Beveiliging

Trust Center

Transparantie over beveiliging, privacy en betrouwbaarheid bij oxom.

Beveiligingslek melden Contact

Status & Highlights

Beveiliging

In uitvoering

Beveiligingsvereisten worden meegenomen in architectuur, operatie en releases.

Privacy

In uitvoering

We streven ernaar datatoegang te beperken tot de minimaal noodzakelijke scope.

Datresidentie

Geimplementeerd

Waar mogelijk en beschikbaar bij de provider kiezen we voor EU-nabije infrastructuur.

Toegangscontrole

Geimplementeerd

Authenticatie, rollenmodel en workspace-scoping zitten in het product ingebouwd.

Versleuteling

Geimplementeerd

Verkeer gebruikt TLS. Versleuteling at-rest wordt geleverd door infrastructuurproviders.

Incident response

Actief

Beveiligingsmeldingen worden op prioriteit getrieerd; doel voor eerste bevestiging: 72 uur.

Controles & Maatregelen

Identiteit & toegang

Authenticatie (Clerk)

Toegang tot afgeschermde delen loopt via Clerk-authenticatie.

Geimplementeerd

Rollenmodel

Toegang wordt gesegmenteerd via rollen zoals Admin, Editor en Member.

Geimplementeerd

Least privilege

Rechten blijven zo smal mogelijk ten opzichte van workspace- en taakcontext.

In uitvoering

Applicatiebeveiliging

Wijzigingsreview

Wijzigingen worden beoordeeld voordat ze live gaan.

In uitvoering

Dependency hygiene

Afhankelijkheden worden continu gemonitord en bijgewerkt.

In uitvoering

Rate limiting & abuse prevention

Aanvullende guardrails voor misbruikgevoelige endpoints zijn gepland.

Gepland

Privacy & maatregelen

Transportversleuteling

Platformverbindingen zijn ingericht op HTTPS/TLS.

Geimplementeerd

Back-ups

Back-upmogelijkheden worden vooral geleverd door onze infrastructuurproviders.

Geimplementeerd

Audit logging

Uitgebreidere security-auditlogs voor meer transparantie zijn gepland.

Gepland

Multi-tenant isolatie

Workspace-isolatie

Datatoegang wordt begrensd via workspace-scoping en Supabase RLS-policies.

Geimplementeerd

Domeinscheiding

Routing voor platform-, subdomain- en custom-domain-verkeer volgt een tenant-resolutiemodel.

Geimplementeerd

Security Advisories

OXOM-2026-001

Vault Decrypt Secret — Niet-geverifieerde API-toegang

Hoog

Een interne databasefunctie voor het ontsleutelen van opgeslagen API-credentials was bereikbaar zonder authenticatie via de REST-API. Toegang is beperkt tot server-side service role. Er zijn geen aanwijzingen voor ongeautoriseerde toegang.

Gemeld: 03 mei 2026Opgelost: 03 mei 2026

Subverwerkers

Huidige providers

Deze lijst toont de belangrijkste externe aanbieders in het huidige productgebruik en kan wijzigen.

Aanbieder	Doel	Locatie	Link
Vercel	Hosting en edge-distributie	EU/US (providerafhankelijk)	vercel.com
Supabase	Postgres-database en platformdiensten	EU/US (providerafhankelijk)	supabase.com
Clerk	Authenticatie en sessiebeheer	EU/US (providerafhankelijk)	clerk.com
Anthropic	AI-features	Varieert	www.anthropic.com/
OpenAI	AI-features	Varieert	openai.com
Dub	Link-infrastructuur	Varieert	dub.co
Liveblocks	Collab	EU/US (providerafhankelijk)	liveblocks.io
Cloudflare	Opslag (R2)	EU/US (providerafhankelijk)	www.cloudflare.com/
Stripe	Betalingen en billing	EU/US (providerafhankelijk)	stripe.com
DeepL	Vertaling en taalverwerking	EU/US (providerafhankelijk)	www.deepl.com/en
ElevenLabs	Text-to-speech	Varieert	elevenlabs.io
Upstash	Redis-gebaseerde rate limiting	EU/US (providerafhankelijk)	upstash.com
Discord	Community- en aankondigingsintegraties	Varieert	discord.com
Twitch	Command- en botintegraties	Varieert	www.twitch.tv/
Linear	Issue tracking en intern ticketing	Varieert	linear.app
Buffer	Social planning en publishing	Varieert	buffer.com

Vulnerability Disclosure

Beveiligingsmeldingen

Beveiligingsmeldingen graag naar security@oxom.de.

Vermeld de betreffende URL, reproductiestappen en verwachte impact.

Geen verstoring van de lopende dienstverlening en alleen minimaal noodzakelijke datatoegang.

Reactiedoelen

Eerste bevestiging binnen 72 uur.
Kritiek: doel voor eerste mitigatie binnen 72 uur.
Hoog: doel voor oplossing binnen 7 dagen.
Middel: doel voor oplossing binnen 30 dagen.
Laag: doel voor oplossing binnen 90 dagen.

Safe harbor: meldingen te goeder trouw worden ondersteund, zolang testen legaal, niet-destructief en beperkt van scope blijft.

FAQ's

Waar wordt mijn data opgeslagen?

Data staat bij geselecteerde infrastructuurproviders. Waar logisch en beschikbaar kiezen we voor EU-nabije deployments.

Hoe scheiden jullie workspaces?

Workspace-data wordt geisoleerd op applicatielaag en via Supabase Row-Level Security (RLS).

Ondersteunt oxom custom domains?

Ja. Subdomains en custom domains maken deel uit van het domain-mappingmodel van het platform.

Hoe meld ik een beveiligingsprobleem?

Mail security@oxom.de en vermeld de betreffende URL, reproductiestappen en mogelijke impact.

Hebben jullie een bug bounty-programma?

Een publiek bug bounty-programma is momenteel niet aangekondigd. Coordinated disclosure kan via het security-contact.

Ondersteunen jullie SSO?

Een publieke SSO-status is nog niet apart gedocumenteerd. Neem contact op met support voor de actuele stand.

Hoe gaan jullie om met AI-data?

AI-features kunnen externe modelproviders gebruiken. We proberen alleen noodzakelijke data te versturen en de scope te minimaliseren.

Hoe snel reageren jullie op meldingen?

Doel is een eerste bevestiging binnen 72 uur en een prioritaire oplossing op basis van ernst.

Laatst bijgewerkt: 22 februari 2026