Vertrouwen

Beveiliging bij AppTorX

Laatst bijgewerkt: 1 juni 2026

Beveiliging is een eigenschap van elke app die we genereren — en van het platform dat ze bouwt. Op deze pagina vatten we ons programma samen.

1. Platformbeveiliging

Het AppTorX-platform is gebouwd volgens het principe van defence in depth. Onderstaande maatregelen zitten in de code en zijn getoetst met een adversariële security-review:

  • Wachtwoorden gehasht met bcrypt (cost 12); sessies zijn ondertekende JWT's in HttpOnly, SameSite-cookies en zijn intrekbaar (een wachtwoord-reset maakt bestaande sessies ongeldig).
  • Optionele tweestapsverificatie (TOTP) met back-upcodes; het 2FA-secret wordt versleuteld opgeslagen (AES-256-GCM).
  • Strikte Content-Security-Policy, X-Frame-Options DENY en een aangescherpte set beveiligingsheaders op elke response. In productie staat TLS aan met HSTS.
  • Rate limiting en accountvergrendeling tegen brute-force-aanvallen — ook op de tweede factor.
  • Alle invoer wordt server-side gevalideerd met strikte schema's; databasetoegang uitsluitend via geparametriseerde queries (Prisma ORM).
  • Resource-isolatie per gebruiker: elke API-call verifieert het eigendom van het object.
  • Uitgaande webhooks worden ondertekend met HMAC-SHA256 en beschermd tegen SSRF; door gebruikers ingevoerde URL's worden gevalideerd tegen interne adressen.

2. Beveiliging van gegenereerde apps

Apps die AppTorX genereert, volgen de best practices voor mobiel:

  • Uitsluitend HTTPS-verkeer — cleartext staat uit in het Android-manifest en in iOS App Transport Security.
  • Bestands- en contenttoegang van de WebView staat uit; JavaScript-bridges zijn uitsluitend opt-in.
  • Externe links openen in de systeembrowser, zodat je app netjes binnen je eigen domein blijft.
  • Release-builds worden geminificeerd en verkleind met R8/ProGuard.

3. Operationele maatregelen

Wat we vandaag operationeel toepassen:

  • Continue dependency-scanning op bekende kwetsbaarheden.
  • Secrets (2FA-, webhook- en sessiesleutels) worden versleuteld bewaard en nooit teruggegeven aan de client.
  • Periodieke interne security-reviews bij elke grote wijziging.

4. Op de roadmap

Voor de volledige transparantie: onderstaande maatregelen zijn gepland maar nog niet operationeel. We melden het op deze pagina zodra ze live zijn.

  • Onafhankelijke penetratietest door een externe partij.
  • Versleutelde back-ups met een formele bewaartermijn en geteste restores.
  • Verwerkersovereenkomsten (AVG) met alle subverwerkers en gegarandeerde EU/EER-dataopslag.
  • Least-privilege-toegangsbeleid met MFA voor het team naarmate we groeien.

5. Responsible disclosure

Een kwetsbaarheid gevonden? Mail security@apptorx.nl met reproductiestappen. We streven ernaar meldingen binnen enkele werkdagen te bevestigen, houden je op de hoogte en ondernemen geen juridische stappen tegen onderzoek te goeder trouw.