Beveiliging & DATA Protection
Versie: 26 mei 2025
Contact: security@myautopilot.email
1. Waarom deze pagina?
wUw data is het kloppend hart van uw bedrijf. MyAutoPilot bouwt en beheert AI Workflows en Agents die integreren met gevoelige systemen zoals CRM, agenda, e‑mail en boekhouding. Op deze pagina leggen wij uit welke maatregelen wij treffen om uw informatie veilig, vertrouwelijk en beschikbaar te houden.
2. Onze beveiligingsprincipes
- Privacy by Design & Default – Vanaf de eerste ontwerpfase beperken we dataverzameling tot het minimum.
- Least Privilege – Elke gebruiker, API‑sleutel en AI Agent krijgt alleen toegang tot de strikt noodzakelijke scopes.
- Transparantie – Geen verborgen processen of licenties; onze werkwijze en prijzen zijn 100 % transparant.
- Continue verbetering – Doorlopend testen en optimaliseren van onze verdediging, parallel aan de maandelijkse support voor uw workflows.
3. Infrastructuurbeveiliging
| Onderdeel | Maatregel |
|---|---|
| Hosting | Europese datacenters (ISO 27001 & SOC 2). Beheer via Kubernetes‑cluster met automatische patching. |
| Netwerk | TLS 1.3 end‑to‑end encryptie, WAF & DDoS‑bescherming, streng firewall‑beleid. |
| Back‑ups | Versleutelde back‑ups elke 6 uur, bewaartermijn 30 dagen, periodieke restore‑tests. |
| Beschikbaarheid | Redundante zones & 99,9 % platform‑uptime. |
4. Applicatiebeveiliging
- Secure SDLC – Threat‑modelling, peer code‑reviews en geautomatiseerde SAST/DAST‑scans.
- Dependencymanagement – Real‑time alerts op kwetsbare libraries (SBOM).
- Pen‑tests – Halfjaarlijkse penetratietesten door CREST‑gecertificeerde partners; samenvatting beschikbaar op verzoek.
- Bug‑bounty‑programma – Responsible disclosure via security@myautopilot.ai.
5. Toegangsbeheer & Identiteit
- RBAC voor alle diensten; rollen op workflow‑, project‑ en tenant‑niveau.
- MFA & SSO (AzureAD/Google Workspace/Okta) verplicht voor interne medewerkers.
- Just‑in‑Time admin‑sessies gelogd in een onveranderbaar audit‑log.
6. Integraties & Data‑uitwisseling
Onze AI Agents verbinden met uw CRM, agenda, e‑mail en WhatsApp via OAuth 2.0 of server‑to‑server API‑sleutels met beperkte scopes. Inkomende webhooks zijn ondertekend met HMAC‑SHA256; uitgaande verzoeken worden gevalideerd tegen een allow‑list.
7. Encryptie & Databeheer
| Fase | Methode |
| In‑Transit | TLS 1.3, perfect forward secrecy. |
| At‑Rest | AES‑256 server‑side encryption; afzonderlijke keys per klant. |
| Key‑management | HSM‑backed KMS, strikte key‑rotation (90 dagen), rolgebaseerde toegang. |
8. Monitoring, Logging & Incident Response
- SIEM – Real‑time logaggregatie, correlatie en 24/7 alerting.
- Incident‑responsplan – Eerste triage < 30 min, volledige root‑cause binnen 24 uur.
- Retentie – Logs 12 maanden; daarna geanonimiseerd of verwijderd.
- Post‑mortems – Transparante rapportage met preventieve maatregelen.
9. Compliance & Certificeringen
- AVG (GDPR) – Verwerkersovereenkomst beschikbaar; standaardverwerkersclausules voor doorgifte.
- ISO 27001 (Gepland) – Certificering Q4 2026; interim‑controls al volledig geïmplementeerd.
- NIS2‑richtlijn – Gap‑analyse afgerond, naleving in roadmap 2025.
10. Business Continuity & Disaster Recovery
- Herstel‑tijd (RTO) 4 uur, data‑verlies (RPO) 30 min.
- Jaarlijkse table‑top‑oefeningen & simulatietests.
- Multiregionale replicatie binnen de EU.
11. Uw verantwoordelijkheden
Beveiliging is een gedeelde inspanning. Wij raden u aan:
- Sterke wachtwoorden & MFA voor uw accounts te activeren.
- Toegangstokens periodiek te roteren en ongebruikte integraties te verwijderen.
- Rollen en rechten in uw eigen systemen actueel te houden.
12. Vulnerability Disclosure
Heeft u een kwetsbaarheid gevonden? Meld dit verantwoord via security@myautopilot.email (PGP‑key beschikbaar). Wij reageren binnen 24 uur met een eerste status en streven naar een oplossing binnen 14 dagen.
13. Vragen?
Neem contact op via security@myautopilot.email of plan een gesprek met onze CISO. Voor privacy‑gerelateerde vragen kunt u ook onze Data Protection Officer bereiken via security@myautopilot.email
