Legal
Information Security
Technical and organisational security measures (summary).
Beleid informatiebeveiliging en gegevensbescherming
Argon Development · Intern · Versie 1.0 · 16 juni 2026
1. Doel
Passende beveiliging van systemen en persoonsgegevens (AVG art. 32).
2. Scope
- Website (
frontend_web_legacy/ Vercel) - API (FastAPI backend)
- Database (PostgreSQL)
- Native terminal (auth token handoff)
- Third parties: Stripe, Resend, Cloudflare
3. Maatregelen
| Domein | Maatregel |
|---|---|
| Transport | TLS everywhere; HSTS in productie |
| Auth | Argon2id passwords; JWT HttpOnly cookies; refresh rotation |
| Secrets | .env only; no secrets in git; ORACLE_API_KEY server-side only |
| API | Rate limits; CORS whitelist; internal tier endpoint met shared secret |
| Database | Least privilege DB user; geen publieke DB poort |
| Logging | Geen wachtwoorden/tokens in logs |
| Backups | [Backup-beleid invullen] — dagelijks DB backup, encrypted at rest |
| Patches | Dependency updates; security patches binnen 30 dagen critical |
| Access | Alleen [Volledige naam invullen] prod access; MFA op GitHub/Vercel/Stripe |
4. Incidentrespons (datalek)
- Detectie → binnen 24 u classificeren
- Melding AP + betrokkenen binnen 72 u indien vereist (art. 33/34 AVG)
- Documenteer: tijdlijn, impact, herstel
- Post-mortem binnen 14 dagen
Contact incident: jesse@argon-development.com
5. Leveranciers
Due diligence op Stripe, Resend, Vercel, hosting. DPA waar vereist.
6. Review
Jaarlijkse review of bij materiële architectuurwijziging.
Intern document — samenvatting mag in Privacyverklaring.