Documentatie

Gegevensbescherming

Detectiemodi, de bibliotheek met 60 detectoren, naamdetectie, de modelnotitie en retentie.

Gegevensbescherming draait op elk verzoek vóór verzending. De standaardmodus is tokenize: elke gedetecteerde waarde wordt vervangen door een stabiele getypeerde token zoals «EMAIL_1». Alleen tokens bereiken de provider, en op de terugweg naar jou wordt het antwoord hersteld naar de echte waarden, gestreamd of niet. De tokenmap leeft in het geheugen zolang het verzoek duurt en wordt nooit opgeslagen.

Andere modi: mask herschrijft gedetecteerde waarden onomkeerbaar, block weigert het verzoek met 422, en allow_log laat het door en markeert tegelijk de auditregel.

60 ingebouwde detectoren zijn er meteen: 28 voor persoonsgegevens, waaronder een met checksum gevalideerd pakket nationale EU-ID's, en 32 voor secrets en credentials. Elke detector is per organisatie in/uit te schakelen, en eigen termen (gewoon of regex) dekken alles wat specifiek is voor jouw bedrijf:

Persoonsgegevens · 28EmailPhone numberIBANCredit cardIPv4 addressIPv6 addressMAC addressUS Social Security numberDutch BSNPortuguese NIFGerman Steuer-IDPolish PESELBelgian rijksregisternummerFrench NIR (INSEE)Spanish DNI/NIEItalian codice fiscaleSwedish personnummerDanish CPR numberFinnish henkilötunnusUK National Insurance numberEU VAT numberBIC/SWIFT codeDutch license plateDutch addressPassport numberDate of birthGPS coordinatesVehicle identification number
Secrets & credentials · 32API key (generic)AWS access keyAWS secret access keyPrivate key (PEM)GitHub tokenGitLab tokenSlack tokenSlack webhook URLDiscord webhook URLGoogle API keyGoogle OAuth refresh tokenStripe keyMollie API keyAnthropic API keyOpenAI API keySluis keyHugging Face tokennpm tokenSendGrid keyTwilio keyShopify tokenVault tokenDatabricks tokenDocker Hub tokenTelegram bot tokenJSON Web TokenCredentials in URL.env file dumpAzure storage key / SASPassword assignmentConfidentiality markerHigh-entropy token (generic)

Detectie van persoonsnamen

Namen zijn de lastigste PII-klasse: geen enkel patroon matcht ze. Sluis voegt vier optionele lagen toe: contextheuristieken (aanheffen, begroetingen, ondertekeningen), e-mailcorrelatie (leidt namen af uit adressen in dezelfde tekst), een naamdirectory per tenant, en NER, Sluis' eigen meertalige herkenningsmodel dat met de deployment meekomt en erin draait, zodat tekst nooit je perimeter verlaat om gescand te worden.

Modelnotitie

Als tokenisatie een verzoek heeft herschreven, injecteert Sluis vooraan een systeembericht dat het model vertelt dat de «…»-tokens ondoorzichtige placeholders zijn die het intact moet laten; dat is wat het herstel betrouwbaar houdt. Standaard aan; pas het aan of schakel het uit per organisatie.

Retentie & auditgetrouwheid

Contentretentie (request- en response-bodies voor het auditlog) staat standaard aan en is versleuteld in rust; auditgetrouwheid bepaalt of bewaarde content de tokens of de originele waarden opslaat. Zet retentie uit voor een grootboek met alleen metadata; dat schakelt ook de response-caches uit.