Beveiligingsmodel

SaaS control plane: Castovia is een beheerde SaaS. Er wordt geen source code geleverd. Geen self-hostingoptie. De infrastructuur wordt beheerd door Castovia.

Tenant-isolatie: Elke provider opereert in een logisch geïsoleerde tenant. Providers hebben geen toegang tot data, abonnees, streams of configuratie van andere providers.

RBAC (Role-Based Access Control): Vier rollen: super_admin, admin (provider), supplier, viewer. Elke rol heeft strikt afgebakende rechten.

Planhandhaving: 7-laags planmodel met soft + hard enforcement op API-niveau. Hard enforcement actief op kritieke commerciële routes.

Wachtwoordbeveiliging: Wachtwoorden gehasht met bcrypt. Geen opslag van plaintext voor admin- en supplier-accounts.

Node-authenticatie: Provider-nodes authenticeren met afgebakende servertokens per node die onafhankelijk van het admin-dashboard kunnen worden geroteerd.

Rate limiting: Login-, signup-, contactformulieren en API-eindpunten zijn per IP rate-limited om brute-force-aanvallen te voorkomen.

Sessiebeheer: JWT-gebaseerde sessies met een vervaltermijn van 24 uur.

Detectie van verdachte activiteit: Geautomatiseerde detectie en logging van verdachte inlogpatronen.

Geen blootstelling van sourceUrl: Interne stream-source URL's worden nooit blootgesteld aan eindgebruiker-apparaten of client-side code.

Geen blootstelling van storagePath: Interne opslagpaden blijven alleen server-side.

Ondertekende playback-URL's: Playback-URL's zijn tijdsgebonden en cryptografisch ondertekend. Verlopen URL's worden geweigerd.

Ondertekende playback-metadata: Eindgebruiker-apparaten ontvangen alleen veilige metadata. Geen interne infrastructuurdetails.

Auditlogs: Administratieve acties worden gelogd voor verantwoordingsdoeleinden.

CDN API keys: Versleuteld opgeslagen in de database. Nooit teruggegeven in API-responses. Gemaskeerd in de UI.

DRM-secrets: Versleuteld opgeslagen. Nooit blootgesteld aan clientapparaten. Geen ruwe license secrets in applicatielogs.

Geen blootstelling van origin secret: CDN origin secrets worden nooit blootgesteld aan eindgebruiker-apparaten.

Stripe secret key: Alleen server-side. Nooit blootgesteld in client-side code of API-responses.

Webhook-handtekeningverificatie: Alle Stripe-webhookgebeurtenissen worden vóór verwerking geverifieerd met een HMAC-handtekening.

Idempotente verwerking: Webhook-gebeurtenissen worden gededupliceerd om dubbel verwerken te voorkomen.

Publishable key: Alleen de publishable key (read-only) wordt gebruikt in client-side checkout-flows.

Geen contentlevering: Castovia levert, host of distribueert geen TV/video-content. Providers zijn volledig verantwoordelijk voor legale contentrechten.

Meldingen van misbruik: Publiek mechanisme voor het melden van misbruik. Meldingen worden beoordeeld en opgevolgd.

Accountschorsing: Castovia behoudt zich het recht voor om accounts te schorsen die illegaal content distribueren.

Behoud van logs: Relevante logs kunnen, waar wettelijk vereist, worden bewaard voor compliance.

Acceptable use policy: Alle providers moeten akkoord gaan. Overtredingen kunnen leiden tot onmiddellijke schorsing.