Naar inhoud

Beveiliging · Vertrouwen

Verifieer , vertrouw niet.

Elke publieke release wordt ondertekend, geattesteerd en met een software-stuklijst geleverd — u verifieert herkomst en integriteit met openbare tools in plaats van ons te vertrouwen. De pipeline is gebouwd en wordt vandaag in CI beproefd; het bewijs ervan wordt openbaar met de eerste release.

Toeleveringsketen

Wat er met elke release meekomt

De release-pipeline genereert deze artefacten automatisch. Er bestaat nog geen publieke release — items gemarkeerd als "eerste release" worden verifieerbaar op het moment dat de eerste getagde release wordt gepubliceerd; security.txt is vandaag al live.

Eerste release

SLSA Build Level 3

Elke release-binary wordt gebouwd door GitHub Actions met SLSA-herkomstattestatie via slsa-github-generator. De attestatie bewijst dat de binary is gebouwd van de vastgelegde broncode, in een geharde build-omgeving, zonder handmatige interventie.

Hoe verificatie werkt
Eerste release

Sleutelloze cosign-handtekeningen

Release-artefacten worden ondertekend met Sigstore cosign (sleutelloze modus via Fulcio + Rekor). U kunt handtekeningen verifiëren zonder dat wij een publieke sleutel distribueren — het transparantielogboek is de vertrouwensbasis.

Verificatiegids
Eerste release

Software-stuklijst

Elke release bevat SBOM in zowel CycloneDX- als SPDX-formaat, met een lijst van elke afhankelijkheid met versie en licentie. Machine-leesbaar, controleerbaar.

Hoe u de SBOM verifieert
Eerste release

OpenVEX-adviezen

Bekende kwetsbaarheden en hun toepasselijkheid op elke release worden gepubliceerd als OpenVEX-documenten. VEX-verklaringen onderscheiden "getroffen", "niet getroffen" en "in onderzoek".

Hoe adviezen worden geverifieerd
Live

security.txt (RFC 9116)

Een machine-leesbaar beleid voor kwetsbaarheidsmeldingen op /.well-known/security.txt, conform RFC 9116. Bevat contactgegevens, beleidslink en vervaldatum.

security.txt bekijken

Architectuur

Beveiliging by design

Deny-closed

Onbekende status wordt geweigerd, niet toegestaan. Elke beleidsbeslissing gebruikt standaard weigering — een engine die zijn beleidsopslag niet kan bereiken, weigert alle verzoeken in plaats van open te falen.

Alleen-toevoegen audit

Het auditlogboek is alleen-toevoegen met cryptografische kettingvorming. Gebeurtenissen kunnen niet stilzwijgend worden gewijzigd of verwijderd — manipulatie breekt de keten en is detecteerbaar.

Geen phone-home

De engine draait volledig in uw omgeving. Licentieverificatie is offline (Ed25519-handtekeningcontrole). Geen telemetrie, geen verplichte netwerkoproepen, geen activeringsserver.

Least privilege

Op Cedar gebaseerde RBAC en ABAC met beperkte toekenningen. Aangepaste rollen, delegatieplafonds en noodtoegang met dubbele controle. De standaard rechtenset is leeg.

Compliance

Compliance-status

Wij publiceren wat live is, wat gebouwd is en op de eerste publieke release wacht, en wat nog niet is gestart. Wij claimen geen certificeringen die wij niet hebben verkregen.

Vandaag live

  • RFC 9116 security.txt

    Machine-leesbaar beleid voor kwetsbaarheidsmeldingen, live op /.well-known/security.txt.

Gebouwd — openbaar met de eerste release

  • SLSA Build Level 3

    Herkomstattestatie via slsa-github-generator — gebouwd en in CI beproefd; wordt gepubliceerd met elke getagde release.

  • SBOM (CycloneDX + SPDX)

    Software-stuklijst gegenereerd voor elke release-build.

  • Sleutelloze cosign-handtekeningen

    Sigstore-gebaseerde artefactondertekening via Fulcio + Rekor.

  • OpenVEX-adviezen

    Toepasselijkheidsverklaringen voor kwetsbaarheden per release.

Gepland

  • SOC 2 Type II

    Gepland. Vereist voor de beheerde cloud, niet voor zelf hosten.

  • ISO 27001

    Gepland. Tijdlijn niet vastgelegd.

  • Onafhankelijke penetratietest

    Gepland. Wordt gepubliceerd na voltooiing.

