Anti-misbruik- en veiligheidsbeleid
Laatste update: [IN TE VULLEN: publicatiedatum].
Dit beleid beschrijft de technische en organisatorische maatregelen die door Promastro worden genomen om misbruik, fraude en kwaadaardig gedrag op de site promastro.be te voorkomen. Het wordt gepubliceerd uit zorg voor transparantie en vormt de rechtsgrondslag van het gerechtvaardigd belang (art. 6.1.f RGPD) op grond waarvan bepaalde technische gegevens worden verwerkt.
1. Waarom dit beleid?
Promastro verwerkt dagelijks inschrijvingen, reviews, berichten en betalingen. Om de kwaliteit van de dienstverlening en de veiligheid van de gebruikers te waarborgen, worden verschillende technische maatregelen ingezet. Deze kunnen occasioneel een legitieme actie blokkeren; deze pagina legt uit waarom en hoe u de situatie kunt deblokkeren.
2. Snelheidsbeperkingen (rate limits)
Om spam, geautomatiseerde scraping en brute force-aanvallen te voorkomen, worden bepaalde acties in frequentie beperkt:
| Actie | Limiet | Criterium |
|---|---|---|
| Verificatie BTW-nummer (VIES) | 5 / uur | Per IP-adres (geanonimiseerd) |
| Verzenden van berichten aan een Pro | 3 / 24 u | Per Pro-bestemmeling en per IP |
| Mollie betaalpogingen | 3 / 24 u | Per account |
| AI-zoekopdracht (natuurlijke taal) | 20 / uur | Per IP-adres (geanonimiseerd) |
| Aanmeldingspogingen | 5 / 15 min | Per account + IP |
| Aanvragen wachtwoordherstel | 3 / uur | Per account + IP |
| Plaatsen van reviews | 1 per fiche + 5 per dag in totaal | Per account |
Het IP-adres wordt geanonimiseerd door hash HMAC-SHA256 met een roterende sleutel, conform de aanbevelingen van de GBA (APD). Geen enkel IP-adres wordt in leesbare vorm bewaard.
3. Anti-fraude BTW / Pro-inschrijving
De inschrijving van een Professioneel op Promastro is onderworpen aan verschillende anti-fraudeverificaties:
- BTW-nummer — geautomatiseerde verificatie via de officiële VIES-dienst van de Europese Commissie; verwacht formaat
BE0XXXXXXXXXofBE1XXXXXXXXX; - Uniciteit — een zelfde BTW-nummer kan slechts aan één actief Pro-account tegelijk gekoppeld zijn. De detectie gebeurt via een SHA256-hash van het nummer (nooit in leesbare vorm);
- Anti-misbruik gratis proefperiode — de gratis proefperiode (zie proefperiodebeleid) kan slechts eenmaal gebruikt worden per BTW-nummer en per e-mailadres;
- Pre-autorisatie 0,01 € via Mollie om de bankkaart te valideren en een machtiging te verkrijgen; dit bedrag wordt onmiddellijk gecrediteerd of terugbetaald;
- KBO-verificatie — de consistentie tussen het BTW-nummer, de bedrijfsnaam en het opgegeven adres wordt geverifieerd bij de Belgische Kruispuntbank van Ondernemingen;
- KYC-identiteitsverificatie (optioneel, op verzoek van de Pro om een bijkomende badge te verkrijgen) — gescande identiteitskaart + selfie, geverifieerd door het moderatieteam, gegevens versleuteld AES-256.
4. Anti-spam en anti-valse reviews
- Geautomatiseerde AI-moderatie (model Claude / Anthropic) toegepast op elke review en elke beschrijving — detectie spam / belediging / off-topic (zie moderatiehandvest);
- Verplichte registratie met geverifieerd e-mailadres om een review te plaatsen;
- Detectie van abnormaal gedrag: indieningsritme, gelijkenis van de tekst met andere reviews, opeenvolgende IP-adressen — deze signalen worden uitsluitend intern gebruikt voor moderatie, nooit gepubliceerd;
- Onzichtbare captcha — Promastro gebruikt een niet-intrusieve bot-detectiemethode, zonder plaatsing van cookie van derden;
- Honeypot op inschrijvings- en contactformulieren om de eenvoudigste robots te blokkeren.
