Naar inhoud
Lexiik
rollback

API-beveiliging: Gegevensbescherming en AVG-naleving

Laatst bijgewerkt : 9 februari 2026

De veiligheid van je gegevens is onze absolute prioriteit. Ontdek hoe Lexiik je gevoelige informatie beschermt met de hoogste beveiligingsnormen van de industrie en tegelijkertijd volledige AVG-naleving garandeert.

ISO 27001-certificering

Lexiik is ISO 27001-gecertificeerd (informatiebeveiliging) en wordt jaarlijks geauditeerd door een onafhankelijke instantie. Je gegevens worden beschermd volgens de strengste internationale normen.

Lexiik-beveiligingsarchitectuur

De beveiliging van Lexiik is gebaseerd op een Defense in Depth-aanpak (verdediging in de diepte) met meerdere onafhankelijke beschermingslagen. Zelfs als een laag wordt gecompromitteerd, garanderen de anderen de bescherming van je gegevens.

Versleuteling in transit (TLS 1.3)

Alle communicatie tussen je webwinkel en de Lexiik-servers is versleuteld met TLS 1.3, het meest recente en robuuste beveiligingsprotocol:

  • Perfect Forward Secrecy (PFS): Zelfs als een sleutel gecompromitteerd wordt, blijven eerdere communicaties beveiligd
  • Wildcard SSL-certificaten: *.lexiik.com en cdn.lexiik.com met automatische verlenging
  • HSTS ingeschakeld: Dwingt de browser altijd HTTPS te gebruiken (geen downgrade naar HTTP mogelijk)
  • TLS 1.0/1.1 uitgeschakeld: Verouderde protocollen geblokkeerd, alleen TLS 1.2 en 1.3 worden geaccepteerd

Goed om te weten

Score A+ op SSL Labs (de referentietest voor SSL-beveiliging). Je kunt onze configuratie op elk moment controleren op ssllabs.com.

Versleuteling in rust (AES-256)

Alle gegevens die op de Lexiik-servers zijn opgeslagen, worden versleuteld met het AES-256-algoritme (Advanced Encryption Standard, 256-bits sleutel), dat zelfs door de NSA als onkraakbaar wordt beschouwd:

  • Database: Volledige versleuteling van PostgreSQL met Transparent Data Encryption (TDE)
  • Snapshots: Elke snapshot wordt individueel versleuteld met een afgeleid uniek sleutel
  • Afbeeldingen: De originele afbeeldingen (vóór CDN-optimalisatie) worden versleuteld op S3-opslag
  • Logs: Auditjournalen versleuteld en cryptografisch ondertekend (niet te vervalsen)

De versleutelingssleutels zijn zelf versleuteld met een Master Key opgeslagen in een HSM (Hardware Security Module) die fysiek beveiligd is in onze Europese datacenters.

Tenant-isolatie (beveiligde multi-tenancy)

Lexiik is een multi-tenant platform, wat betekent dat meerdere klanten dezelfde infrastructuur delen. Om volledige isolatie tussen accounts te garanderen:

  • Row-Level Security (RLS): Elke SQL-query filtert automatisch gegevens op account_id
  • Geïsoleerde namespaces: API-sleutels, webhooks en asynchrone taken zijn per tenant geïsoleerd
  • Rate limiting per account: Een kwaadwillende klant kan de prestaties van anderen niet beïnvloeden
  • Quota per resource: CPU, RAM, opslag, bandbreedte beperkt per plan (fair-use beleid)

Enterprise plan: Dedicated Infrastructure

Enterprise-klanten kunnen kiezen voor een toegewijde infrastructuur (geïsoleerde servers en database) voor volledige fysieke isolatie. Contact: [email protected]

API-authenticatie en autorisatie

API-sleutels: Aanmaak en rotatie

De Lexiik API gebruikt geheime API-sleutels om aanvragen te authenticeren die afkomstig zijn van je webwinkel (via de Bridge) of je aangepaste integraties:

  • Formaat: lxk_live_xxxxxxxxxxxxxxxxxxxxx (voorvoegsel voor live-omgeving) of lxk_test_xxxxxxxxxxxxxxxxxxxxx (voorvoegsel voor testomgeving)
  • Lengte: 64 tekens (256 bits entropie, ofwel 2^256 mogelijke combinaties = 10^77)
  • Opslag: Gehasht in bcrypt (kost 12) in de database, nooit in leesbare tekst opgeslagen
  • Aanbevolen rotatie: Elke 90 dagen voor Pro-plannen en hoger

Een API-sleutel aanmaken:

  1. Ga naar Instellingen > API en integraties
  2. Klik op Nieuwe API-sleutel aanmaken
  3. Geef de sleutel een naam (bijv. "Bridge Productie" of "Migratiescript")
  4. Kopieer de weergegeven sleutel (deze wordt nooit meer getoond!)
  5. Sla hem op in een wachtwoordmanager (1Password, Bitwarden, Vault, enz.)

Let op

Belangrijk: commit NOOIT een API-sleutel in Git, zelfs niet in een privérepository. Gebruik omgevingsvariabelen (.env) en voeg .env toe aan je .gitignore.

