Beveiliging bij Conviro
Enterprise-grade beveiliging van de grond af opgebouwd. Uw klantgegevens en gesprekken zijn op elke laag beschermd.
Versleuteling
In Transit: Alle gegevens zijn versleuteld met TLS 1.2+ met 256-bit encryptie. Alle API-eindpunten, webhooks en widget-verbindingen zijn uitsluitend HTTPS. HSTS wordt afgedwongen met een max-age van 1 jaar inclusief subdomeinen.
In Rust: Klantgegevens worden versleuteld met AES-256 op de opslaglaag. Databasevolumes gebruiken volledige schijfversleuteling. Back-upbestanden zijn versleuteld met afzonderlijke sleutels.
Sleutelbeheer: API-sleutels, tokens en referenties worden in rust versleuteld met afzonderlijke sleutelhiërarchieën en worden nooit gelogd of blootgesteld in API-antwoorden.
Infrastructuur
Datacenter: Alle productie-infrastructuur is gehost in ISO 27001-gecertificeerde datacenters in de Europese Unie (Duitsland). Servers zijn niet toegankelijk via het openbare internet.
Netwerkisolatie: Database-, cache- en berichtenwachtrijservices draaien in privénetwerken zonder openbare IP-adressen. Alleen de API en webapplicatie hebben openbare eindpunten, achter een reverse proxy met snelheidsbeperking en DDoS-bescherming.
Monitoring: 24/7 infrastructuurmonitoring met geautomatiseerde meldingen. Beschikbaarheidsdoelstelling: 99,9%.
Toegangsbeheer
Authenticatie: E-mail/wachtwoord met bcrypt-hashing (salt rounds: 12) of Google OAuth 2.0. JWT-gebaseerde toegangstokens met een vervaltijd van 15 minuten en cryptografisch willekeurige verversingstokens.
Autorisatie: Rolgebaseerde toegangscontrole (RBAC) met rollen voor Eigenaar, Beheerder en Agent. API-sleutelauthenticatie voor programmatische toegang met machtigingsbereik per sleutel.
Snelheidsbeperking: Per-IP- en per-accountsnelheidsbeperkingen op alle eindpunten. Authenticatie-eindpunten hebben strengere limieten om brute force-aanvallen te voorkomen.
Naleving
GDPR: Volledige naleving van de EU Algemene Verordening Gegevensbescherming. Gegevensverwerkingsovereenkomsten (DPA) beschikbaar voor Enterprise-klanten. Privacy-by-design-principes toegepast op het gehele platform.
Gegevenslocatie: Alle klantgegevens worden opgeslagen en verwerkt binnen de EU. AI-modelleveranciers verwerken gespreksgegevens onder DPA's met passende waarborgen voor overdrachten naar de VS (EU-VS DPF, Standaard Contractuele Clausules).
Cookie-naleving: GDPR-conforme cookietoestemmingsbanner met gedetailleerde categoriecontrole (Essentieel, Analyse, Marketing). Toestemmingsregistraties worden opgeslagen voor auditdoeleinden.
Estse Wet Gegevensbescherming: Conform de lokale Estse regelgeving. Toezichthoudende autoriteit: Estse Gegevensbeschermingsinspectie (Andmekaitse Inspektsioon).
Gegevensbewaring en Verwijdering
Gespreksgegevens: Bewaard op basis van uw werkruimte-instellingen (standaard: 90 dagen). Configureerbaar per werkruimte.
Accountverwijdering: Wanneer u uw account of een chatbot verwijdert, worden alle bijbehorende gegevens onmiddellijk definitief verwijderd uit actieve databases. Versleutelde back-ups met de verwijderde gegevens worden binnen 30 dagen permanent gewist.
Recht op Verwijdering: GDPR-artikel 17-verzoeken worden binnen 30 dagen verwerkt. Neem contact op met [email protected].
AI-modelbeveiliging
Gegevensisolatie: Uw kennisbank en gespreksgegevens worden nooit gebruikt om AI-modellen te trainen. De gegevens van elke werkruimte zijn strikt geïsoleerd.
Leveranciersovereenkomsten: Wij onderhouden Gegevensverwerkingsovereenkomsten met alle AI-leveranciers (Anthropic, OpenAI, Google). Zero-retention API-overeenkomsten zorgen ervoor dat leveranciers uw gegevens niet opslaan.
Inhoudsfiltering: AI-uitvoer wordt gemonitord op veiligheid. Beveiligingen tegen prompt-injectie en inhoudsfilters worden toegepast op alle AI-interacties.
Meldingsbeleid voor Kwetsbaarheden
Als u denkt een beveiligingskwetsbaarheid in Conviro te hebben gevonden, meld dit dan op verantwoorde wijze aan ons beveiligingsteam. Maak de kwetsbaarheid niet openbaar totdat wij de gelegenheid hebben gehad deze aan te pakken.
Contact: [email protected]
Wij verplichten ons tot:
- Bevestiging van uw melding binnen 24 uur.
- Het verstrekken van een tijdlijn voor herstel binnen 72 uur.
- U op de hoogte houden van onze voortgang.
- Geen juridische stappen ondernemen tegen beveiligingsonderzoekers die te goeder trouw handelen.