Pentest bevestigd: Purfaction houdt je inkoopdata veilig

Illustratie hacker pentest purfaction
Arthur van den Berg

Waarom informatie­beveiliging bij Purfaction een kerntaak is

Als inkoopmanager, concerncontroller of contractmanager vertrouw je Purfaction dagelijks met gevoelige inkoop- en contractdata. Dan wil je zeker weten dat onze applicatie minstens zo zorgvuldig met die gegevens omgaat als jijzelf.

Daarom investeren we continu in technische beveiligingsmaatregelen én laten we onze omgeving onafhankelijk toetsen.

Meer over veiligheid

De terugkerende onafhankelijke pentest

In juni 2026 is opnieuw een uitgebreide web application penetratietest uitgevoerd op onze testomgeving, een 1-op-1 kopie van productie.

Het doel van deze test was helder: kan een aanvaller via de applicatie ongeautoriseerde toegang krijgen tot dashboards, contractgegevens, klantdata of accounts, en is onze multi-tenant architectuur voldoende robuust om organisaties strikt van elkaar te scheiden?

Wat is er precies getest?

De pentest vond plaats van 8 tot en met 12 juni 2026 en is uitgevoerd met een zogenoemde gray-box aanpak. De onafhankelijke, internationaal erkende cybersecurityspecialist kreeg twee reguliere gebruikersaccounts in verschillende klantdomeinen (tenants). Daarmee werden realistische scenario’s getest waarin een aanvaller probeert “buiten zijn boekje” te gaan en data of functies op te vragen die niet voor hem bedoeld zijn.

Tijdens de test is onder andere gekeken naar:

  • Isolatie tussen klantdomeinen (tenants) en horizontale autorisatie: kan iemand bij data van een andere organisatie komen?
  • Authenticatie en sessiebeheer: hoe gaan login, logout, sessiepersistentie en sessiewissel om met veiligheid?
  • Privilege escalation: is het mogelijk om als gewone gebruiker hogere rechten te verkrijgen?
  • Misbruik van applicatielogica en API’s via gemanipuleerde requests en parameters.
  • Onbedoelde blootstelling van gevoelige informatie via responses, JavaScript, foutmeldingen of client-side gedrag.

De testmethodiek sloot aan op de OWASP Web Security Testing Guide, OWASP Top 10 en OWASP API Security Top 10. De focus lag daarbij op tenant‑isolatie, autorisatie, sessiebeheer en de daadwerkelijke impact op de business.

De uitkomst: geen kritieke kwetsbaarheden

De belangrijkste conclusie uit het rapport: de Purfaction‑omgeving laat een sterke beveiligingshouding zien.

Tijdens deze pentest zijn:

  • Geen Critical-, High- of Medium-risk kwetsbaarheden gevonden.
  • Geen geslaagde account takeover, authenticatie‑bypass of privilege escalation aangetoond.
  • Geen succesvolle doorbraak van de isolatie tussen klantdomeinen (tenants) vastgesteld.
  • Geen injectie‑aanvallen, exposed secrets in JavaScript of gevoelige bestandsblootstelling geconstateerd.
  • Geen succesvolle sessie‑hijacking of misbruik van JWT‑configuratie gevonden.

Er is één bevinding gedaan, geclassificeerd als Low risk: ondersteuning van enkele verouderde TLS 1.2 CBC‑cipher suites op poort 443. Daarbij is geen geslaagde man‑in‑the‑middle aanval, downgrade attack of cryptografische aanval aangetoond; de bevinding is beoordeeld als een hardening-maatregel en niet als directe route naar compromittering.

Direct opgelost: aanscherping van TLS‑configuratie

De geconstateerde TLS‑configuratieafwijking hebben we direct in ons reguliere change- en releaseproces opgepakt. De betreffende cipher suites zijn uitgeschakeld en moderne AEAD‑cipher suites en TLS 1.3 worden nu geprefereerd. Daarmee is de cryptografische sterkte van de verbindingen verder verhoogd en verkleinen we de kans op toekomstige scanner- of compliancebevindingen op TLS‑gebied.

