Samenvatting:
Dit artikel legt uit waar BrynQ draait, hoe de servers zijn opgebouwd en hoe dit ontwerp helpt om uw gegevens te beschermen.
BrynQ hosting en architectuur – overzicht
BrynQ wordt aangeboden als een SaaS-oplossing en draait in professionele datacenters in Nederland, binnen de EU. Gegevens worden in deze EU-locaties opgeslagen, tenzij met de klant iets anders is afgesproken. De BrynQ-omgeving is opgebouwd uit duidelijke lagen om klantdata te scheiden en het platform te beschermen.
Netwerkbeveiliging en ingangspunten
Al het inkomende verkeer gaat eerst door een firewall die ongewenste toegang filtert. Deze controleert al het inkomende en uitgaande verkeer en heeft functies zoals Intrusion Detection en Prevention.
Na de firewall bepaalt een reverse proxy naar welke interne server het verkeer wordt gestuurd.
Sommige klanten gebruiken een door BrynQ beheerde SFTP-server voor veilige bestandsuitwisseling als REST-API’s of een eigen SFTP-omgeving niet beschikbaar zijn.
Toegang tot servers wordt verder beschermd met VPN en strikte inlogregels, zoals beschreven in de infrastructuurbeveiligingsmaatregelen van Salure.
Applicatie- en datacontainers
De live server bevat meerdere Docker-containers, elk met een eigen taak.
Applicatiecontainers draaien de BrynQ-front-end. Hier wordt geen klantdata opgeslagen.
Databasecontainers bewaren applicatiegegevens zoals gebruikerslogins, logboeken en interface-planningen. Dit zijn belangrijke, maar niet de meest gevoelige gegevens.
Schedulercontainers sturen en bewaken de interfaces. Alleen metadata over de interfacestromen gaat door deze container.
Elke klant heeft een eigen customer container, waardoor data van klanten gescheiden blijft en code of data elkaar niet beïnvloeden.
Gegevens die tijdens een sessie worden ontvangen, worden opgeslagen op persistente opslag voor een door de klant gekozen periode, of helemaal niet opgeslagen als de klant dat wenst.
Test- en acceptatieomgevingen
De staging server heeft dezelfde opzet als de live server en is van buitenaf bereikbaar. Hier draait de nieuwste versie van de applicatie voor acceptatietests.
Beta- en development-servers worden gebruikt voor het testen van nieuwe functies. Ze zijn niet direct bereikbaar vanaf internet, wat het risico verlaagt.
Het ontwikkelbeleid van Salure schrijft ook een strikte scheiding voor tussen ontwikkel-, test- en productieomgevingen, in lijn met ISO 27001-maatregelen.
Datalocatie en SaaS-model
BrynQ wordt geleverd als een cloud-gebaseerde SaaS-applicatie.
Applicatiedata staat in professionele Nederlandse datacenters in Nederland, binnen de EU.
Gegevens worden standaard binnen de EU opgeslagen, tenzij met de klant schriftelijk een andere locatie is afgesproken.
Het bedrijf dat BrynQ ontwikkelt en beheert, Salure, is ISO 27001-gecertificeerd voor de ontwikkeling en levering van software en Business Intelligence-diensten.
Procedure:
Leg bij vragen over hosting uit dat BrynQ draait in Nederlandse datacenters binnen de EU en dat het om een SaaS-model gaat; gebruik hiervoor de sectie “Datalocatie en SaaS-model”.
Gebruik de sectie “Netwerkbeveiliging en ingangspunten” om uit te leggen hoe de firewall en reverse proxy de data beschermen.
Verwijs naar “Applicatie- en datacontainers” om duidelijk te maken dat elke klant een eigen container heeft en dat klantdata gescheiden is.
Gebruik “Test- en acceptatieomgevingen” om vragen over testen en wijzigingsrisico te beantwoorden en de scheiding tussen omgevingen uit te leggen.
Lever bij verzoeken van interne security-teams het architectuurdiagram en de ISO 27001-certificaten van Salure aan als formeel bewijs.
Aanvullende informatie:
Klantapplicaties die met BrynQ verbinden zijn bijvoorbeeld AFAS Profit, SAP, Workday, SuccessFactors, Active Directory of een SFTP-server.
Het architectuurdiagram van de BrynQ-omgeving laat visueel de stroom zien van klantapplicatie via firewall en reverse proxy naar de BrynQ-containers.