5. Anti-identiteitsdiefstal
- E-mailverificatie bij inschrijving (bevestigingslink);
- Beleid sterke wachtwoorden opgelegd: minimum 10 tekens, hoofdletter, kleine letter, cijfer, speciaal teken;
- Bcrypt hash van wachtwoorden — onomkeerbaar;
- 2FA (tweefactorauthenticatie) verplicht voor beheerdersaccounts;
- E-mailmelding bij aanmelding vanaf een nieuw apparaat of browser (op impliciete toestemming — Pro-gebruikers);
- Automatische blokkering na 5 mislukte aanmeldingspogingen (15 minuten).
6. Bescherming tegen webaanvallen (OWASP)
Promastro past de best practices voor webbeveiliging toe die de OWASP Top 10 dekken:
- Systematische escaping van outputs (anti-XSS);
- Geparametriseerde queries
$wpdb->prepare()(anti-SQL-injectie); - Validatie van nonces op alle gevoelige acties (anti-CSRF);
- Cookies
HttpOnly+SameSite=Lax+Secureop HTTPS; - Content Security Policy (CSP) aan Nginx-zijde;
- Strikte verificatie van het webhook secret Mollie (5 stappen: handtekening, ID-formaat, idempotentie, bedragconsistentie, gebruikersconsistentie);
- Beperkte UNIX-permissies op gevoelige bestanden (
wp-config.phpin 640); - Uitschakeling van bestandsbewerking vanuit de admin (
DISALLOW_FILE_EDIT); - Uitschakeling van
xmlrpc.php; - Verwijdering van
readme.htmlenlicense.txtuit de webroot.
7. Monitoring en logs
- Loggen van beheerderstoegang (retentie 30 jours);
- Loggen van serverfouten (retentie 30 jours);
- Loggen van Mollie webhooks (betalingsaudit);
- Loggen van Claude API-aanroepen (kostenaudit + moderatie) — zonder inhoud van verzoeken na meer dan 7 jours.
Geen enkele log bevat IP-adressen in leesbare vorm of wachtwoorden.
8. Gedrag bij beveiligingsincident
Bij een beveiligingsincident dat persoonlijke gegevens treft, past Promastro de volgende procedure toe:
- Onmiddellijke indamming (intrekking van gecompromitteerde toegangen, rotatie van geheimen, isolatie van getroffen accounts);
- Analyse binnen 24 heuren: aard, omvang, ernst, aantal betrokken personen;
- Melding aan de GBA (APD) binnen 72 heuren (art. 33 RGPD) indien een risico voor rechten en vrijheden bewezen is;
- Melding aan betrokkenen zonder onnodige vertraging indien het risico hoog is (art. 34 RGPD), met duidelijke beschrijving van de aard van de inbreuk, genomen maatregelen en aanbevelingen om uzelf te beschermen;
- Opname in het intern register van inbreuken (art. 33.5 RGPD);
- Gedocumenteerde lessons learned en corrigerende maatregelen.
9. Bent u per vergissing geblokkeerd?
Als u meent onterecht geblokkeerd te zijn door een van onze anti-misbruiksystemen (rate limit, AI-moderatie, captcha), kunt u:
- Wachten (de meeste limieten resetten automatisch na enkele uren);
- Ons schrijven op contact@promastro.be met vermelding van: de aard van de blokkering, het geschatte tijdstip, uw account-ID indien van toepassing. Een menselijke operator zal uw verzoek binnen 7 werkdagen onderzoeken.
Geen enkele blokkering is definitief zonder menselijke tussenkomst; u hebt altijd de mogelijkheid om herziening te vragen.
10. Misbruik melden
Als u misbruik constateert op de Site (valse Pro, georganiseerde valse reviews, intimidatie, illegale inhoud), meld dit:
- Via de knop « Signaleren » aanwezig op elke fiche en elke review;
- Per e-mail naar contact@promastro.be met screenshot en URL.
Elke melding wordt vertrouwelijk behandeld. De identiteit van de melder wordt nooit meegedeeld aan de gemelde persoon, behalve bij wettelijke verplichting.
11. Contact
Voor elke vraag met betrekking tot de beveiliging van de Site of een blokkering: contact@promastro.be.
Voor elke vraag betreffende RGPD: rgpd@promastro.be.
