | Bekijk |
| OpenAI | AI-model voor ticket-classificatie, antwoord-generatie en kennisbank-curatie | EU (when zero-data-retention is enabled), otherwise US | Bekijk |
| Stripe | Betalingen, abonnementsbeheer, facturatie | Stripe Payments Europe (Ireland) | Bekijk |
| Resend | Transactionele e-mail (account-bevestiging, wachtwoord-reset, notificaties) | EU | Bekijk |
Persoonsgegevens in tickets
Voordat een ticket de AI bereikt, worden contactgegevens (e-mailadressen, telefoonnummers, IP-adressen, creditcardnummers, BSN) automatisch gemaskeerd. Wat in de kennisbank wordt opgeslagen is altijd geanonimiseerd. Namen in vrije tekst worden niet automatisch herkend; daarvoor zijn aanvullende afspraken nodig.
De PII-masking is per-organisatie configureerbaar via Settings > Pre-AI masking.
Access en isolatie
- Row-level security per organisatie: één tenant ziet nooit data van een ander
- ServiceChanger medewerkers hebben geen standaard toegang tot klant-content
- Toegang tot productie alleen via tijdelijke service-role keys voor incident response, gelogd
- Tweefactor-authenticatie (2FA) beschikbaar voor alle accounts via Settings, voor admin-accounts in beheerde tenants kan dit verplicht gesteld worden
Bewaartermijnen
- Tickets en activity logs: zolang je abonnement loopt, plus 30 dagen na opzegging
- Kennisbank entries: idem
- Facturen en belastinggegevens: 7 jaar (wettelijke verplichting)
- Audit logs (admin actions): 12 maanden
Incident response
Bij een vermoeden van een datalek volgen wij artikel 33/34 van de AVG: melding aan de Autoriteit Persoonsgegevens binnen 72 uur, getroffen klanten worden geïnformeerd via een directe e-mail aan de tenant-owner met een beschrijving van het incident en de te nemen vervolgstappen.
Bug bounty en verantwoorde melding via /.well-known/security.txt.
Compliance en certificeringen
ITSM Autopilot zit op het moment in beta. Dat betekent dat de architectuur en het privacy-ontwerp staan (zie de secties hierboven), maar formele certificeringen en derde-partij audits volgen ná de beta-fase. Wees er bewust van wanneer je een leverancier evalueert.
- GDPR / AVG: het product is ontworpen rond artikel 28-verplichtingen. Een door beide partijen ondertekende DPA is nog niet beschikbaar, we werken eraan voor de GA-release.
- ISO 27001 en SOC 2: niet gecertificeerd. Geen lopend traject in 2026, op de roadmap voor zodra het klantvolume het rechtvaardigt.
- Pen-test: geen extern uitgevoerde pen-test op dit moment. Ingepland voor zodra het product GA is.
Verwerkingsovereenkomst (DPA)
Een standaard verwerkingsovereenkomst is in voorbereiding voor de GA-release. Heb je voor de beta-fase een getekende DPA nodig om met ons in zee te kunnen? Neem dan contact op via info@servicechanger.com met je organisatie, jullie eisen en de scope van de verwerking. We werken dan samen aan een passende afspraak.
Vragen die hier niet beantwoord zijn? Mail info@servicechanger.com.