Onafhankelijk getoetst.

Beveiliging is niet één feature, het is een keten van standaarden, audits en gedragingen die elke laag van Plaffen afdekt.

Onafhankelijke standaarden

ISO 27001 in voorbereiding GDPR / AVG conform Onder PSD2-richtlijn Jaarlijkse pentest
Status: live in EU EU-WEST

Datacenter

Ams-01, Amsterdam

Latency

< 30ms

Backup

3 zones

Al je data blijft binnen de Europese Economische Ruimte.

[ EU dataresidentie ]

Niks verlaat Europa.

Al je administratie staat in datacenters binnen de EU. Geen US-overdracht, geen Schrems-II-risico's, geen onduidelijkheid over wie waar wat met je data doet.

Versleuteling

Alle data wordt versleuteld met AES-256 in rust, en TLS 1.3 onderweg. Encryptiesleutels worden beheerd via KMS met automatische rotatie elke 90 dagen.

Geen inloggegevens

Plaffen ziet of bewaart nooit je bank-inloggegevens. Open Banking-toegang verloopt via gereguleerde AISP-partners onder DNB-toezicht. Toestemming geef je direct in je bankapp.

2FA verplicht

Twee-factor authenticatie is standaard voor alle accounts. We ondersteunen TOTP en hardware keys (YubiKey, FIDO2).

Penetratietesten

Jaarlijks laten we onafhankelijke ethische hackers onze infrastructuur testen. Bevindingen worden binnen 30 dagen verholpen.

24/7 monitoring

Ons team monitort verdachte activiteit. Bij incidenten word je binnen 72 uur geïnformeerd zoals vereist onder de AVG.

Audit logs

Elke wijziging in je administratie wordt vastgelegd met tijdstip, gebruiker en context. Onmisbaar voor accountantscontrole.

Beveiliging in het kort.

Wat gebeurt er als Plaffen gehackt wordt?

We hebben een uitgebreid incident response plan. Bij een datalek informeren we de betrokken klanten en de Autoriteit Persoonsgegevens binnen 72 uur, zoals vereist onder artikel 33 AVG.

Kan een medewerker bij mijn data?

Klantdata is alleen toegankelijk voor specifiek geautoriseerde engineers via een audit log. Toegang vereist 2FA en een actief support-ticket of incident.

Wie is de officiële verwerkingsverantwoordelijke?

Plaffing LTD, gevestigd te London, Companies House [PLACEHOLDER], is verwerkingsverantwoordelijke voor je accountgegevens. Voor bankdata zijn wij verwerker namens jou; de Open Banking partner is sub-verwerker. Zie onze privacypolicy voor details.

Wordt mijn data gebruikt om AI te trainen?

Nee. Alleen volledig geanonimiseerde, geaggregeerde data gebruiken we soms om onze categorisering te verbeteren. Persoonsgegevens of identificeerbare transactiedata worden nooit gebruikt voor training of verkocht aan derden.

Vragen over beveiliging?