Framework-gereedheid

Compliance-postuur

Het product brengt mogelijkheden in kaart voor 25 compliance-frameworkcatalogi. Hieronder het gereedheidspostuur voor de frameworks die het meest gevraagd worden door enterprise-kopers. Elk item is een gereedheidsmapping — geen certificering.

Gereedheid in kaart gebracht

ISO/IEC 27001:2022

Mapping van Bijlage A-controles met bewijsverwijzingen. Niet gecertificeerd.

Gereedheid in kaart gebracht

ISO/IEC 42001:2023

AIMS-gereedheidsmapping — het product genereert het bewijs dat een AIMS vereist. Niet gecertificeerd.

Gereedheid in kaart gebracht

SOC 2 Type II

Mapping van Trust Services Criteria (Security / Common Criteria). Niet geattesteerd.

Gereedheid in kaart gebracht

EU AI Act

Bijlage IV sjabloon voor technische documentatie. Het product is governance-tooling, niet zelf een Bijlage III-systeem.

Gereedheid in kaart gebracht

CSA STAR / AICM

Zelfbeoordelingen CAIQ v4 en AI-CAIQ (AICM v1.0) voorbereid. Niet ingediend bij het STAR Registry.

Gereedheid in kaart gebracht

GDPR

RTBF-runbook met crypto-shred, residentie-attestatie, retentie en juridische bewaring. Zelf gehost: de klant is verwerkingsverantwoordelijke en verwerker.

Gereedheid in kaart gebracht

NIST AI RMF 1.0

Subcategorie-mapping inclusief het Generatieve AI Profiel (AI 600-1).

Gedeeltelijk

DORA

Export van ICT-risicoweergave; de generator voor het Informatieregister is een enterprise-add-on.

Gereedheid in kaart gebracht

NIS 2-richtlijn

Verplichtingenmapping met ICT-toeleveringsketen-postuur en bewijs van incidentmelding.

Vertrouwenspakket

Due-diligence-documenten

Het vertrouwenspakket is gepubliceerd in de broncode-repository. Enterprise-kopers kunnen het volledige pakket aanvragen — inclusief vooraf ingevulde vragenlijsten en de evaluatiegids — via enterprise@olivares.ai.

Beschikbare bestanden zijn openbare Markdown-momentopnamen met bronherkomst. Items zonder deelbare bron blijven op aanvraag beschikbaar.

Vragenlijst

CAIQ v4 zelfbeoordeling

CSA Cloud Controls Matrix v4 — 17 domeinen met bewijsverwijzingen.

Downloaden (Markdown)
Vragenlijst

AI-CAIQ / AICM zelfbeoordeling

CSA AI Controls Matrix v1.0 — 18 domeinen inclusief Model Security.

Downloaden (Markdown)
Vragenlijst

Antwoordbank voor beveiligingsvragenlijsten

33 vooraf geverifieerde antwoorden afgestemd op SIG 2026, CSA AI-CAIQ en gangbare kopersvragenlijsten.

Downloaden (Markdown)
Architectuur

Referentiearchitectuur

Kopersgerichte architectuur: drie vertrouwenszones, deployment-topologieën, HA/DR, dimensionering.

Downloaden (Markdown)
Evaluatie

Evaluatiegids

Waardebewijs in 10 werkdagen — pass/fail-criteria tegen de echte binary.

Downloaden (Markdown)
Commercieel

Feature-matrix

Volledige vergelijking Community (AGPL) vs Enterprise — alle 26 add-ons.

Downloaden (Markdown)
Beveiliging

Hardening-gids

Bedreigingsmodel-verificatie met file:line-bewijs — pentest-klaar.

Op aanvraag beschikbaar
Toegankelijkheid

VPAT

Voluntary Product Accessibility Template voor de admin-console.

Downloaden (Markdown)

Gegevensverwerking

Subverwerkers

Olivares AI is zelf gehoste software. Het product draait volledig in uw infrastructuur — gegevens verlaten nooit uw perimeter. Er zijn geen subverwerkers van klantgegevens. LLM-aanbieders zijn uw leveranciers, niet de onze; het product inventariseert ze voor uw risicobeheer van derden.

Als een beheerd cloudaanbod wordt geïntroduceerd, worden subverwerkers hier vermeld voordat enige gegevensverwerking begint.

Diensten van de leverancier

Onze website, licenties en communicatie draaien op:

Cloudflare

Actief

Websitehosting, DNS en botbescherming.