Voor jou betekent dit dat de versleuteling van het verkeer tussen jouw browser en Purfaction verder is aangescherpt – een belangrijk aandachtspunt in audits, DPIA’s en inkooptrajecten waarin SaaS‑beveiliging nadrukkelijk wordt getoetst.

Sterke punten die expliciet zijn benoemd

Het rapport benoemt een aantal beveiligingsmaatregelen die in de praktijk aantoonbaar effectief zijn. Dit zijn onder andere:

  • Veilige cookies en sessies Cookies zijn voorzien van HttpOnly, Secure en strikte SameSite‑instellingen voor het authenticatiecookie, waardoor misbruik via de browser wordt bemoeilijkt.

  • Sterke autorisatie en strikte tenant‑isolatie Pogingen om data van andere klantdomeinen of andere gebruikers te benaderen via gemanipuleerde identifiers of parameters zijn niet geslaagd; autorisatiecontroles worden server‑side afgedwongen. 

  • Bescherming tegen injectie en misbruik van HTTP‑methodes Injectiepogingen werden geblokkeerd of veilig verwerkt, en het manipuleren van HTTP‑methodes leidde niet tot onverwachte functionaliteit.
  • Beheerst foutgedrag Foutmeldingen zijn zo ingericht dat geen gevoelige backend‑informatie of stack traces vrijkomen.
  • Geen gevoelige data in front‑end assets Onderzochte JavaScript‑bestanden bevatten geen secrets, credentials of tokens.

Deze bevindingen laten zien dat beveiliging bij Purfaction niet alleen op papier goed geregeld is, maar ook in de werking van de applicatie zelf.

Continue verbetering: pentests als vast onderdeel van onze roadmap

De Low‑risk TLS‑bevinding is inmiddels verholpen; daarmee is de directe opvolging van deze pentest afgerond. Tegelijkertijd zien we penetratietesten als doorlopende kwaliteitscontrole, niet als een eenmalig vinkje.

We plannen pentests onder andere na:

  • grote releases met nieuwe functionaliteit
  • wijzigingen in authenticatie of tenant‑architectuur
  • belangrijke infrastructuurupdates of relevante configuratiewijzigingen

Dit sluit aan bij de hoge eisen die (semi‑)overheidsorganisaties, zorginstellingen en onderwijsinstellingen stellen aan SaaS‑dienstverleners op het gebied van informatiebeveiliging.

Wat levert dit je als publieke organisatie op?

Voor inkoopmanagers, contractmanagers, concerncontrollers en bestuurders toont deze pentest dat Purfaction:

  • Beschikt over een onafhankelijk getoetste, sterke beveiligingsbasis.
  • Tenant‑isolatie en autorisatie zo heeft ingericht dat dashboards, contractdata en spendanalyses strikt gescheiden blijven tussen organisaties.
  • Continu werkt aan verdere verharding van de infrastructuur, waaronder TLS‑configuratie, bovenop al aanwezige maatregelen.

Concreet helpt dit je bij:

  • Verantwoording richting college, raad of toezichthouders over de keuze voor Purfaction als platform voor inkoopdata
  • Interne audits op informatiebeveiliging en rechtmatigheid van uitgaven.
  • Inkoop- en aanbestedingstrajecten waarin SaaS‑security en multi‑tenant architectuur nadrukkelijk worden beoordeeld.

Heb je voor interne audits, inkooptrajecten of verantwoording richting toezichthouders aanvullende informatie nodig over de uitgevoerde penetratietest? Neem dan contact op met je Purfaction‑contactpersoon; wij leveren graag de benodigde documentatie.

Deze website gebruikt cookies

We gebruiken cookies om content te personaliseren, functies voor sociale media aan te bieden en ons verkeer te analyseren. We delen ook informatie over je gebruik van onze site met onze analysepartners. Je kunt je voorkeuren op elk moment wijzigen. Lees voor meer informatie ons privacybeleid en cookiebeleid. Privacybeleid Cookiebeleid