De architectuur van AFAS Online is gebaseerd op standaard componenten. Daardoor kunnen nieuwe ontwikkelingen snel worden gevolgd en uitgerold. AFAS streeft ernaar altijd de meest actuele versies van de gebruikte applicatie te ondersteunen en verouderde versie uit te faseren.
Alle authenticatie verloopt via een log-in portal, waarop 2-factor authenticatie van toepassing is. Deze 2-factor authenticatie is verplicht en maakt initieel gebruik van SMS, maar wordt bij voorkeur ingesteld op gebruik van een Push-bericht via AFAS Pocket.
Indien er gebruik gemaakt wordt van de mogelijkheid om via SSO (Single Sign On) de authenticatie te laten afhandelen, biedt AFAS online de mogelijkheid van authenticatie via Federation Services middels een Secure Token Service (STS). Bij gebruik van SSO, kunnen aanvullende maatregelen op authenticatie (zoals 2-factor, IP-restrictie e.d.) kunnen met behulp van de eigen STS (zoals ADFS) worden gerealiseerd en afgedwongen. Hiermee kan worden aangesloten op het bestaande beveiligingsbeleid van je organisatie.
AFAS online maakt gebruik van twee datacenters, welke eigendom zijn van Leaseweb, één van de grootste leveranciers van datacenterdiensten. De systemen en opslagruimte die gebruikt worden zijn gescheiden van andere klanten van Leaseweb. Leaseweb datacenters hebben een hoge betrouwbaarheid en zijn gecertificeerd op het gebied van kwaliteit en informatiebeveiliging. Voor alle gebruikte datacenters is minimaal een ISO9001 en ISO27001 certificering van toepassing. AFAS toetst jaarlijks of wordt voldaan aan de eisen van leveranciers in het productieproces. Beide datacenters voldoen aan strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit.
AFAS Profit gebruikt voor alle ingevoerde en gegenereerde data een 'Omgeving'. Een 'Omgeving' bestaat uit een SQL database en een 'map' met filedata (denk hierbij aan bijlages van dossieritems, MS Excel analyses, Afbeeldingen van Out- en InSite e.d.).
Elke klant heeft één of meerdere 'Omgevingen' en de mogelijkheid om deze te kopiëren en/of te verwijderen. Vanuit de inlog heeft een gebruiker alleen rechten op de Omgevingen waar deze in toegevoegd is. Klantdata is dus 'fysiek gescheiden' door middel van verschillende databases en mappenstructuur.
Testomgevingen worden op het 'Testsysteem' geplaatst. Het testsysteem en het productie systeem werken met dezelfde versie van AFAS Profit. Dit wordt gebuikt om vernieuwde inrichting te testen alvorens die in gebruik te nemen.
Tevens is het mogelijk om een testomgeving op het 'Acceptsysteem' (in de nieuwste versie van Profit) te laten terugzetten. Dit is van toepassing indien de bestaande inrichting van de applicatie getest moet worden in de nieuwste versie alvorens deze in productie genomen kan worden.