SOC 2 Type 1
In uitvoeringAudit-window Q3 2026. Gap-analyse afgerond februari 2026, control matrix wordt onderhouden tegen de AICPA TSC-criteria. Type 2 volgt Q1 2027.
We bouwen GRIP OS voor Europese operators die met omzetkritieke data werken. Deze pagina bundelt alles wat een potentiële design partner, investeerder of security-reviewer nodig heeft voordat er getekend wordt: SOC 2-status, EU-dataresidentie, AVG-conformiteit, audit-log toegang, en de Sophie citation audit trail. Voor alles wat hier niet staat: security@caugia.com.
Compliance-positie
EU-dataresidentie
LiveWorkspace-data leeft in Supabase eu-central-1 (Frankfurt). Geen klantdata steekt de Atlantische Oceaan over voor opslag. Vercel edge serveert de UI vanuit EU-regios.
AVG
KlaarVerwerkersovereenkomst beschikbaar op verzoek. Subverwerker-lijst publiek. Inzage, rectificatie, verwijdering en overdraagbaarheid binnen 30 dagen.
AVG-conformiteit
Caugia SASU is verwerkingsverantwoordelijke voor bezoekersdata en verwerker voor workspace-klantdata. We verwerken het minimum aan categorieën en bewaren alleen zo lang als nodig.
- ✓Rechtsgronden gedocumenteerd per verwerkingsactiviteit (overeenkomst, gerechtvaardigd belang, toestemming voor marketing).
- ✓Inzageverzoeken binnen 30 dagen beantwoord. Verwijdering binnen 7 dagen voor niet-gearchiveerde data.
- ✓Subverwerker-lijst gepubliceerd op /legal/data-residency. 14 dagen kennisgeving bij toevoegingen of materiële wijziging.
- ✓EU-vertegenwoordiger niet van toepassing: gevestigd in Frankrijk, één rechtspersoon.
- ✓Grensoverschrijdende doorgiftes geblokkeerd op de storage-laag. Alleen Frankfurt.
Audit-log toegang
Compliance-teams krijgen scoped read-only toegang tot het platform-auditlog: wie heeft ingelogd, welke data is gelezen of geschreven, welke Sophie-citaties zijn gegenereerd, en vanaf welk IP. CSV-export, plus een tamper-evident hash chain aan de back-end.
Vraag audit-log toegang aan→Sophie audit trail
Sophie werkt onder een citation-discipline-contract: elke claim die ze maakt moet resolveren naar een echte entity-slug in de live knowledge graph. Elk antwoord is volledig traceerbaar.
- →Citatie-formaat [framework:slug] [paper:slug] [blog:slug]. Elke slug verwijst naar een echte entity in de live knowledge graph (sophie_frameworks, sophie_papers, sophie_blogs). Aantal dangling refs wordt wekelijks geaudit via /api/cron/sophie-hallucination.
- →Confidence-score (0,0-1,0) berekend en per turn vastgelegd op basis van archetype-resolution + framework-coverage + knowledge-coverage signalen. Lage-confidence turns (< 0,5) worden 'low' geflagd in de response en opgeslagen in sophie_turn_logs.confidence_level.
- →Elke geciteerde entity draagt bron-URL, auteur, jaar en authority_score in de bijbehorende library-rij. Beschikbaar via /api/sophie/resolve.
- →Hallucinatie-rapport: elke maandag om 04:00 UTC audit de /api/cron/sophie-hallucination cron de afgelopen 7 dagen citaties, verifieert elke entity_slug en mailt het team de hallucinatie-rate + per-slug breakdown.
- →Recht op uitleg: elk Sophie-antwoord draagt het citatieblok in de response, en de framework_applications + knowledge_hits arrays laten elke caller een one-click "toon je bronnen" affordance tonen.
Documenten en live evidence
Directe links naar het onderliggende materiaal. Alles hieronder is publiek.
Beveiligingspositie
Threat model, auth guards, data-isolatie, secret handling, backups en incident response.
Open SECURITY.md→
Architectuur
Runtime-topologie, dataflow, tenancy-model en de AWS + EU-infrastructuur footprint.
Open ARCHITECTURE.md→
SOC 2 control matrix
Self-assessment van 30 controls, huidige status, doel-auditdatums en remediation-eigenaren.
Open checklist→
Platform status
Real-time health voor GRIP OS, Sophie en de vier publieke demo-workspaces.
Open status-pagina→
Contact
Security disclosure: security@caugia.com. Privacy-verzoeken: privacy@caugia.com. Commerciële en design-partner-aanvragen: contact@caugia.com.
Laatst bijgewerkt: 2026-04-24.