• Formulieren worden middels POST verstuurd (met uitzondering van filter functies). Dit voorkomt dat persoonsgegevens in server logs of browser geschiedenis terug komen. (Zie: https://www.avgcloudregister.nl/blog/datalek-albert-heijn-tienduizend-inloggegevens-gelekt/)
• Server logs worden op een andere locatie opgeslagen dan de tooling zelf.

Externe beveiliging

• SSL voor versleuteling van verkeer tussen server en bezoeker. (zie: "https://www.avgcloudregister.nl/blog/ssl-https-groene-slotje-avg/");
• We maken geen gebruik van third party libraries die gehost worden op externe servers (hiermee wordt uitgesloten dat bronnen zonder ons medeweten en goedkeuring al dan niet voor kwaadwillende doeleinden tussentijds worden gewijzigd);
• Geen third party libraries die data door kunnen sluisen. (zie: "https://www.avgcloudregister.nl/blog/google-pii-policy-track-geen-persoonlijke-data/");

Interne beveiliging

• We maken gebruik van een gecertificeerd datacenter. (zie: "Waar staat jullie server?");
• Url's / identifiers worden (omkeerbaar) ge-encrypt, waardoor het voor een buitenstaander niet mogelijk is url's te gokken;
• Indien via bruteforcing deze identifiers gegenereerd worden, is inhoud op basis van het RBAC systeem afgeschermd;
• Er wordt gebruik gemaakt van CSRF tokens, waarmee session hijacking wordt voorkomen.

• Een organisatie kan 2FA als verplichte security vereiste opleggen, als ook 2FA afdwingen voor specifieke pagina's.
• Een organisatie kan restrictie leggen op ip-adres(sen) waarvandaan ingelogd mag worden. Handig wanneer een gehele organisatie een eigen security-policy heeft en vanuit VPN omgeving werkt met vast ip-adres.

Wachtwoorden worden onomkeerbaar versleuteld (gehashed) opgeslagen. Dit vindt plaats middels een salt, waarna versleuteling via blowfish hashing plaats vindt, link: https://www.schneier.com/academic/blowfish/