adocean
Security

Veilig met je tokens.
EU-gehost. AVG-proof.

adocean is gebouwd voor advertentieteams die niet kunnen rommelen met data. Hier is wat we doen om je tokens en je klantdata te beschermen.

Security disclosureDPA aanvragen

Data & hosting

EU-only data

Alle data en tokens worden opgeslagen op Convex EU (Frankfurt) en Fly.io ams. Geen US-routing, geen US-backups, geen Patriot Act-blootstelling.

AES-256-GCM at rest

OAuth-tokens worden versleuteld voordat ze de database raken. De webapp ziet ze nooit terug — alleen onze MCP-gateway kan ontsleutelen.

Bearer-token rotatie

Roteer of revoke je MCP-tokens op elk moment. Tokens zijn scoped per workspace en propagatie van revoke is binnen 1 seconde.

Geen kaartgegevens

Mollie verwerkt alle betalingen. Wij zien geen IBAN, geen pasnummers, geen CVC. Alleen een betaal-status. Mollie is PCI DSS Level 1.

Auditability

Per-call auditlog

Elke MCP-call wordt gelogd: timestamp, tool-naam, workspace-id, response-status. Beschikbaar in /usage in je dashboard.

Real-time alerts

Op 80% en 95% van je plan-limit krijg je een mail. Bij security-events (token-revoke, OAuth-removal) ontvang je direct een notificatie.

Retention 90 dagen

Auditlogs worden 90 dagen bewaard, daarna geanonimiseerd. Op Enterprise-plan is langer mogelijk via custom DPA.

Export naar SIEM

Op Team en Enterprise: stream je calls naar Splunk, Datadog of S3. Voor compliance-audits en incident-response.

Compliance

AVG-proof by design

Subprocessor-lijst, betrokken in DPIA-ondersteuning, en Standard Contractual Clauses voor verwerking. Beschikbaar op aanvraag.

DPA op aanvraag

Verwerkersovereenkomst per e-mail binnen 1 werkdag. Standaard tekst gebaseerd op SCC's, custom mogelijk voor Enterprise.

Recht op vergetelheid

Verwijder je account in /billing en alle data is binnen 1 minuut weg uit live-systemen, binnen 30 dagen volledig uit backups.

Subprocessors

Convex (DB · EU), Fly.io (compute · EU), Cloudflare Workers (edge · multi-region), Mollie (billing · EU), Resend (mail · EU).

Incident response

Verantwoordelijke disclosure

Vond je een kwetsbaarheid? Mail security@adocean.nl. Bevestiging binnen 24 uur, advisory na fix. Hall of fame voor responsible reporters.

Incident-response binnen 1u

Productie-incidenten worden binnen 1 uur na detectie gecommuniceerd via /status én per mail naar geregistreerde users.

Token-leak protocol

Vermoeden van token-lek? Eén klik in /tokens revoket alle tokens van een workspace. Wij volgen op met root-cause analyse.

Geen backdoors

Geen master-keys, geen 'support kan inloggen als jou'. Onze engineers hebben alleen toegang tot logs (geanonimiseerd) en metrics.

Veelgestelde
vragen

Worden mijn Meta-tokens ergens in plaintext bewaard?
Nee. Tokens worden direct na de OAuth-callback versleuteld met AES-256-GCM en pas op de gateway tijdens een tool-call ontsleuteld in geheugen. Plaintext bestaat alleen tijdens een actieve API-call.
Kan ik een Verwerkersovereenkomst (DPA) krijgen?
Ja, op alle betaalde plans. Mail dpa@adocean.nl met je bedrijfsnaam en je krijgt binnen 1 werkdag een ondertekenbaar document toegestuurd.
Is adocean ISO 27001 of SOC 2 gecertificeerd?
Nog niet. We zijn bezig met SOC 2 Type I, target afgerond Q3 2026. Tot die tijd verwijzen we naar de certificeringen van onze infrastructuur-partners (Cloudflare, Convex, Fly.io).
Wat gebeurt er met mijn data als ik mijn account verwijder?
In /billing klik je 'Account verwijderen'. Data wordt binnen 1 minuut uit alle live-systemen gewist. Backups worden binnen 30 dagen gerouleerd. Billing-historie blijft 7 jaar bewaard (verplicht voor de Belastingdienst).
Hoe rapporteer ik een security-issue verantwoord?
Mail security@adocean.nl met details. We bevestigen binnen 24 uur, geven je een tijdlijn voor de fix, en publiceren een advisory na deployment. Je naam komt in onze hall of fame als je dat wil.

Heb je een security-vraag?

Onze CISO-functie is gedeeld met de founder. Mail security@ voor disclosures, dpa@ voor verwerkersafspraken — beide gegarandeerd binnen 1 werkdag antwoord.

Contact security