Veiligheid & Privacy
Real-time webhook debugging voor developers
Jouw webhook-logs zijn tijdelijk, versleuteld en nooit gedeerd met derden. Dit is hoe we jouw data beschermen.
Security
Hoe we jouw data beschermen
Elk webhook dat via HookCheck loopt, wordt direct versleuteld en automatisch verwijderd. Geen achtergronddiensten, geen data mining, geen verkoop van logs.
TLS 1.3 in Transit
Alle communicatie tussen jouw webhook-ontvanger en onze servers op hooks.hookcheck.dev loopt via TLS 1.3 met ECDSA-256 certifi cates. We forceren HTTPS en ondersteunen geen onversleutelde HTTP-connecties.
AES-256-at-Rest Encryptie
Webhook-payloads en headers worden versleuteld met AES-256-GCM voordat ze op schrijf. Sleutels worden beheerd via AWS KMS en geroteerd elke 90 dagen. Geen enkel teamlid kan versleutelde logs direct lezen.
Automatische Data Verwijdering
Gratis accounts: logs worden permanent verwijderd na 24 uur. Pro-accounts: kies zelf tussen 7, 30 of 90 dagen retentie. Na afloop wordt data onherroepelijk gewist — geen koelen, geen back-ups voor data-herstel.
Geen Logstash of Telemetrie
We verzamelen geen analytics op webhook-contents. IP-adressen van afzenders worden niet gelogd in onze applicatielagen. Je kunt zelf een custom header X-HookCheck-Ignore instellen om bepaalde payloads volledig te bypassen.
Endpoint Authenticatie
Elk webhook-endpoint krijgt een uniek token. Optioneel kun je HMAC-SHA256 verificatie inschakelen zodat alleen payloads met een geldige signatuur worden opgeslagen. Stel je eigen secret-key in via het dashboard.
SOC 2 Type II Gecertificeerd
Onze infrastructuur bij AWS (eu-west-1, Frankfurt) is SOC 2 Type II gecertificeerd. De laatste audit door Deloithe is gepubliceerd in Q3 2024. Het rapport is op aanvraag beschikbaar voor enterprise-klanten.
Compliance
GDPR & Data Processing
HookCheck verwerkt jouw webhook-data als verwerker (processor) onder een DPA (Data Processing Agreement) die voldoet aan de Europese GDPR. Jij blijft altijd de verwerkingsverantwoordelijke (controller).
Data Processing Agreement
Onze DPA is beschikbaar voor alle Pro- en Enterprise-accounts. Het document beschrijft onze verwerkingsdoelen, technische maatregelen, subverwerkers (AWS, Cloudflare) en jouw rechten onder GDPR artikel 28. Download het via je account-instellingen.
Recht op Vergeten Worden
Je kunt al je logs en webhook-endpoints permanent verwijderen via het dashboard onder Settings > Data Export & Deletion. Binnen 30 minuten is alle data verwijderd. Bij accountsluiting wordt automatisch alles opgeschoond.
Data Locatie: EU-Only
Alle data blijft binnen de Europese Economische Ruimte. Onze primaire regio is AWS eu-west-1 (Frankfurt). We gebruiken geen services die data buiten de EU doorsturen, inclusief onze monitoring (Datadog EU-region) en e-mail (SendGrid EU).
Privacy by Design
Onze architectuur is ontworpen met privacy als uitgangspunt: minimale data-retentie, geen persistent tracking, geen cookies buiten session-behoeften, en geen advertenties. Lees ons volledige privacybeleid op hookcheck.dev/privacy.
FAQ
Veelgestelde vragen
Kan iemand anders mijn webhook-logs bekijken?
Nee. Elke webhook-endpoint is beschermd met een uniek token. Alleen jij (of teamleden die je uitnodigt via het dashboard) kunt de logs bekijken. We gebruiken geen gedeelde endpoints en elke sessie vereist authenticatie via JWT met 15 minuten TTL.
Wat gebeurt er met mijn data na accountsluiting?
Binnen 24 uur na accountsluiting worden alle webhook-endpoints, logs, instellingen en geüploade bestanden permanent verwijderd. We houden geen archief aan. Je ontvangt een bevestigingsmail zodra de verwijdering voltooid is.
Loggen jullie de inhoud van mijn webhook-payloads?
We slaan de payload op zodat jij ze kunt inspecteren — dat is het doel van HookCheck. Maar we analyseren, indexeren of doorverkopen de inhoud nooit. Onze algoritmes scannen op geen enkel moment de inhoud van payloads. Je kunt optioneel HMAC-verificatie inschakelen om te garanderen dat alleen geverifieerde payloads worden opgeslagen.
Is HookCheck geschikt voor productie-omgevingen?
HookCheck is ontworpen voor development en staging. Voor productie aanbevelen we een dedicated webhook-service met langere retentie en SLA's. Onze Enterprise-plannen bieden wel productie-klaar infrastructure met 99,95% uptime, dedicated environments en custom retentie-beleid.
Hoe vraag ik een DPA aan?
Pro- en Enterprise-accounts krijgen automatisch toegang tot onze DPA via het dashboard onder Settings > Compliance. Heb je een aangepast contract nodig? Stuur een mail naar legal@hookcheck.dev en ons compliance-team reageert binnen 2 werkdagen.
Welke encryptiestandaard gebruiken jullie precies?
In transit: TLS 1.3 met ECDHE-ECDSA-AES256-GCM-SHA384 cipher suite. At rest: AES-256-GCM met sleutels beheerd via AWS KMS, geroteerd elke 90 dagen. Database-encryptie op volume-niveau via AWS EBS encrypted volumes. Geen enkel teamlid heeft toegang tot de encryptiesleutels.