Beveiliging & Rechten

NoveuFlow is gebouwd met security by design. De plugin is volledig security-geaudit en gebruikt meerdere beschermingslagen. Waar vind je het? NoveuFlow > Instellingen > Beveiliging Authenticatie Admin-paneel — WordPress nonces en cookie-authenticatie. Granulaire rechten per functie. Medewerkerportaal — JSON Web Tokens (JWT). Medewerkers hoeven geen WordPress-account te hebben. Klantenportaal — Magic links (eenmalig, 15 minuten geldig) of OTP (6-cijferige code via e-mail). Vlootportaal — Token-gebaseerde toegang. Rollen en rechten NoveuFlow gebruikt een eigen rechtensysteem naast WordPress-rollen: - Admin — Volledige toegang tot alle functies - Manager — Alles behalve systeeminstellingen en licentie - Receptionist — Afspraken en klanten beheren, geen financien - Medewerker — Alleen eigen agenda en afspraken (via medewerkerportaal) - Klant — Eigen portaal (afspraken, voertuigen, facturen) Rate limiting Alle API-endpoints zijn beschermd tegen brute force en misbruik: - Loginpogingen: max. 5 per 15 minuten per IP - API-calls: max. 60 per minuut per sleutel - Magic link aanvragen: max. 3 per 15 minuten per e-mailadres SQL-injectie en XSS Alle invoer wordt gesanitized en gevalideerd. Prepared statements worden gebruikt voor alle database-queries. Output wordt geescaped. Databescherming Alle data wordt opgeslagen op jouw eigen WordPress-server. NoveuFlow stuurt geen klantdata naar externe servers behalve: - Licentiecontrole (alleen licentiesleutel, geen klantdata) - Betaalprovider (Mollie/Stripe — alleen betaalgegevens) - Communicatie (SMS/WhatsApp — alleen telefoonnummer en berichtinhoud) Alle externe communicatie verloopt via HTTPS. Tip: controleer regelmatig of je WordPress, PHP en alle plugins up-to-date zijn. De meeste beveiligingsproblemen ontstaan door verouderde software.