Skip to content

Compliance Gap Analyse — ISO 27001 & ISAE 3402

Scope: Flooris B.V. als IT-serviceorganisatie voor Brekz
Aanleiding: Externe accountantscontrole Brekz — verzoek om ISAE 3402 Type 2 verklaring of equivalent
Uitgevoerd door: Flooris B.V.


Changelog

Versie Datum Wijzigingen
1.0 Juni 2026 Initiële versie op basis van scan van beschikbare platformdocumentatie
1.3 Juni 2026 A.5.23 bijgewerkt — Leveranciersoverzicht aangemaakt met certificeringsstatus voor alle leveranciers (infrastructuur, analytics, marketing, betalingen, logistiek)
1.2 Juni 2026 A.6.3 bijgewerkt — security meetings 2x/jaar gedocumenteerd met alle historische ClickUp-tasks · A.8.13 Backup Statement aangemaakt voor Flooris en HD Services
1.1 Juni 2026 ISAE: Incident Management verschoven van ❌ naar ⚠️ — CIRP voor PrestaShop RCE beschikbaar · A.5.2 versterkt met gedocumenteerde rolverdeling Flooris/HD Services en toegangsrechten per persoon · A.8.7 IT-infrastructuurpagina (Utrecht + Breukelen) toegevoegd als bewijs · ISAE: Monitoring/Logging bijgewerkt met Sentry (FL09PLO-SEN01) · A.8.13 passieve failover-servers benoemd (FL10BRE001, FL10SQL001, BR09SQL001) · A.5.15/A.8.2 hosting-toegang per persoon gedocumenteerd · A.5.23 self-hosted tools (Sentry, InfluxDB, MeiliSearch) gescheiden van externe SaaS · A.5.35 Pentest Brief beschikbaar · Business Continuity infrastructuurredundantie benoemd · Procedures-tabel uitgebreid met status-kolom · Letter of Assurance uitgebreid met tabel voor self-hosted tools

Achtergrond

Flooris B.V. levert hosting- en softwareontwikkeldiensten aan Brekz (e-commerce, 7+ Europese landen). De productie-infrastructuur draait op Hetzner (ISO 27001:2022 gecertificeerd), die de fysieke en netwerkveiligheidslaag afdekt. Flooris zelf is niet ISO 27001 gecertificeerd en heeft geen ISAE 3402 verklaring.

Dit document beschrijft de gap-analyse op basis van een scan van alle beschikbare platformdocumentatie, afgezet tegen de meest relevante controls van ISO/IEC 27001:2022 en ISAE 3402.

Alternatief voor ISAE 3402

Gezien de omvang van Flooris (~8 personen) is een volledige ISAE 3402 Type 2 audit op korte termijn niet haalbaar. Een Letter of Assurance — ondertekend door de directie van Flooris, met verwijzingen naar de ISO 27001/SOC 2-certificeringen van de keten (Hetzner, Cloudflare, GitHub) — is een realistisch en door veel accountants geaccepteerd alternatief.


Gap Analyse Resultaat

De volgende controls zijn aantoonbaar aanwezig op basis van bestaande documentatie of tooling.

