SOC-2-compliant development.

SaaS-platformen, cloudservices en enterprise-software, gebouwd door een team dat SOC 2 Type II-certificering heeft — en de controls, auditrapporten en gedocumenteerde procedures om dat te onderbouwen.

De meeste leveranciers zeggen dat ze SOC 2-compliant zijn. Wij kunnen het bewijzen.

SOC 2-compliance is geen badge die je koopt of een vragenlijst die je één keer invult. Het is een geauditeerde verklaring van de controls die jouw organisatie daadwerkelijk uitvoert — security, availability, confidentiality, processing integrity en privacy — geverifieerd door een onafhankelijke auditor aan de hand van de AICPA Trust Service Criteria.

De meeste developmentteams die SOC 2-compliance claimen, bedoelen dat hun hostingprovider een certificaat heeft. Wij hebben ons eigen SOC 2 Type II-rapport, dat de controls dekt die we bij elke opdracht uitvoeren. Onze security posture is geauditeerd, gedocumenteerd en zichtbaar in ons Trust Center — niet geleend van de compliance-pagina van een cloudprovider.

Wat SOC 2-compliance betekent voor jouw project

Security is ingebouwd, niet erop geplakt
Elk project draait op infrastructuur en processen die gedekt worden door ons SOC 2 Type II-rapport. Access controls, encryptie, audit logging, incident response en een secure SDLC zijn geen dingen die we toevoegen voor security-bewuste klanten. Zo bouwen we alles.

Jouw inkoopproces gaat sneller
Security-vragenlijsten, vendor assessments en due diligence zijn voor de meeste organisaties het traagste onderdeel van het onboarden van een developmentpartner. Ons Trust Center geeft jouw securityteam vooraf het gedocumenteerde bewijs dat het nodig heeft — ons SOC 2 Type II-rapport, controls matrix, beleidsdocumenten en subprocessor-lijst — zodat het assessment dagen kost, geen weken.

Jouw data blijft binnen een gecontroleerde perimeter
Gecentraliseerde security event logging. Multi-factor authentication. Volledige encryptie in rust en tijdens transport. Bescherming tegen kwaadaardige code. Detectie van afwijkend gedrag. De controls die jouw data beschermen zijn dezelfde die de auditor heeft geverifieerd.

De standaard wordt onderhouden, niet alleen behaald
SOC 2 Type II beslaat een periode, niet een moment. Het vereist continue monitoring, regelmatige interne reviews en jaarlijkse audits. We onderhouden ons securityprogramma het hele jaar door, wat betekent dat de posture die je vandaag beoordeelt dezelfde is die je krijgt voor de duur van de opdracht.

Wat we bouwen onder SOC 2-compliance

  • SaaS-platformen en B2B-producten: Multi-tenant-applicaties waar security controls, access-isolatie en audit logging kernvereisten zijn, geen bijzaken.
  • Enterprise- en gereguleerde branchesoftware: Interne tools, dataplatformen en klantgerichte systemen voor finance, legal en andere sectoren waar vendor security-bewijs vereist is.
  • AI- en ML-systemen: Model-infrastructuur, inference-pipelines en dataverwerking gebouwd binnen de compliant perimeter — met dezelfde controls toegepast op trainingsdata en model-output.
  • Cloud-native en API-first-producten: Platformen gebouwd op AWS, GCP of Azure waar het shared responsibility-model gedocumenteerd is en onze controls de applicatielaag volledig dekken.

De vragen die security-bewuste kopers stellen

  • Hebben jullie een SOC 2 Type II-rapport?

    Ja. We beschikken over ons eigen SOC 2 Type II-rapport dat de trust service criteria voor beveiliging, beschikbaarheid en vertrouwelijkheid dekt. Het is beschikbaar in ons Trust Center onder NDA, of we lopen het direct met je securityteam door.

  • Hebben jullie eerder daadwerkelijk SOC-2-compliant systemen gebouwd?

    Ja. We bouwen productie-SaaS-platformen, enterprise-applicaties en datasystemen voor klanten die een SOC 2-attestatie van hun leveranciers vereisen. Dit is geen capability die we in theorie beschrijven — het is werk dat we uitbrengen en onderhouden.

  • Hoe gaan jullie om met gevoelige data in AI- en ML-systemen?

    Dezelfde controls die data in een database beschermen, beschermen die in een ML-pipeline: encryptie in rust en tijdens transport, role-based access, audit trails en gedocumenteerde dataherkomst. Trainingsdata, inference-inputs en modeloutputs worden allemaal binnen de compliant perimeter verwerkt. We hebben production-AI-systemen op deze manier gebouwd.

  • Hoe zit het met SOC 2 en GDPR samen?

    Voor platformen die Amerikaanse en Europese klanten bedienen, gelden zowel SOC 2 als GDPR. We architecteren voor beide — security- en availability-controls die voldoen aan SOC 2 en verwerking van persoonsgegevens die voldoet aan GDPR, vanuit één platform. Ons Trust Center documenteert beide.

  • Hebben jullie een incident response-procedure?

    Ja. Een gedocumenteerde incident response- en breach notification-procedure is onderdeel van ons SOC 2-programma. Je vindt er een verwijzing naar in ons Trust Center, en ze dekt detectie, containment, notificatietermijnen en post-incident review.

  • Kan jullie team onze security assessment invullen?

    Ja. Ons Trust Center levert het bewijs van controls en de policies vooraf aan, en ons team vult security-vragenlijsten rechtstreeks in. Het SOC 2 Type II-rapport beantwoordt meestal de meest voorkomende vragen nog voordat de assessment begint.

Bouw software met een team dat de certificering heeft.