Beveiliging bij Kiavi
Hoe we je gebruikers en je data beschermen, in begrijpelijke taal.
Je gegevens blijven in de EU
Authenticatie-instances, databases en signing keys worden gehost op Scaleway in Parijs (fr-par). Statische assets worden geleverd door Bunny CDN via EU-edge-locaties. We zijn niet afhankelijk van Big Tech-cloudproviders, en de gegevens van je gebruikers verlaten de Europese Unie niet. Aanvullende EU-regio’s staan op de roadmap.
Echte isolatie per tenant, geen gedeelde gebruikerstabel
Elke klantapplicatie krijgt zijn eigen toegewijde authenticatie-endpoint, zijn eigen toegewijde PostgreSQL-database op Scaleway en zijn eigen JWT-signing-secret, opgeslagen in een Scaleway Secret per tenant. Er is geen gedeelde gebruikerstabel, geen gedeelde signing key en geen cross-tenant-querypad. Een compromittering bij de ene tenant kan een andere niet bereiken.
Standaard wachtwoordloos
Kiavi is passkey-first, met daarnaast eenmalige e-mailcodes en OAuth social login. Inloggen met wachtwoord is uitgeschakeld: we slaan wachtwoorden niet op, hashen ze niet en accepteren ze niet. Het resultaat is minder phishing-oppervlak, geen wachtwoordherstelprocessen en een inlogervaring die sneller is dan de verouderde alternatieven.
Versleuteling tijdens transport en in rust
Al het verkeer wordt via TLS geleverd, afgedwongen aan de edge door onze CDN. Databases draaien op Scaleway met encryptie-at-rest ingeschakeld, en signing-secrets per tenant staan in Scaleway Secret Manager, nooit in plaintext in omgevingsvariabelen en nooit hard-coded in onze applicatiecode.
Gebouwd op een beproefde open source kern
Onze authenticatie-engine is Better Auth, een veelgebruikte open source bibliotheek die je kunt auditen, forken en zelf hosten als dat ooit nodig is. We voegen de operationele laag toe die de meeste teams zelf bouwen: een managed deployment per tenant, een gebruikersbeheer-UI, dashboards voor dagelijkse en maandelijkse actieve gebruikers en een gestructureerd auditlog. Open source waar het telt; managed waar het hoort.
Volledig auditlog van elke authenticatiegebeurtenis
Inlogacties, uitlogacties, passkey-registraties, OAuth-koppelingen, beheeracties en mislukte inlogpogingen worden allemaal weggeschreven naar een gestructureerd auditlog met IP- en user-agent-context. Je kunt activiteit bekijken in de beheer-UI, DAU- en MAU-trends in realtime volgen en voldoen aan de bewijsvereisten voor je eigen complianceprogramma.
Rate limiting en misbruikbescherming
Publieke authenticatie-endpoints zijn rate-limited per identifier en per IP om credential stuffing en brute-force-pogingen tegen te houden. API-sleutels die door je tenant worden uitgegeven, worden afzonderlijk rate-limited zodat een luidruchtige integratie de logins van eindgebruikers niet kan beïnvloeden.
Incidentrespons en meldplicht datalekken
Bij een beveiligingsincident dat je tenant treft, informeren we je conform artikel 33 AVG/GDPR, binnen 72 uur nadat we ervan op de hoogte zijn, met de omvang, de getroffen datacategorieën en de remediatie die we hebben uitgevoerd. Onze interne responsprocedures worden geformaliseerd tot een gepubliceerd playbook als onderdeel van onze complianceroadmap.
Compliance en certificeringen
Kiavi is GDPR-compliant by design. We sluiten met elke klant een standaard verwerkersovereenkomst en publiceren onze volledige lijst met subverwerkers. We staan aan het begin van ons formele certificeringstraject voor ISO 27001 en SOC 2 Type II. Tot die certificaten zijn afgegeven claimen we ze niet; de onderliggende maatregelen zijn echter al aanwezig.
Meld een kwetsbaarheid
Een beveiligingsprobleem gevonden? Mail naar security@kiavi.eu. Open geen openbare GitHub-issue. We reageren binnen één werkdag.