Control Omschrijving Bewijs
A.8.4 (ISO 27001) Toegang tot broncode GitHub met verplichte PR-reviews en branch protections — docs/tools/github/index.md
ISAE: Logical Access Secrets management Infisical met encryptie, least-privilege, audit logs, version history — docs/tools/infisical/index.md
A.8.7 (ISO 27001) Netwerk- en applicatiebeveiliging Cloudflare WAF, DDoS-bescherming, Bot management, SSL/TLS — Cloudflare. Lokale netwerkinfrastructuur op beide Brekz-locaties gedocumenteerd incl. VPN-tunnel, redundante internetverbindingen en firewalling — IT Infrastructuur
A.5.15 (ISO 27001) Interne API-beveiliging Cloudflare Access + WARP beperkt /api/internal/* tot servers FL09/FL10 — docs/services/brekz-cms/cloudflare-internal-api-security.md
A.8.31 (ISO 27001) Omgevingsscheiding Strikte scheiding Local → Test → Acceptance → Production per service, afgedwongen via aparte git-branches, Docker-netwerken en hostingomgevingen (*.ftest.nl / *.fstaging.nl / productiedomeinen). Geldt voor alle services — zie Services overzicht:
brekz-cms — volledig gedocumenteerd, 2 parallelle tracks (non-templating + templating), elk met Test / Acceptance / Production
brekz-prestashop — Local (prestashop-nl.brekz.localhost) + Test / Acceptance + Production (www.brekz.nl t/m .se)
brekz-website — Local (website.brekz.localhost) + Test / Acceptance + Production
brekz-shop-backend — Local (backend.brekz.localhost) + Test / Acceptance + Production
brekz-copernica — Local (brekz-copernica.localhost) + Production
brekz-logistics — Local (logistics.brekz.localhost) + Production
A.8.24 (ISO 27001) Encryptie data at rest Hetzner Storagebox binnen ISO 27001:2022-gecertificeerde infrastructuur (cert. ZN-2025-35, geldig t/m sept. 2028), toegang via SSH-sleutels en sub-accounts per dienst — Hetzner Storagebox, Hetzner certificeringen
ISAE: Monitoring Queue- en exception-monitoring Laravel Horizon dashboard, /health endpoints, Sentry exception alerts (self-hosted op FL09PLO-SEN01, gekoppeld aan alle services en omgevingen) — Sentry, brekz-copernica
ISAE: Logging Event data verzameling InfluxDB (FL09IDB001) verzamelt operationele events van PrestaShop en Copernica; Sentry logt stack traces, request-context en event-history per exception — InfluxDB, Sentry
A.5.2 (ISO 27001) Rollen en verantwoordelijkheden Verantwoordelijkheden volledig gedocumenteerd en gescheiden: Flooris (webhosting, software, Cloudflare) vs HD Services (on-premises IT Brekz-locaties). Contactpersonen met specifieke hostingtoegang benoemd (Florian Kwakkenbos, Jasper Stolwijk, Sander Bish). ClickUp als gedocumenteerd platform voor servicedesk en wijzigingsbeheer — Flooris, HD Services
A.8.32 (ISO 27001) Deployment automatisering GitHub Actions voor CI/CD, geautomatiseerde deployments — docs/tools/github/index.md

De volgende controls zijn technisch aanwezig maar missen formele procedures of documentatie.

