Beveiliging & Compliance
Bij Aviseo nemen we beveiliging serieus. Jouw financiële data verdient enterprise-grade bescherming, en we hebben ons platform met security als kern gebouwd.
Beveiligingsarchitectuur
Multi-Tenancy Isolatie
Aviseo implementeert een strikt hiërarchisch data isolatie model:
Account → Workspace → Project
- Elke organisatie heeft een apart Account
- Workspaces bieden afdelingsisolatie
- Projects bevatten specifieke analyse taken
- Complete data scheiding tussen tenants
- Geen cross-tenant data toegang mogelijk
Role-Based Access Control (RBAC)
Zes granulaire permissie niveaus zorgen ervoor dat gebruikers alleen toegang hebben tot wat ze nodig hebben:
- Viewer - Alleen-lezen toegang tot resultaten
- Reviewer - Kan analyses reviewen en goedkeuren
- Worker - Analyses uitvoeren en queries draaien
- Planner - Workflows aanmaken en beheren
- Manager - Volledige projectbeheer mogelijkheden
- Admin - Systeem-brede administratie
Voordelen:
- Principe van least privilege
- Granulaire controle per gebruiker per workspace
- Audit trail van alle permissie wijzigingen
- Eenvoudige onboarding en offboarding
Data Bescherming
Opslag Beveiliging
Private File Storage:
- Alle uploaded bestanden opgeslagen buiten web root
- Niet direct toegankelijk via URLs
- Server-side toegangscontrole op elke request
- Automatische file encryptie at rest
Bestandslimieten:
- Maximum 1GB per bestand
- Maximum 250 bestanden per upload
- Maximum 10GB totaal per operatie
- Voorkomt resource exhaustion aanvallen
Input Validatie
Uitgebreide validatie laag:
- Pydantic validators voor alle user input
- SQL injection preventie (alleen parameterized queries)
- XSS bescherming via template escaping
- YAML-driven whitelist voor sort velden
- Resource limieten op alle operaties
Rate Limiting
Bescherming tegen misbruik:
- 10 requests per minuut per gebruiker
- 100 requests per uur per gebruiker
- Configureerbaar per endpoint
- Automatische blokkering van verdachte patronen
Applicatie Beveiliging
Authenticatie
Django Allauth Integratie:
- Veilige password hashing (PBKDF2)
- Multi-factor authenticatie (MFA) ondersteuning
- WebAuthn voor passwordless login
- Sessiebeheer met automatische timeout
- Account lockout na mislukte pogingen
HTTPS & Transport Beveiliging
Alle communicatie versleuteld:
- TLS 1.3 voor alle connecties
- Strict Transport Security (HSTS) enabled
- Secure cookie flags
- Content Security Policy (CSP) headers
CSRF Bescherming
Django's ingebouwde CSRF bescherming:
- CSRF tokens op alle state-changing requests
- SameSite cookie attribute
- Origin checking op gevoelige operaties
Audit & Logging
Activity Log
Elke operatie wordt gelogd met:
- Gebruiker die de actie uitvoerde
- Timestamp (milliseconde precisie)
- Operatie type (upload, download, execute, etc.)
- Input parameters
- Resultaten (configureerbaar)
- Duur tracking
- IP adres en user agent
GIN indexes voor snelle patroon queries:
- Detecteer ongebruikelijke toegangspatronen
- Track gebruikersgedrag
- Compliance rapportage
- Forensische analyse
Automatische Context Extractie
Onze @logged_operation decorator legt automatisch vast:
- Gebruikersidentiteit
- Project/Workspace/Account context
- Uitvoering duur
- Succes/failure status
- Foutmeldingen (indien aanwezig)
92% code reductie terwijl uitgebreide logging gegarandeerd is.
Database Beveiliging
PostgreSQL Beveiliging
Meerdere lagen van bescherming:
- Row-level security policies
- Versleutelde connecties (SSL)
- Regelmatige geautomatiseerde backups
- Point-in-time recovery mogelijkheid
- Aparte database per environment
Query Veiligheid
DuckDB query executie:
- Read-only database connecties
- Geen DROP/ALTER/CREATE permissies
- Alleen parameterized queries
- Query timeout limieten
- Resource usage monitoring
Compliance
GDPR Compliance
Europese data bescherming standaarden:
- Data minimalisatie principe
- Recht op toegang (data export)
- Recht op verwijdering (account deletion)
- Data portabiliteit
- Privacy by design
- Consent management
Data Residency
- Alle data opgeslagen binnen EU/Nederland
- Geen data transfers buiten EU
- Transparante data handling practices
Audit Trail
Complete audit logs voor:
- Data toegang
- Data modificaties
- Permissie wijzigingen
- Gebruikers acties
- Systeem events
Retentie: 2 jaar minimum voor compliance doeleinden.
Vulnerability Management
Security Practices
Proactieve security:
- Regelmatige security audits
- Dependency vulnerability scanning
- Geautomatiseerde security updates
- Penetration testing (jaarlijks)
- Security patch management
Responsible Disclosure
Security issue gevonden? We waarderen responsible disclosure:
Security Contact: security@juyst.nl
Onze Belofte:
- Bevestiging binnen 24 uur
- Regelmatige updates over resolutie voortgang
- Credit in onze security hall of fame (indien gewenst)
- Geen juridische actie tegen good-faith researchers
Infrastructuur Beveiliging
Hosting & Infrastructuur
Enterprise-grade hosting:
- Redundante infrastructuur
- Automatische failover
- DDoS bescherming
- Regelmatige security patches
- Monitoring en alerting
Backup & Recovery
Data bescherming:
- Dagelijkse geautomatiseerde backups
- 30-dagen retentie periode
- Versleutelde backup opslag
- Regelmatige restore testing
- Disaster recovery plan
Development Security
Secure Development Lifecycle
Security geïntegreerd in development:
- Security requirements in alle features
- Code review voor alle wijzigingen
- Geautomatiseerde security testing
- Dependency vulnerability scanning
- OWASP Top 10 compliance
Code Kwaliteit
Ruff linter voor Python:
- Security patroon detectie
- Code kwaliteit enforcement
- Consistente code stijl
- Import sorting en organisatie
Certificeringen & Standaarden
Huidige Status
- GDPR Compliant ✓
- OWASP Top 10 Addressed ✓
- Secure Development Lifecycle ✓
In Progress
- SOC 2 Type II (gepland)
- ISO 27001 (onder overweging)
Contact Security Team
Voor security vragen, vulnerability reports, of compliance vragen:
Email: security@juyst.nl
Responstijd: Binnen 24 uur voor kritieke problemen
Jouw data beveiliging is onze top prioriteit.
We verbeteren continu onze security posture om jouw financiële informatie te beschermen.