Scopes en granulaire rechten

Elke API-sleutel kan beperkte rechten hebben (principe van minste privileges):

  • read:products: Productpagina's lezen
  • write:products: Productpagina's aanmaken en wijzigen
  • read:audits: SEO-auditrapporten raadplegen
  • write:audits: Een audit starten (verbruikt credits)
  • read:snapshots: De geschiedenis raadplegen (Rollback)
  • write:snapshots: Een snapshot herstellen (gevoelige actie)
  • admin:all: Volledige toegang (alleen voor beheerders)

Voorbeeld: een API-sleutel die alleen wordt gebruikt om KPI's op een intern dashboard weer te geven, kan worden beperkt tot read:products en read:audits.

Rate limiting en anti-misbruikbescherming

De Lexiik API implementeert strikte rate limiting om misbruik te voorkomen en beschikbaarheid te garanderen:

  • Gratis plan: 100 aanvragen / uur
  • Starter plan: 500 aanvragen / uur
  • Pro plan: 2.000 aanvragen / uur
  • Expert plan: 10.000 aanvragen / uur
  • Enterprise plan: Onbeperkt (fair-use beleid met melding bij 50.000 req/uur)

Bij overschrijding retourneert de API een HTTP-code 429 Too Many Requests met een Retry-After-header die aangeeft hoeveel seconden er gewacht moet worden.

Goed om te weten

De Lexiik Bridge (module voor CMS) profiteert van een hogere rate limit omdat aanvragen worden samengevoegd (batch processing). Een synchronisatie van 1000 producten = slechts 1 API-aanvraag.

AVG-naleving (Algemene Verordening Gegevensbescherming)

Lexiik voldoet volledig aan de AVG (Europese Verordening 2016/679) en past Privacy by Design-beginselen toe bij de ontwikkeling van elke functie.

100% Europese hosting

Al je gegevens worden exclusief gehost in de Europese Unie:

  • Primair datacenter: OVHcloud Gravelines (Frankrijk)
  • Secundaire replicatie: OVHcloud Straatsburg (Frankrijk)
  • Tertiaire replicatie: Hetzner Falkenstein (Duitsland)
  • CDN Edge: 35 aanwezigheidspunten wereldwijd, maar gevoelige gegevens worden nooit buiten de EU gecached

Je gegevens passeren NOOIT de Verenigde Staten of enig ander niet-EU-land. We gebruiken geen AWS, Google Cloud of Azure (aanbieders die onderworpen zijn aan de Amerikaanse Cloud Act).

Succes

Lexiik is geregistreerd bij de AP (Autoriteit Persoonsgegevens, het Nederlandse equivalent van de CNIL) en beschikt over een gecertificeerde DPO (Data Protection Officer).

Minimalisatie van verzamelde gegevens

Lexiik verzamelt alleen gegevens die strikt noodzakelijk zijn voor de werking van de dienst:

Verzamelde gegevens:

  • E-mailadres (authenticatie en meldingen)
  • Voor- en achternaam (facturering)
  • Betalingsgegevens (opgeslagen door Stripe, gecertificeerd PCI-DSS niveau 1)
  • Productpagina's (titel, beschrijving, afbeeldingen, publieke prijs, categorieën)
  • Technische logs (IP, user-agent, tijdstempel) maximaal 90 dagen bewaard

Gegevens die NOOIT worden verzameld:

  • Persoonlijke gegevens van je eindklanten (e-mails, adressen, aankoopgeschiedenis)
  • Creditcardnummers (gedelegeerd aan Stripe)
  • Wachtwoorden in leesbare tekst (gehasht in Argon2id)
  • Navigatiegegevens op je webwinkel (wij zijn geen analytics-tool)

Jouw AVG-rechten

Je profiteert van alle rechten die door de AVG zijn voorzien, direct toegankelijk vanuit je Lexiik-account:

  • Recht op inzage (Art. 15): Al je gegevens downloaden in JSON-formaat (Instellingen > Mijn gegevens exporteren)
  • Recht op rectificatie (Art. 16): Je persoonlijke gegevens op elk moment wijzigen
  • Recht op verwijdering (Art. 17): Je account en alle gegevens definitief verwijderen (Instellingen > Mijn account verwijderen)
  • Recht op overdraagbaarheid (Art. 20): Je gegevens exporteren in een standaardformaat (JSON, CSV)
  • Recht van bezwaar (Art. 21): De verwerking van bepaalde gegevens weigeren (bijv. marketing-e-mails)
  • Recht op beperking (Art. 18): De verwerking van je gegevens tijdelijk opschorten

Je rechten uitoefenen of contact opnemen met onze DPO: [email protected]

Goed om te weten

Gegarandeerde reactietijd: 72 uur voor een toegangsverzoek, maximaal 30 dagen voor volledige verwijdering (conform Art. 12 van de AVG).

