Naar inhoud

Security · Trust

Self-hosted by design. Uw data verlaat nooit uw infrastructuur.

Olivares AI beheert de toegang tot de AI-agents op uw infrastructuur en is daarom ontworpen om allereerst veilig te zijn. Het draait binnen uw eigen infrastructuur, observeert read-only en legt de toegangskaart vast — niet de data die er doorheen stroomt. Op deze pagina laten we eerlijk zien hoe we dat aantonen.

Gegevensverwerking

Wat we raken, en wat nooit vertrekt

De sterkste privacygarantie is architectonisch, geen certificaat: omdat Olivares AI self-hosted is, blijft gevoelige data binnen uw perimeter en zien wij die nooit.

Draait in uw infrastructuur

Self-hosted op uw eigen hosts, clusters of clouds — de control plane zelf kan volledig air-gapped draaien en legt zijn toegangskaart vast zonder dat uw data naar buiten gaat. Agents die u beheert bereiken nog steeds de API's die ze aanroepen, zoals een gehoste modelprovider; alleen self-hostbare modellen draaien volledig offline. Self-hosted betekent dat uw data uw omgeving niet verlaat.

Randen, geen payloads

Het legt toegangsrelaties vast — welke agent welke resource kan bereiken, read versus read/write — niet de querybodies, payloads of secrets die er doorheen stromen. Wat we niet opslaan, kunnen we niet lekken.

Secrets en PII geredacteerd

Invoer die secrets of persoonsgegevens kan bevatten, wordt geredacteerd en op secrets gescand voordat er iets wordt weggeschreven. Meer detail is iets waarvoor een operator bewust moet kiezen.

Read-only observatie

De collector observeert; hij schrijft nooit naar uw databases en wijzigt nooit uw hosts. Hij leest identiteiten zoals een rol- of applicatienaam — niet de waarden van credentials. Het is geen datasniffer.

Geen telemetrie naar huis

Secure by default betekent geen phone-home: leveranciers­telemetrie staat uit tenzij u die expliciet inschakelt. Er wordt niets over uw omgeving naar ons gestuurd.

U bepaalt de bewaartermijn

Bewaring en verwijdering zijn configureerbaar, en in air-gapped deployments vertrekt er nooit iets, punt uit.

Kwetsbaarheidsmelding

Meld een beveiligingsprobleem

We verwelkomen gecoördineerde melding en handelen te goeder trouw met onderzoekers die hetzelfde doen. Bevindingen in het beveiligingsmodel zelf zijn nadrukkelijk welkom.

Meld vertrouwelijk aan

security@olivares.ai

Open voor een vermoedelijke kwetsbaarheid geen publieke issue, pull request of discussie. PGP is op verzoek beschikbaar voordat u details verstuurt.

Volledig beleid Beleid voor kwetsbaarheidsmelding (SECURITY.md) Machineleesbaar contact /.well-known/security.txt (RFC 9116)

Wat u kunt verwachten

  • Ontvangstbevestiging binnen 3 werkdagen
  • Eerste beoordeling binnen 10 werkdagen
  • Gecoördineerde melding tot 90 dagen, eerder als er een fix uitkomt

Stuur alstublieft geen

Geen echte secrets, credentials of tokens (redacteer ze), geen persoonsgegevens van klanten of derden en geen productiedumps, en geen live exploitatie van systemen die niet van u zijn. Beschrijf gevoelige impact in plaats van die bij te voegen — we regelen een veilig kanaal.

Olivares AI is pre-release. Er zijn nog geen ondersteunde getagde versies; beveiligingsfixes worden alleen op de main branch toegepast.

Subverwerkers

Wie data nog meer verwerkt

Deze website gebruikt geen subverwerkers voor analytics, advertenties of tracking. Het is een statische site met self-hosted fonts, een strikte same-origin Content-Security-Policy en geen cookies. De site wordt geleverd via een content delivery network, dat alleen de verbindingsmetadata verwerkt die nodig is om de pagina te leveren — we verzamelen geen persoonsgegevens wanneer u browst.

Voor het product zelf: omdat Olivares AI self-hosted draait op uw eigen infrastructuur, is er geen subverwerker aan leverancierszijde voor uw data. Die blijft binnen uw perimeter en wij zien die niet. Een eventueel toekomstig managed aanbod zou zijn eigen lijst met subverwerkers publiceren; vandaag wordt dat niet aangeboden.