Control Wat ontbreekt Aanbevolen actie
A.8.13 — Backup Infrastructurele redundantie is aanwezig en gedocumenteerd: FL10BRE001 (passieve fail-over webserver), FL10SQL001 (passieve MySQL-slave op Hetzner), BR09SQL001 (MySQL-slave op locatie Brekz Utrecht — Flooris). Backup Statement aangemaakt voor zowel Flooris als HD Services — Backup Statement — maar backup-frequentie, retentie en restore-testresultaten zijn nog niet ingevuld door beide partijen Beide partijen vullen het Backup Statement aan en bevestigen formeel
ISAE: Incident Management Cyber Incident Response Plan beschikbaar voor RCE op PrestaShop 1.6.x, incl. taakverdeling, isolatie, credentials re-rollen en communicatie — CIRP. Overige scenario's (database drop, betaalfraude, uitval andere services) nog niet uitgewerkt; geen formele incidentclassificatie Breid het CIRP uit naar andere kritische scenario's; stel een incidentclassificatiematrix op
ISAE: Change Management GitHub-flow (feature → test → acceptance → prod) is aantoonbaar en ClickUp is ingericht als servicedesk, maar geen formeel change management-beleid, geen change request-template, geen gedocumenteerde rollback-procedure Schrijf een 1-pagina-wijzigingsbeheer-procedure die de bestaande GitHub-flow en ClickUp-workflow formaliseert
A.5.15 / A.8.2 — Toegangsbeheer Infisical en GitHub bestaan; toegang tot de hostinginfrastructuur (webservers FL09BRE002/FL10BRE001, databases FL09SQL002/FL10SQL001, Cloudflare, Sentry) is gedocumenteerd per persoon — Flooris contactpersonen. Geen formeel RBAC-schema, geen access request/revocation-procedure, geen toegangsreview Documenteer het volledige toegangsschema (wie heeft toegang tot wat per systeem) en stel een jaarlijkse reviewcyclus in
A.8.16 — Monitoring Sentry, Laravel Horizon en InfluxDB aanwezig maar geen formeel monitoringbeleid, geen drempelwaarden, geen escalatiepad gedocumenteerd Stel een monitoring-overzicht op: welke systemen, welke alerts, wie is verantwoordelijk
A.8.15 — Logging Sentry logt exceptions met stack traces en request-context (Sentry); InfluxDB logt operationele events. Geen centrale log retention-policy, geen gedocumenteerde bewaartermijnen Documenteer: welke logs, waar opgeslagen, hoe lang bewaard, wie toegang heeft
A.8.25 — Veilige SDLC GitHub PR-reviews en environments aanwezig, maar geen beveiligingscheck in het reviewproces, geen dependency scanning gedocumenteerd Voeg een security-checklist toe aan het pull request-template
A.8.24 — Cryptografiebeleid SSL/TLS via Cloudflare aanwezig, maar geen beschreven cryptografiebeleid Beschrijf in 5 zinnen welke encryptiestandaarden gelden (transport, at rest)
A.5.23 — Clouddiensten Leveranciersoverzicht beschikbaar met certificeringsstatus per leverancier — Supplier Overview. Infrastructuur- en security-kritieke leveranciers (Hetzner, Cloudflare, GitHub, Infisical, Algolia) zijn gedocumenteerd met ISO 27001 / SOC 2-status. Aandachtspunten: DPA-status Google (GA4/GTM) en Front controleren; certificeringsstatus Copernica, TrustPilot, CM Payments en Exact Online nog te bevestigen Openstaande verificaties uitvoeren — zie Supplier Overview

De volgende controls ontbreken volledig en vereisen actie.

Control Aanbevolen actie Prioriteit
A.5.1 — Informatiebeveiligingsbeleid Stel een 2-pagina's beleidsdocument op: scope, principes, verantwoordelijken, goedkeurder (directie Flooris) Hoog
A.8.8 — Kwetsbaarheidsbeheer Documenteer hoe dependencies worden bijgehouden en hoe kritieke patches worden uitgerold; verwijs naar composer update/npm update-workflows. Noot: PrestaShop 1.6.x en PHP 7.2 zijn EOL — zie CIRP Hoog
A.6.5 — Offboarding Stel een offboarding-checklist op: welke systemen worden ingetrokken, wie verifieert, binnen welke termijn Hoog
A.6.1 — Screening Bevestig schriftelijk welke screening bij medewerkers en contractors wordt uitgevoerd (VOG, referentiecheck) Midden
A.6.3 — Beveiligingsbewustzijn Security meetings worden 2x per jaar gehouden tussen Flooris en Brekz; voortgang bijgehouden in spreadsheets per meeting (ClickUp) — Security Awareness. Geen formeel awareness-programma of onboarding-onderdeel gedocumenteerd Midden
A.5.3 — Scheiding van taken Beschrijf in het beveiligingsbeleid welke taken niet gecombineerd mogen worden (development vs. productiedeploy) Midden
A.8.28 — Veilig coderen Stel een code review-checklist op met beveiligingspunten (OWASP Top 10 als basis) Midden
Business Continuity / RTO-RPO Infrastructurele redundantie is aanwezig (FL09/FL10 active-passive, MySQL slave op Brekz Utrecht), maar geen formeel continuïteitsplan met RTO/RPO per kritisch systeem. Stel een 1-pagina-continuïteitsoverzicht op Midden
A.5.35 — Onafhankelijke beoordeling Pentest Brief is beschikbaar en klaar voor uitvoering — Pentest Brief. Uitvoering door externe security specialist nog niet ingepland. Plan na de pentest een jaarlijkse interne audit of peer review van beveiligingsmaatregelen Laag

Aanbevolen actiepunten

Geordend op prioriteit en geschat op uitvoerbaarheid voor een team van ~8 personen.