Beveiligingsaudits en certificeringen

Regelmatige pentests

Lexiik wordt regelmatig onderworpen aan penetratietests (pentests) door gespecialiseerde bureaus:

  • Frequentie: 1 volledige pentest elke 6 maanden (Pro- en Enterprise-plannen)
  • Scope: Webapplicatie, API, infrastructuur, Bridge (CMS-modules)
  • Methodologie: OWASP Testing Guide v4.2 + PTES (Penetration Testing Execution Standard)
  • Rapport: Auditrapporten beschikbaar op verzoek voor Enterprise-klanten

Kritieke en hoge kwetsbaarheden worden gecorrigeerd binnen 48 uur, gemiddelde kwetsbaarheden binnen 7 dagen, lage kwetsbaarheden binnen 30 dagen.

Bug Bounty-programma

Lexiik heeft een Bug Bounty-programma (kwetsbaarheidsbeloning) om beveiligingsonderzoekers te stimuleren kwetsbaarheden te melden:

  • Platform: YesWeHack (Europees bug bounty-platform)
  • Beloningen: €100 tot €5.000 afhankelijk van de ernst (CVSS-score)
  • Scope: app.lexiik.com, api.lexiik.com, cdn.lexiik.com, Bridge-modules
  • Reactietijd: Minder dan 24 uur voor geldige rapporten

Toegang tot het programma: yeswehack.com/programs/lexiik

Certificeringen en nalevingen

Lexiik beschikt over de volgende certificeringen:

  • ISO 27001: Informatiebeveiliging (geauditeerd door Bureau Veritas)
  • SOC 2 Type II: Beschikbaarheid, vertrouwelijkheid, integriteit (certificering in uitvoering)
  • AVG: Volledige naleving, gecertificeerde DPO, geregistreerd bij AP
  • HDS (Hosting van Gezondheidsgegevens): Niet van toepassing (alleen e-commerce)
  • PCI-DSS niveau 1: Via Stripe (betalingsverwerker)

Premiumfunctie

Enterprise-klanten kunnen een gepersonaliseerde nalevingsaudit aanvragen (SOC 2, ISO 27001, enz.) om aan hun interne vereisten te voldoen.
Contact opnemen met het Enterprise-team →

Beveiligingsbest practices voor gebruikers

Beheer van API-sleutels

Volg deze best practices om de beveiliging van je account te garanderen:

  • Deel nooit een API-sleutel: Maak een aparte sleutel aan per service/ontwikkelaar
  • Regelmatige rotatie: Wijzig je sleutels elke 90 dagen (automatiseerbaar via API)
  • Benoem je sleutels: "Bridge Productie", "Analytics Script", "Zapier Integratie", enz.
  • Trek ongebruikte sleutels in: Verwijder sleutels van oude leveranciers of uitgeschakelde scripts
  • Omgevingsvariabelen: Nooit een sleutel hardcoded in de broncode

Wachtwoordbeveiliging

Je Lexiik-account wordt beschermd door de volgende maatregelen:

  • Argon2id-hashing: Aanbevolen algoritme door OWASP (bestand tegen GPU en ASIC)
  • Unieke salt: Elk wachtwoord heeft een willekeurige salt van 128 bits
  • Complexiteitsbeleid: Minimaal 12 tekens, minimaal 1 hoofdletter, 1 cijfer, 1 speciaal teken
  • Anti-bruteforce-bescherming: Blokkering na 5 mislukte pogingen (deblokkering via e-mail)
  • 2FA beschikbaar: Tweefactorauthenticatie via TOTP (Google Authenticator, Authy) - sterk aanbevolen

Schakel 2FA in

Het activeren van tweefactorauthenticatie vermindert het risico op accounthacking met 99,9%, zelfs als je wachtwoord gecompromitteerd is. Activeer het via Instellingen > Beveiliging.

Accountbewaking

Lexiik waarschuwt je automatisch bij verdachte activiteit:

  • Aanmelding vanuit een nieuw land: E-mail met bevestigingslink
  • Nieuw apparaat: Pushmelding als de mobiele app is geïnstalleerd
  • API-sleutel aangemaakt: E-mail met naam en rechten
  • Betaalmethode gewijzigd: Dubbele bevestiging via e-mail + sms
  • Mislukte aanmeldpogingen: Melding na 3 mislukte pogingen

Bekijk de volledige aanmeldingsgeschiedenis via Instellingen > Accountactiviteit.

Samengevat

De beveiliging van Lexiik is gebaseerd op een meerlaagse aanpak (Defense in Depth) met de hoogste normen van de industrie:

  • Versleuteling: TLS 1.3 in transit + AES-256 in rust
  • Authenticatie: API-sleutels van 256 bits + 2FA beschikbaar
  • Hosting: 100% Europees (Frankrijk + Duitsland), nooit in de VS
  • Naleving: Volledige AVG, ISO 27001, SOC 2 Type II in uitvoering
  • Audits: Halfjaarlijkse pentests + actief Bug Bounty

Je gegevens worden beschermd met hetzelfde beveiligingsniveau als online banken en financiële instellingen.

Succes

Heb je vragen of specifieke beveiligingseisen? Ons Security-team staat voor je klaar.
Contact opnemen met het beveiligingsteam →

Gerelateerde artikelen: De Rollback Garantie · Gegevensbewaring · Je webwinkel verbinden