Gegevensverwerking

Verwerkersovereenkomst (AVG art. 28)

Een verwerkersovereenkomst is op verzoek beschikbaar voor enterprise-inkoop. Omdat Olivares AI self-hosted is, blijft u in de meeste deployments zelf de verwerkingsverantwoordelijke en verwerker van uw eigen data binnen uw eigen infrastructuur; een verwerkersovereenkomst kan toch worden gesloten om de verantwoordelijkheden binnen een commerciële relatie vast te leggen.

Vraag een verwerkersovereenkomst aan

Compliancehouding

Eerlijk over waar we staan

Olivares AI is pre-release en is niet gecertificeerd onder SOC 2, ISO/IEC 27001, de EU AI Act of enig ander framework, en er loopt geen audit. We ontwerpen het product zo dat het aansluit op de controls die deze frameworks toetsen — auditlogging, toegangscontrole, integriteit, encryptie en wijzigingsbeheer — zodat het klaar is om geauditeerd te worden wanneer het zover is. Formele certificering (bijvoorbeeld SOC 2 Type 2) is een latere stap die de architectuur mogelijk moet maken; het is geen voorwaarde voor de eerste release.

Frameworks waar we naartoe ontwerpen

  • SOC 2 / ISO 27001

    Controledoelstellingen waar we naartoe ontwerpen — niet gecertificeerd, op de roadmap.

  • EU AI Act

    Ontworpen om de control- en documentatieverwachtingen ervan te ondersteunen.

  • CSA MAESTRO

    Een methodologie voor threat modelling waar we tegen mappen — geen certificeerbare standaard.

  • OWASP agentic threats

    Gemapt tegen de lijst met agentic threats en mitigaties.

  • CISA / NIST-richtlijnen

    Richtlijnen, geen certificeerbare standaard — design-toward, geen conformiteitsclaim.

Waar we aansluiting op externe frameworks beschrijven, gaat het om een technische mapping, geen certificering — en voor standaarden die nog niet definitief zijn, is het een design-toward-signaal zonder conformiteitsclaim.

Build-integriteit

  • Releases worden cryptografisch ondertekend, worden geleverd met een software bill of materials en dragen build provenance.
  • Eén enkele, geheugenveilige statische binary in minimale, hardened container images.
  • Minimale, vastgepinde dependencies — geen installatiescripts die ongeverifieerde code uitvoeren.
  • Dependency- en secret-scanning bewaakt elke wijziging in CI.

Deze garanties gaan in bij de eerste getagde release; het project is vandaag pre-alpha.

Hersteldoelen

  • Kritiek 7 dagen
  • Hoog 14 dagen
  • Gemiddeld 30 dagen
  • Laag volgende geplande release

Onze toegezegde herstelcadans, geldig vanaf de eerste getagde release. Actief geëxploiteerde kwetsbaarheden worden als kritiek behandeld.

Trust-vragen

Waar gaat mijn data naartoe?

In de self-hosted editie blijft uw data binnen uw eigen infrastructuur; Olivares AI ontvangt die niet. Het product legt de toegangskaart vast — niet de payloads, secrets of persoonsgegevens die er doorheen bewegen.

Bent u SOC 2- of ISO 27001-gecertificeerd?

Nog niet. Het product is ontworpen om aan te sluiten op de controledoelstellingen van SOC 2 en ISO 27001, zodat het klaar is om geauditeerd te worden, maar formele certificering staat op de roadmap en is nog niet behaald. We claimen geen certificering die we niet hebben.

Hoe meld ik een beveiligingskwetsbaarheid?

Mail vertrouwelijk naar security@olivares.ai — open alstublieft geen publieke issue. Ons volledige beleid staat in SECURITY.md, gelinkt vanuit /.well-known/security.txt (RFC 9116). We bevestigen ontvangst binnen drie werkdagen.

Bieden jullie een verwerkersovereenkomst aan?

Ja, een verwerkersovereenkomst conform AVG artikel 28 is op verzoek beschikbaar voor enterprise-inkoop. Neem contact op via enterprise@olivares.ai.

Vragen van uw security- of inkoopteam?

Meld een kwetsbaarheid bij ons securitycontact, of neem contact op voor inkoop, een verwerkersovereenkomst of een security review.

Meld een kwetsbaarheid Contact inkoop