Resend

Vanaf de lancering

Transactionele e-mail en nieuwsbriefbezorging.

Polar

Vanaf commerciële beschikbaarheid

Merchant of record voor commerciële licenties.

GitHub

Actief

Broncodehosting en community.

We gebruiken geen client-side analyticsprovider en voeren geen analytics in de browser uit.

Zelf verifiëren

Neem ons niet op ons woord

Vanaf de eerste publieke release is elke artefactbewering op deze pagina verifieerbaar met openbare tools — het meegeleverde script doorloopt handtekeningen, attestaties en SBOM-integriteit. Download eerst de artefacten; pipe nooit een installer in een shell.

# Wordt geleverd met de eerste publieke release — download de
# release-artefacten en draai de meegeleverde verifier vanuit die directory:
scripts/verify-release.sh                              # sleutelloos (Sigstore)
scripts/verify-release.sh --key cosign.pub --offline   # air-gapped, geen netwerk

Het script controleert cosign-handtekeningen, SLSA-herkomst en de SBOM- en OpenVEX-attestaties. De volledige handmatige commandoketen is gedocumenteerd in de verify-a-release-gids in de docs.

Enterprise-evaluatie

Implementeer de demo-omgeving in vijf minuten en voer vervolgens het volledige waardebewijs uit in 10 werkdagen. De evaluatiegids bevat pass/fail-criteria tegen de echte binary — geen slides, geen sandbox, geen demo-omgeving die verschilt van productie.

Vertrouwensvragen

Heeft u SOC 2 of ISO 27001?

Nog niet. SOC 2 Type II is gepland voor de beheerde cloud. Wij zijn eerlijk over onze positie: de toeleveringsketen-pipeline (SLSA L3, SBOM, cosign, OpenVEX) is gebouwd, en het bewijs ervan wordt gepubliceerd met de eerste publieke release.

Is het product onderworpen aan een penetratietest?

Nog niet. Een onafhankelijke penetratietest is gepland en wordt na voltooiing gepubliceerd.

Hoe verifieer ik dat een release authentiek is?

Zodra de eerste publieke release is verschenen: draai het meegeleverde verificatiescript (scripts/verify-release.sh) of verifieer handmatig met cosign — elke release heeft SLSA-herkomstattestatie en cosign-handtekeningen, geen vertrouwen in ons vereist. Tot die tijd is er geen publiek artefact om te verifiëren, en dat zegt deze pagina ook, in plaats van anders te doen alsof.

Waar worden mijn gegevens opgeslagen?

Olivares AI is zelf gehost — uw gegevens blijven in uw eigen infrastructuur. De leverancier ziet, slaat nooit op en verwerkt uw gegevens niet. De beheerde cloud (indien beschikbaar) zal toezeggingen voor dataresidentie bieden.

Is er een DPA beschikbaar?

De DPA wordt juridisch beoordeeld. Deze is vóór iedere samenwerking waarbij persoonsgegevens worden verwerkt op aanvraag beschikbaar via enterprise@olivares.ai.

Welke compliance-frameworks ondersteunt het product?

Het product brengt 25 frameworkcatalogi in kaart, waaronder EU AI Act, NIST AI RMF, ISO 42001, SOC 2, ISO 27001, GDPR, NIS 2, DORA, OWASP Agentic, CSA AICM en Amerikaanse staatsspecifieke AI-wetten. Elk framework bestaat uit data met bewijs per controle — geen certificeringsclaim.

Hoe evalueer ik het product?

Compileer vanuit de broncode, start de demo-omgeving in vijf minuten en volg de 10-daagse evaluatiegids. Elk criterium is pass/fail tegen de echte binary. Neem contact op met enterprise@olivares.ai voor een enterprise-evaluatielicentie die de 26 add-ons ontgrendelt tijdens de POV.

Wat is het verschil tussen Community en Enterprise?

De AGPL-build is het volledige platform — niets is verwijderd. Enterprise voegt 26 risicobeperking- en schaalmogelijkheden toe (multi-IdP, content-firewall, WORM-retentie, DORA-register en meer) plus een juridische uitzondering op de AGPL-copyleft en SLA-ondersteunde support. De volledige feature-matrix staat in het vertrouwenspakket.

Beveiliging begint met transparantie

Elke publieke release wordt ondertekend, geattesteerd en gedocumenteerd geleverd — verifieer de integriteit zelf. Het bewijs is openbaar vanaf de eerste release.