Prioriteit Hoog — Direct oppakken (< 2 weken)

1. Informatiebeveiligingsbeleid opstellen
Fundament voor alle overige controls; de accountant verwacht dit als bewijs van betrokkenheid van de directie.
Formaat: 2 pagina's, ondertekend door directie Flooris. Geschatte inspanning: 4 uur.

2. Backup Statement invullen — Flooris én HD Services
Het Backup Statement is aangemaakt met de volledige structuur voor beide partijen. Flooris vult secties 1.2–1.4 in (webserver- en database-backups, self-hosted tools); HD Services vult secties 2.2–2.5 in (on-premises backups, restore-testresultaten, RTO/RPO). Beide partijen bevestigen formeel.
Geschatte inspanning: 2 uur Flooris + 1 uur coördinatie met HD Services.

3. ✅ Incident Response — PrestaShop RCE afgerond
Het Cyber Incident Response Plan voor Remote Code Execution op PrestaShop 1.6.x is beschikbaar, inclusief taakverdeling, isolatiestappen, credentials re-rollen en communicatieprotocol.
Volgende stap: Uitbreiden naar andere kritische scenario's (database drop, uitval core services).

4. Offboarding-checklist opstellen
Welke accounts worden ingetrokken bij uitdiensttreding, wie verifieert, binnen welke termijn.
Formaat: Checklist. Geschatte inspanning: 1 uur.

Prioriteit Midden — Binnen 4 weken afronden

5. Wijzigingsbeheer-procedure formaliseren
Formaliseert de bestaande GitHub-flow en ClickUp-servicedesk workflow: change request, review, test, acceptatie, productiedeploy en rollback. Vrijwel alles bestaat al.
Formaat: 1-pagina procedure. Geschatte inspanning: 2 uur.

6. Toegangsmatrix uitbreiden
Toegang tot hostinginfrastructuur (FL09BRE002, FL10BRE001, FL09SQL002, FL10SQL001, Cloudflare, Sentry) is per persoon gedocumenteerd (Florian, Jasper, Sander). Nog te documenteren: GitHub, Infisical, Cloudflare-dashboard, ClickUp per medewerker. Vervolg: jaarlijkse review inplannen.
Formaat: Tabel/spreadsheet. Geschatte inspanning: 3 uur.

7. Logging en monitoring-overzicht
Sentry (exceptions), InfluxDB (operationele events) en Laravel Horizon (queue) zijn gedocumenteerd maar niet samengevoegd in een overzicht. Bewaartermijnen en escalatiepaden ontbreken.
Formaat: 1-pagina overzicht. Geschatte inspanning: 2 uur.

8. ✅ Leveranciersoverzicht met certificeringen — afgerond
Het Supplier Overview is beschikbaar met certificeringsstatus voor alle leveranciers: infrastructuur (Hetzner, Cloudflare, GitHub, Infisical), search & analytics (Algolia, Google, Microsoft), marketing & klantenservice (Copernica, Front, TrustPilot), betalingen (CM Payments, Exact Online) en logistiek (DPD). Openstaande verificaties zijn gemarkeerd en te vinden in het document.

9. Kwetsbaarheidsbeheer documenteren
Beschrijf hoe updates van composer/npm-dependencies worden bijgehouden en hoe kritieke patches worden uitgerold. Let op: PrestaShop 1.6.x en PHP 7.2 zijn EOL.
Formaat: Korte procedure (½ pagina). Geschatte inspanning: 1 uur.

10. Pentest uitvoeren
De Pentest Brief is beschikbaar. Scope, rules of engagement en contactpersonen zijn gedefinieerd. Nog te regelen: IP-range Hetzner, test-/acceptatie-URLs, testaccounts en akkoord op DoS-beleid.
Formaat: Extern uit te voeren door security specialist. Geschatte inspanning: Coördinatie ~4 uur intern.

