# Security & data — Co·Legal

> **Canonical HTML:** https://co-legal.be/security.html
> **Vulnerability reports:** ops@co-legal.be (PGP optioneel)
> **security.txt:** https://co-legal.be/.well-known/security.txt
> **Last updated:** 2026-05-19

## Hosting

- **Cloud infrastructure** — Europese cloud-provider, achter een load balancer + WAF.
- **Managed Postgres database** in een private VPC, geen publiek IP.
- **Object-storage** voor documenten; CMEK indien klant het vraagt.
- **Managed secret-store** voor alle credentials; geen secrets in code of YAML.

## Encryptie

- **TLS 1.3** voor alle externe traffic (HSTS preload).
- **Encryption-at-rest** via managed keys (CMEK upgrade-baar).
- **Beveiligde tunnel** voor de premium juridische bronnen.

## Authenticatie & RBAC

- **Identity-Aware Proxy** op het partner-platform — geen passwords op de wire, OAuth2.
- **Fijngranulaire RBAC** — role-profiles + werkgroepen + per-dossier access op vier assen (Dossier / TimeSheet / Task / Document) op 5 niveaus.
- **Capability-checks bij tool-dispatch** zijn de durabele security-gate; UI-visibility is een tweede laag.

## Public A2A agent (agent.co-legal.be)

- Geen dossier-data. Pure publieke Q&A op publieke bronnen.
- Rate-limit: anoniem 60/u per IP, API-key 1000/u.
- Geen schrijfacties, geen side-effects.
- Geen Jura/monKEY/Stradalex content (license-bound).

## GDPR / dataverwerking

- **Verwerkingsverantwoordelijke:** Co-Legal BV, België.
- **Sub-verwerkers:** Europese cloud-provider, model-provider met EU-pad, Wolters Kluwer / Larcier-Intersentia (alleen voor partner-platform).
- **Bewaartermijnen:** dossier-data tot 10 jaar na afsluiting (wettelijke termijn advocaten/notarissen); audit-log 7 jaar.
- **DPA** beschikbaar op aanvraag (ops@co-legal.be).

## Audit-log

Elke admin-actie, impersonatie en write wordt geaudit in een append-only log met actor + timestamp + correlation-id.

## Incident-response tijdslijn

| Trigger | Reactietijd |
|---|---|
| Vermoedelijk lek / breach | < 4u acknowledge, GDPR-notificatie < 72u |
| Vulnerability report (security.txt) | < 24u acknowledge |
| Service-degradation / outage | < 1u (kantooruren), zie status-page |

## Status & uptime

- Liveness probe op `https://agent.co-legal.be/health` voor registries.
- Status-page: nog niet publiek; geplant voor algemene beschikbaarheid.

## security.txt

```
Contact: mailto:ops@co-legal.be
Expires: 2027-05-19T00:00:00.000Z
Preferred-Languages: nl, en
Canonical: https://co-legal.be/.well-known/security.txt
Policy: https://co-legal.be/security.html
```