Beveiliging
Hoe uw tenantgegevens worden verwerkt.
Elke klant krijgt een toegewijde Klantomgeving op Cloudflare Workers en D1. Apparaatagenten handhaven het beleid lokaal; de cloudedge bewaart beleid, blokkeringsevenementen en inschrijvingsrecords — allemaal tenant-gescoped onder Spot Cloud B.V.
-
Spot Suite OIDC-aanmelding
Beheerderaanmelding maakt gebruik van Microsoft Entra ID via Spot Suite OIDC op spot-cloud.spot-suite.com. Apparaatagenten zien nooit gebruikerswachtwoorden.
-
Toegewijde per-klant isolatie
Elke Klantomgeving draait op een eigen Cloudflare Worker, D1-database en opslag. Geen gedeelde infrastructuur tussen tenants.
-
Tenant-gescoped data
Beleid, blokkeringsevenementen en inschrijvingsrecords zijn gescoped naar uw tenant. Rijen kruisen geen klantgrenzen.
-
EU-gegevensresidentie
Klantomgevingen draaien in de EU-regio, beheerd door Spot Cloud B.V.
-
Auditlogging en -export
Blokkeringsevenementen registreren apparaat, domein, categorie, bron en tijdstempel. Exporteer als CSV of JSON vanuit de beheerconsole.
-
Gehashte apparaatreferenties
Beheerde agenten authentificeren met per-apparaat csk_-API-sleutels, sha256-gehasht server-side. Sleutels worden opgeslagen met 0600-machtigingen op het eindpunt.
-
Ondertekende indicatorbundels
Dreigingsfeeds worden verzonden als ed25519-ondertekende gzip-bundels. Agenten verifiëren de handtekening voordat indicatoren worden toegepast — offline cache bewaart de laatst geverifieerde bundel.
-
Geen TLS-ontsleuteling
Handhaving is alleen-DNS. Geblokkeerde domeinen worden naar een lokale blokkadepagina gesinkholed. Geen TLS-inspectie, PAC-bestand of netwerkgateway in het beleidspad.
-
Controlemapping: ISO 27001 · DORA · GDPR
Platformcontroles zijn gemapt naar ISO 27001:2022, DORA en GDPR. Auditbewijs en het controlemappingpakket worden gedeeld onder NDA — formele SOC 2- of ISO-certificeringen worden niet geclaimd.
Vragen over de architectuur?
Boek een walkthrough van 30 minuten — tenantisolatie, apparaatreferenties, ondertekende bundels en auditexports.