NavaTron

Beveiligingsbeleid

De openbare beveiligingsaanpak van NavaTron en het proces voor verantwoorde openbaarmaking.

Versiedatum: 27 maart 2026

Dit Beveiligingsbeleid legt de openbare beveiligingsaanpak van NavaTron uit voor zijn website, clouddiensten en gerelateerde activiteiten. Het legt ook uit hoe u beveiligingslekken aan ons kunt melden.

Wij hebben deze pagina in begrijpelijke taal geschreven. Het is een openbare samenvatting van onze beveiligingsaanpak, geen certificering, garantie of SLA. Als een contract, opdracht, verwerkersovereenkomst of SLA meer specifieke beveiligingsafspraken bevat, prevaleert dat ondertekende document.

1. Wie is verantwoordelijk?

NavaTron is een Nederlands B2B-softwarebedrijf. Beveiliging maakt deel uit van hoe wij onze producten en diensten ontwerpen, beheren en ondersteunen.

Openbare beveiligingszaken en verantwoorde openbaarmaking worden behandeld door:

NavaTron B.V. Beveiligingsteam security@navatron.com

2. Hoe benaderen wij beveiliging?

Wij organiseren beveiliging via interne verantwoordelijkheden die onderwerpen omvatten zoals:

  • eigenaarschap en verantwoordelijkheid;
  • toegangsbeheer;
  • incidentafhandeling;
  • wijzigingsbeheer;
  • beoordeling van leveranciers en subverwerkers;
  • juridische en compliancecoördinatie waar persoonsgegevens betrokken zijn.

Beveiliging maakt deel uit van onze operationele processen, productwijzigingen en supportactiviteiten. Wij herzien onze aanpak regelmatig en passen deze aan wanneer onze diensten, infrastructuur of risicoprofiel veranderen.

3. Hosting en infrastructuur

Tenzij een klantovereenkomst anders bepaalt, gebruikt NavaTron Microsoft Azure in EU-regio’s voor zijn website en gehoste producten.

Wij ontwerpen onze beheerde omgeving om onnodige blootstelling te beperken door middel van maatregelen zoals gecontroleerde beheerderstoegang, beheerde infrastructuur, logboekregistratie en operationele monitoring die passend is bij de dienst.

Sommige producten kunnen ook worden aangeboden in een private-cloud- of klantgehost model. In die gevallen wordt de exacte verdeling van verantwoordelijkheden beschreven in het relevante contract of de implementatiedocumenten.

4. Welke beveiligingsmaatregelen gebruiken wij?

De exacte maatregelen zijn afhankelijk van de dienst en het implementatiemodel, maar kunnen omvatten:

  • versleuteling in transit via TLS;
  • versleuteling in rust in de beheerde cloudomgeving van NavaTron waar passend;
  • toegangscontroles gebaseerd op bedrijfsbehoefte en minimale bevoegdheden;
  • logboekregistratie en monitoring van relevante systeem- en beveiligingsgebeurtenissen;
  • back-up- en herstelprocedures;
  • patching, kwetsbaarhedenbeheer en beveiligingsbeoordelingsprocessen;
  • geheimhoudingsverplichtingen voor personeel en contractanten.

Wij publiceren op deze pagina geen gedetailleerde technische beveiligingsconfiguraties.

5. Toegangsbeheer

Wij beperken de toegang tot productiesystemen en klantomgevingen tot bevoegde personen die die toegang nodig hebben voor hun rol.

In de praktijk betekent dit, waar passend:

  • benoemde accounts in plaats van gedeelde inloggegevens;
  • rolgebaseerde machtigingen;
  • toegangsbeoordeling en intrekking wanneer niet langer nodig;
  • sterkere bescherming, inclusief meervoudige verificatie waar ondersteund, voor beheerderstoegang.

6. Beveiligingstests en certificeringen

NavaTron voert op regelmatige basis beveiligingsbeoordelingsactiviteiten uit en pakt bevindingen aan op basis van het relevante risico en de ernst.

NavaTron vermeldt dat het jaarlijks penetratietests uitvoert van zijn productieomgeving via gekwalificeerde externe beoordelaars. Testresultaten zijn vertrouwelijk en worden niet openbaar gepubliceerd, maar wij kunnen een samenvatting of attest delen met klanten onder passende vertrouwelijkheidsvoorwaarden.

NavaTron claimt momenteel geen ISO 27001, SOC 2 of vergelijkbare formele certificering, tenzij wij dit afzonderlijk schriftelijk vermelden.

7. Beveiligingsincidenten en inbreuken op persoonsgegevens

Wij detecteren, onderzoeken, beheersen en verhelpen beveiligingsincidenten op een gestructureerde manier.

Bij een inbreuk op persoonsgegevens:

  • wanneer NavaTron optreedt als verwerkingsverantwoordelijke, beoordelen wij of melding vereist is bij de Autoriteit Persoonsgegevens en, waar van toepassing, aan betrokkenen op grond van de AVG;
  • wanneer NavaTron optreedt als verwerker, stellen wij de relevante verwerkingsverantwoordelijke klant onverwijld in kennis in overeenstemming met het toepasselijke contract en de verwerkersovereenkomst;
  • wij kunnen ook getroffen klanten informeren binnen de contractuele of wettelijke termijn die van toepassing is op het incident.

