Waarom informatiebeveiliging bij Purfaction een kerntaak is
Als inkoopmanager, concerncontroller of contractmanager vertrouw je Purfaction dagelijks met gevoelige inkoop- en contractdata. Dan wil je zeker weten dat onze applicatie minstens zo zorgvuldig met die gegevens omgaat als jijzelf.
Daarom investeren we continu in technische beveiligingsmaatregelen én laten we onze omgeving onafhankelijk toetsen.
Meer over veiligheidDe terugkerende onafhankelijke pentest
In juni 2026 is opnieuw een uitgebreide web application penetratietest uitgevoerd op onze testomgeving, een 1-op-1 kopie van productie.
Het doel van deze test was helder: kan een aanvaller via de applicatie ongeautoriseerde toegang krijgen tot dashboards, contractgegevens, klantdata of accounts, en is onze multi-tenant architectuur voldoende robuust om organisaties strikt van elkaar te scheiden?
Wat is er precies getest?
De pentest vond plaats van 8 tot en met 12 juni 2026 en is uitgevoerd met een zogenoemde gray-box aanpak. De onafhankelijke, internationaal erkende cybersecurityspecialist kreeg twee reguliere gebruikersaccounts in verschillende klantdomeinen (tenants). Daarmee werden realistische scenario’s getest waarin een aanvaller probeert “buiten zijn boekje” te gaan en data of functies op te vragen die niet voor hem bedoeld zijn.
De testmethodiek sloot aan op de OWASP Web Security Testing Guide, OWASP Top 10 en OWASP API Security Top 10. De focus lag daarbij op tenant‑isolatie, autorisatie, sessiebeheer en de daadwerkelijke impact op de business.
De uitkomst: geen kritieke kwetsbaarheden
Er is één bevinding gedaan, geclassificeerd als Low risk: ondersteuning van enkele verouderde TLS 1.2 CBC‑cipher suites op poort 443. Daarbij is geen geslaagde man‑in‑the‑middle aanval, downgrade attack of cryptografische aanval aangetoond; de bevinding is beoordeeld als een hardening-maatregel en niet als directe route naar compromittering.
Direct opgelost: aanscherping van TLS‑configuratie
De geconstateerde TLS‑configuratieafwijking hebben we direct in ons reguliere change- en releaseproces opgepakt. De betreffende cipher suites zijn uitgeschakeld en moderne AEAD‑cipher suites en TLS 1.3 worden nu geprefereerd. Daarmee is de cryptografische sterkte van de verbindingen verder verhoogd en verkleinen we de kans op toekomstige scanner- of compliancebevindingen op TLS‑gebied.
Voor jou betekent dit dat de versleuteling van het verkeer tussen jouw browser en Purfaction verder is aangescherpt – een belangrijk aandachtspunt in audits, DPIA’s en inkooptrajecten waarin SaaS‑beveiliging nadrukkelijk wordt getoetst.
Sterke punten die expliciet zijn benoemd
Deze bevindingen laten zien dat beveiliging bij Purfaction niet alleen op papier goed geregeld is, maar ook in de werking van de applicatie zelf.
Continue verbetering: pentests als vast onderdeel van onze roadmap
De Low‑risk TLS‑bevinding is inmiddels verholpen; daarmee is de directe opvolging van deze pentest afgerond. Tegelijkertijd zien we penetratietesten als doorlopende kwaliteitscontrole, niet als een eenmalig vinkje.
Dit sluit aan bij de hoge eisen die (semi‑)overheidsorganisaties, zorginstellingen en onderwijsinstellingen stellen aan SaaS‑dienstverleners op het gebied van informatiebeveiliging.
Wat levert dit je als publieke organisatie op?
Heb je voor interne audits, inkooptrajecten of verantwoording richting toezichthouders aanvullende informatie nodig over de uitgevoerde penetratietest? Neem dan contact op met je Purfaction‑contactpersoon; wij leveren graag de benodigde documentatie.