Beveiliging

Wij nemen beveiliging
serieus.

RuntimeGuard is een beveiligingsproduct — daarom houden we onszelf aan een hoge standaard als het gaat om het beschermen van jouw data, jouw infrastructuur en het vertrouwen dat je in ons stelt.

Beveiligingsaanpak
Hoe we jouw data beschermen
Beveiliging is geen bijzaak bij RuntimeGuard. Dit zijn de praktijken en maatregelen die we hebben ingevoerd.
🔒

Versleuteling in transit

Alle data tussen je agents en onze API wordt versleuteld met TLS 1.3. We dwingen HTTPS af op alle endpoints. Plaintext-verbindingen worden afgewezen. API-sleutels worden verzonden via beveiligde headers, nooit in query-strings.

🗄

Versleuteling at rest

Event-data en incidentrecords worden opgeslagen op versleutelde volumes. Versleuteling op databaseniveau wordt toegepast op alle gevoelige velden, inclusief API-sleutels (opgeslagen als bcrypt-hashes) en tenantgegevens.

🔑

Authenticatie & toegangsbeheer

Elk API-verzoek vereist een geldige API-sleutel die is gekoppeld aan één tenant. Beheerbewerkingen vereisen een apart admin-geheim. Snelheidsbegrenzing (100 req/min) voorkomt brute-force en misbruik. Sleutels kunnen direct worden ingetrokken vanuit het dashboard.

🏢

Multi-tenant isolatie

De data van elke tenant is volledig geïsoleerd op opslagniveau. Tenant-ID's worden server-side gevalideerd bij elke bewerking. Het is architecturaal onmogelijk voor één tenant om de events of incidenten van een andere tenant op te vragen.

📋

Minimale dataverzameling

De eBPF-agent verzamelt alleen wat nodig is voor detectie: procesnamen, bestandspaden, event-tijdstippen en PID's. Hij verzamelt geen bestandsinhoud, geheugendumps, netwerkverkeer of inloggegevens. Jij blijft altijd eigenaar van je data.

🛡

eBPF-veiligheid

eBPF-programma's worden door de Linux-kernel geverifieerd voordat ze worden uitgevoerd. Ze kunnen de kernel niet laten crashen, hebben geen toegang tot willekeurig geheugen en zijn beperkt tot de specifieke tracepoints waaraan ze zijn gekoppeld. De agent vereist root om eBPF te laden, maar draait daarna met minimale rechten.

Data & compliance
Dataverwerkingspraktijken
We zijn toegewijd aan verantwoorde dataverwerking en werken aan formele compliancecertificeringen.
Event-data wordt verwerkt en opgeslagen binnen de EU (Nederland).
Bewaartermijnen zijn instelbaar per tenant — standaard 90 dagen voor events, 1 jaar voor incidenten.
Je kunt op elk moment een volledige data-export of verwijdering aanvragen via de ondersteuning.
We verkopen, delen of gebruiken klantdata niet voor andere doeleinden dan het leveren van de dienst.
We gebruiken klant-event-data niet voor ML-training, benchmarking of productanalytics zonder expliciete toestemming.
Sub-verwerkers zijn beperkt tot infrastructuurproviders (cloudhosting, e-mail) met passende verwerkersovereenkomsten.
SOC 2 Type II- en ISO 27001-certificeringen staan op onze roadmap voor 2026.
Verantwoorde openbaarmaking
Kwetsbaarheid gevonden?
We verwelkomen verantwoordelijk beveiligingsonderzoek. Als je een mogelijke kwetsbaarheid in RuntimeGuard hebt gevonden, laat het ons weten voordat je het openbaar maakt. We beloven een eerlijk en transparant proces.

Hoe te melden

Stuur een gedetailleerd rapport naar ons beveiligingsteam. Vermeld een beschrijving van de kwetsbaarheid, stappen om het te reproduceren, mogelijke impact en eventuele proof-of-concept-code die je hebt ontwikkeld. We bevestigen ontvangst binnen 24 uur.

Contact:

Voor gevoelige meldingen kun je in je eerste bericht om onze PGP-sleutel vragen en we reageren via een versleuteld kanaal.

Responstijdlijn
Ernst
Beschrijving
Respons-SLA
Kritiek
Remote code-uitvoering, authenticatie-bypass, volledige tenantdata-blootstelling
24 u
Hoog
Gedeeltelijke datablootstelling, privilege-escalatie binnen een tenant
72 u
Gemiddeld
Informatieverschaffing, snelheidslimiet-bypass, CSRF op niet-kritieke acties
7 dagen
Laag
Hardening-verbeteringen, laag-impact bevindingen
30 dagen
Onze toezeggingen aan onderzoekers
Stap 1 — Bevestiging

We bevestigen je melding

Binnen 24 uur na jouw melding sturen we je een bevestiging dat deze is ontvangen en door ons beveiligingsteam wordt beoordeeld.

Stap 2 — Beoordeling

We beoordelen de ernst

We beoordelen de geldigheid en ernst van de bevinding. We communiceren onze beoordeling aan jou en bespreken eventuele vragen over reproductie of impact.

Stap 3 — Herstel

We ontwikkelen en deployen een patch

Ons team ontwikkelt en deployt een fix binnen de SLA voor het ernstniveau. We informeren je wanneer de fix live is en bieden je de mogelijkheid de patch te verifiëren.

Stap 4 — Openbaarmaking

We ondersteunen gecoördineerde openbaarmaking

Na het deployen van de fix zijn we blij gecoördineerde publieke openbaarmaking te ondersteunen op een tijdstip dat met de onderzoeker is afgesproken. We vermelden je in ons beveiligingsadvies, tenzij je anoniem wilt blijven.

Altijd

Geen juridische stappen bij onderzoek te goeder trouw

We beloven geen juridische stappen te ondernemen tegen onderzoekers die kwetsbaarheden te goeder trouw ontdekken en melden, zonder toegang tot klantdata of verstoring van de dienst.

Scope
Wat valt binnen scope

Binnen scope

api.runtimeguard.io — backend REST API
app.runtimeguard.io — dashboard-webapp
runtimeguard.io — marketingwebsite
Het open-source eBPF-agent-binair
Authenticatie en sessiebeheer
Tenant-data-isolatie

Buiten scope

Denial-of-service-aanvallen
Fysieke aanvallen op infrastructuur
Social engineering van medewerkers
Toegang tot of wijziging van data van andere klanten
Geautomatiseerd scannen zonder afstemming

Vragen over
onze beveiliging?

Neem direct contact op met ons team. We reageren snel op alle beveiligingsgerelateerde vragen.

Neem contact op → Documentatie