Prioriteit Laag — Op termijn

11. Pull request security-checklist
Voeg OWASP Top 10-punten toe aan het GitHub PR-template voor brekz-services.
Geschatte inspanning: 1 uur.

12. Beveiligingsbewustzijn vastleggen
Notuleer jaarlijks intern overleg over beveiliging; voeg security-items toe aan de onboarding-checklist.
Geschatte inspanning: 1 uur.

13. Jaarlijkse interne audit plannen
Peer review van beveiligingsmaatregelen door iemand die de dagelijkse operatie niet uitvoert. Na de pentest: herhaal jaarlijks.
Geschatte inspanning: 4 uur per jaar.


Aanbevolen te documenteren procedures

# Procedure Formaat Status
1 Informatiebeveiligingsbeleid 2 pagina's beleid, ondertekend door directie Ontbreekt
2 Backup Statement — Flooris + HD Services Backup-frequentie, retentie, restore-testresultaten, RTO/RPO per partij Gedeeltelijk (structuur aangemaakt, inhoud nog in te vullen)
3 Incident response — PrestaShop RCE Flowchart + stappenplan Beschikbaar
4 Incident response — overige scenario's Uitbreiding CIRP Ontbreekt
5 Offboarding checklist Checklist per medewerker/contractor Ontbreekt
6 Wijzigingsbeheer 1 pagina die GitHub-flow + ClickUp formaliseert Ontbreekt
7 Toegangsmatrix en access review Tabel + jaarlijkse reviewdatum Gedeeltelijk (hosting gedocumenteerd per persoon)
8 Logging en monitoring-overzicht 1 pagina: systemen, tools, retentie, verantwoordelijken Gedeeltelijk (tools gedocumenteerd)
9 Leveranciersoverzicht (Third Party Risk) Tabel: naam, dienst, certificering, contractstatus ✅ Beschikbaar — verificatie van 6 leveranciers nog openstaand
10 Kwetsbaarheidsbeheer ½ pagina: dependency updates, patchproces Ontbreekt
11 Veilig coderen checklist PR-template uitbreiding (GitHub) Ontbreekt
12 Beveiligingsbewustzijn log Jaarlijkse registratie van activiteiten Ontbreekt

Letter of Assurance als realistisch alternatief

Een Letter of Assurance is voor organisaties van de omvang van Flooris een haalbaar en door veel accountants geaccepteerd alternatief voor een volledige ISAE 3402 Type 2 audit. De letter:

  • Wordt ondertekend door de directie van Flooris
  • Beschrijft welke controls bestaan, wie verantwoordelijk is, en hoe ze worden gemonitord
  • Verwijst naar de ISO 27001/SOC 2-certificeringen van de infrastructuurketen

Externe leveranciers met certificering:

Leverancier Dienst Certificering
Hetzner Servers / hosting + Storagebox ISO 27001:2022 (cert. ZN-2025-35), BSI C5 Type 2
Cloudflare CDN, WAF, DNS, Access SOC 2 Type 2, ISO 27001
GitHub Source control, CI/CD SOC 2 Type 2
Infisical Secrets management SOC 2 Type 2

Self-hosted tools (onder Hetzner ISO 27001-certificering):

Tool Server Dienst
Sentry FL09PLO-SEN01 Error tracking & exception monitoring
InfluxDB FL09IDB001 Metrics & operationele event logging
MeiliSearch FL09PLO-MEI01 Zoekinfrastructuur

Volgorde van aanpak

Voer eerst de actiepunten met prioriteit Hoog uit (totaal ~10 uur werk). Daarna kan Flooris een Letter of Assurance opstellen die verwijst naar de gecreëerde procedures als bewijs van bestaan en werking. Dit is in de meeste gevallen voldoende voor een accountant die zekerheid zoekt over de IT-beheersomgeving van een kleine serviceorganisatie.