Naar hoofdinhoud gaan
Certyneo

Beveiliging en compliance

Vertrouwen staat centraal bij Certyneo. Deze pagina beschrijft precies wat vandaag in onze infrastructuur en applicatie is geïmplementeerd.

Bijgewerkt op .

Sécurité Certyneo — infrastructure et chiffrement

eIDAS-conform

Onze eenvoudige (SES) en geavanceerde (AES met e-mail + sms-OTP) handtekeningen voldoen aan de eIDAS-verordening van de Europese Unie.

TLS 1.3-versleuteling

Alle client-servercommunicatie wordt beschermd door TLS 1.3 via onze reverse proxy (automatisch vernieuwde Let's Encrypt-certificaten).

Hosting in Frankrijk

De applicatie, de PostgreSQL-database en de objectopslag worden gehost op onze eigen infrastructuur in Frankrijk (IONOS).

Audit trail van de handtekeningen

Elke actie (openen, OTP, ondertekenen, weigeren, verloop) wordt voorzien van een tijdstempel en opgeslagen. Een audit-footer wordt in de ondertekende pdf opgenomen.

Authenticatie van de ondertekenaar

Voor het geavanceerde niveau (AES): dubbele OTP per e-mail + sms (OTP SMS). Voor het inloggen van de verzender: e-mail + wachtwoord, Google, Microsoft Entra.

AVG/GDPR

Conform aan de Algemene Verordening Gegevensbescherming: recht op inzage, rectificatie en gegevenswissing, verwerkingsregister.

Regelgevende compliance

Certyneo voldoet aan de Europese verordeningen die van toepassing zijn op elektronische handtekeningen en gegevensbescherming.

eIDAS

SES- en AES-handtekeningen

Standaard eenvoudige elektronische handtekening (SES). Geavanceerde elektronische handtekening (AES) met e-mail + sms-OTP voor versterkte bewijswaarde in de zin van verordening (EU) nr. 910/2014.

AVG/GDPR

Gegevensbescherming

Conform aan verordening (EU) 2016/679. Gegevens gehost in de Europese Unie, gedocumenteerde bewaartermijnen, verwerkingsregister en DPA op aanvraag beschikbaar.

Onze beveiligingspraktijken

Hieronder de concrete maatregelen die in productie zijn uitgerold.

  • TLS 1.3-versleuteling voor al het HTTP-verkeer (Caddy 2, Let's Encrypt)
  • Scrypt-hashing (met salt en timing-safe vergelijking) voor gebruikerswachtwoorden
  • Tokens voor e-mailverificatie en wachtwoordherstel voor eenmalig gebruik, met een vervaltijd van 1 uur
  • OTP (OTP SMS) voor de geavanceerde handtekening, korte geldigheid, eenmalig gebruik
  • Applicatieve rate limiting (Redis) per plan op gevoelige endpoints
  • S3-compatibele objectopslag met versioning ingeschakeld voor documenten
  • Getimestampte audit log voor elke stap in de levenscyclus van een envelop
  • Gemarkeerde auditlogboeken van elke stap in de levenscyclus van een envelop

Klaar om veilig te ondertekenen?

5 gratis enveloppen per maand, zonder creditcard. eIDAS en RGPD-compliance inbegrepen.

Gratis aan de slagDemo aanvragen

Security roadmap

Our upcoming milestones to strengthen trust and compliance.

  • Q4 2026

    ISO 27001 audit

    Gepland

    ISO 27001 certification audit planned with an accredited body.

  • 2027

    SOC 2 Type II

    Gepland

    SOC 2 Type II report covering security, availability and confidentiality.

Responsible disclosure

Found a vulnerability? Please contact us responsibly before any public disclosure. We acknowledge receipt within 48 business hours.

[email protected]

Data Processing Agreement

Our DPA details Certyneo's obligations as a data processor under the GDPR, including technical and organisational measures.

Download DPA (PDF)

Veelgestelde vragen over Certyneo-beveiliging

Waar worden Certyneo-gegevens gehost?
Alle gegevens worden uitsluitend in Duitsland (IONOS SE, Frankfurt) gehost, binnen de Europese Unie. Er vindt geen replicatie of uitbesteding naar servers buiten de EU plaats.
Is Certyneo onderworpen aan de Amerikaanse Cloud Act?
Nee. Certyneo is een Franse entiteit (SAS onder Frans recht), niet onderworpen aan de extraterritoriale werking van de Amerikaanse Cloud Act. In tegenstelling tot DocuSign, Adobe Sign of Dropbox Sign (Amerikaanse bedrijven) kunnen Amerikaanse autoriteiten Certyneo niet dwingen uw gegevens openbaar te maken.
Voldoet Certyneo aan de RGPD?
Ja. Certyneo voldoet aan de RGPD: EU-hosting, TLS 1.3-codering in transit en AES-256 in rust, DPA beschikbaar (artikel 28 RGPD), gelimiteerde en gedocumenteerde retentie, toegangs- en verwijderingsrechten gerespecteerd.
Hoe worden ondertekende documenten beschermd tegen vervalsing?
Elk ondertekend document wordt beschermd door een cryptografisch zegel (SHA-256 hash) ingeschreven in een voorzien van een tijdstempel audittrail. Elke wijziging van het document na ondertekening maakt het zegel ongeldig en wordt onmiddellijk gedetecteerd. Het audittrail wordt 10 jaar bewaard.
Heeft Certyneo een DPA (Data Processing Agreement)?
Ja. Certyneo biedt een DPA in overeenstemming met artikel 28 van de RGPD, beschikbaar en elektronisch ondertekend vanaf uw dashboard of op aanvraag. Het beschrijft de subverwerkers, de technische en organisatorische maatregelen (TOMs) en de rechten van betrokkenen.

Verder lezen

Verdiep uw kennis over de regelgeving en de ondertekenniveaus.