Meer informatie over privacygerelateerde afhandeling vindt u in onze Privacyverklaring.

8. Leveranciers en subverwerkers

Wij gebruiken externe providers voor delen van onze activiteiten, zoals hosting, betalingen, facturering, analyse en zakelijke communicatie.

Wij selecteren providers die passend zijn voor de dienst en het betrokken risico, en wij implementeren contractuele gegevensbeschermings- en vertrouwelijkheidsmaatregelen waar vereist.

Zie onze Privacyverklaring en de pagina Subverwerkers voor privacygerelateerde details.

9. Gedeelde verantwoordelijkheid

Beveiliging wordt gedeeld tussen NavaTron en zijn klanten.

NavaTron is verantwoordelijk voor de infrastructuur- en servicelagen die wij zelf beheren.

Klanten zijn verantwoordelijk voor, onder meer:

  • het beheren van hun eigen gebruikers en interne machtigingen;
  • het beschermen van eindgebruikersapparaten en lokale omgevingen;
  • het configureren van de dienst in overeenstemming met hun juridische en operationele behoeften;
  • het beveiligen van de systemen en integraties die zij beheren;
  • het geven van rechtmatige instructies wanneer NavaTron als verwerker optreedt.

Als een dienst buiten de beheerde omgeving van NavaTron wordt ingezet, zijn de verantwoordelijkheden van de klant doorgaans breder.

10. Verantwoorde openbaarmaking

Als u meent een beveiligingslek te hebben gevonden in een NavaTron-website, -product of -API die wij bezitten of beheren, meld dit dan op een verantwoorde manier via security@navatron.com.

Indien beschikbaar kunnen wij op verzoek een PGP-sleutel verstrekken voor gevoelige meldingen.

Wat moet u vermelden?

Vermeld indien mogelijk:

  • een duidelijke beschrijving van het probleem;
  • het getroffen systeem, de URL, het eindpunt of het product;
  • stappen om het probleem te reproduceren;
  • schermafbeeldingen, proof-of-concept materiaal of ander ondersteunend bewijs;
  • de potentiële impact;
  • contactgegevens voor follow-up.

Wat kunt u van ons verwachten?

Voor meldingen die te goeder trouw zijn gedaan en in overeenstemming met dit beleid, streeft NavaTron ernaar om:

  • de melding binnen 2 werkdagen te bevestigen;
  • deze zo snel als redelijkerwijs mogelijk te beoordelen en te prioriteren;
  • waar passend met de melder te communiceren tijdens het onderzoek;
  • de melder te informeren wanneer het probleem is opgelost of anderszins is gesloten.

Veilige haven

NavaTron zal geen juridische stappen ondernemen uitsluitend vanwege verantwoordelijk beveiligingsonderzoek dat:

  • te goeder trouw wordt uitgevoerd;
  • beperkt blijft tot wat redelijkerwijs noodzakelijk is om het probleem aan te tonen;
  • privacyschade, serviceonderbreking en gegevensvernietiging vermijdt;
  • voldoet aan de toepasselijke wet- en regelgeving;
  • dit beleid volgt.

Dit machtigt niet:

  • het benaderen, kopiëren, wijzigen of verwijderen van gegevens die niet van u zijn;
  • social engineering, phishing of fysieke indringing;
  • denial-of-service of vergelijkbaar verstorend testen;
  • afpersing, losgeldverzoeken of bedreigingen;
  • persistentie, laterale beweging of voortdurende exploitatie nadat het probleem is bevestigd;
  • openbare openbaarmaking voordat NavaTron een redelijke mogelijkheid heeft gehad om het probleem te onderzoeken en te verhelpen.

Reikwijdte

Tenzij wij anders vermelden, is dit openbaarmakingsbeleid bedoeld voor:

  • navatron.com;
  • door NavaTron gehoste productomgevingen voor BuildCentral, NavaLogix en SimCore;
  • door NavaTron beheerde API’s en klantportalen.

De volgende zaken vallen over het algemeen buiten de reikwijdte:

  • systemen van derden die niet eigendom zijn van of worden beheerd door NavaTron;
  • social engineering van NavaTron-personeel;
  • fysieke beveiligingsproblemen;
  • algemene best-practice observaties zonder een aantoonbaar beveiligingslek;
  • testen die de servicebeschikbaarheid onredelijk zou verminderen.

Timing van openbaarmaking

Wij vragen melders een beveiligingslek niet openbaar te maken totdat NavaTron een redelijke mogelijkheid heeft gehad om het te onderzoeken en te verhelpen. Als algemeen streefdoel werken wij toe naar een oplossing binnen 90 dagen na bevestiging, maar sommige problemen kunnen langer duren.

11. Bug bounty

NavaTron exploiteert momenteel geen openbaar betaald bug bounty-programma, tenzij wij dit anderszins schriftelijk vermelden.

12. Contact

Voor beveiligingsvragen, meldingen van verantwoorde openbaarmaking of compliancevragen: