Beveiliging & architectuur

• Applicatie + database draaien in Duitsland (EU).
• Geen multi-region setup buiten de EU. AI-verwerking verloopt via een externe provider in de VS op basis van een DPA; tenants in live-only modus gebruiken geen externe AI en blijven 100% EU.
• TLS 1.3 op alle verbindingen, automatisch vernieuwde certificaten.
• Firewall: alleen webverkeer open naar het publiek; beheer via sleutelparen.

• Wachtwoorden worden gehasht opgeslagen — nooit in leesbare vorm, ook niet voor ons.
• Versleutelde, ondertekende sessiecookies.
• Optionele 2FA via TOTP (Google Authenticator, 1Password, Authy).
• Rollen per tenant: owner, admin, agent — autorisatie-checks op elke beschermde route.
• Super-admin impersonatie wordt volledig gelogd in de audit-trail.

• Volledige isolatie per tenant via tenant_id in elke query — geen cross-tenant reads mogelijk.
• Inkomende bezoekersberichten worden door een moderation-laag gecheckt voordat ze een antwoord triggeren.
• Rate-limits per tenant + per sessie (10 berichten/minuut default).
• Bot-antwoorden zijn optioneel strikt beperkt tot de knowledge base van de tenant (restrict_to_kb modus).
• API-keys van tenants zijn publishable-style: domein-whitelist is de primaire beveiligingslaag, niet geheimhouding van de key.

• Dagelijkse automatische database-back-up.
• 14 dagen retentie.
• Point-in-time recovery mogelijk binnen die periode.

• Elke wijziging in het dashboard (rolwijzigingen, API-key-creatie, impersonatie, billing-details) wordt gelogd in audit_log — inzichtelijk voor tenant-admins.
• Applicatie-logs bewaren we 30 dagen voor debugging en incident response.
• Inlog-pogingen worden 90 dagen bewaard voor fraude-detectie.

Bij een beveiligingsincident met mogelijke impact op persoonsgegevens:

• Binnen 72 uur melden wij het aan de Autoriteit Persoonsgegevens (AVG art. 33).
• Getroffen tenants worden direct geïnformeerd via het e-mailadres van het account.
• Post-mortem met oorzaak + herstelmaatregelen wordt gedeeld met betrokken klanten.