Vertrouwen rond inzetdossiers
PSM legt operationeel vast wat per inzet is afgesproken, gewijzigd en uitgevoerd. Organisaties met zwaardere eisen kunnen extra toegangs-, export- en auditfuncties afstemmen.
Voor alle partijen blijft dezelfde inzetcontext bruikbaar, met toegangsgrenzen waar nodig.
Context: aantoonbaarheid & data
Waar organisaties meer aandacht voor aantoonbare organisatie van inzet vragen, wordt een dossier dat feitelijk vastligt vaak relevanter. PSM ondersteunt die vastlegging als dossierlaag — zonder juridisch oordeel of automatische compliance-uitkomst.
Het platform is ontworpen rond een minimaal datamodel (minimum data model): voor kernfunctionaliteit zijn geen bijzondere persoonsgegevens nodig.
Audittrail & timestamps
Bevestigingen krijgen een tijdstempel en zijn terugvindbaar. Het dossier is exporteerbaar als dossierlaag.
Exporteerbaar dossier
PDF is standaard voor operationele overdracht. JSON-momentopname is bedoeld voor organisatierollen. CSV en bundel zijn bedoeld voor interne controle en overdracht via Trust Pack.
Trust Pack JSON-pakket en bundel bevatten een dossiervingerafdruk (hash) en een verify-chain-endpoint voor ingelogde gebruikers met projecttoegang onder Trust Pack. PDF is bedoeld als overdrachtsexport, niet als publieke verificatielink.
Organisatiescheiding & toegang
Opzet voor meerdere organisaties, met scheiding per organisatie en toegangscontrole (conform jullie inrichting).
Integratiebeveiliging (pilot)
In integratiescope werken we met partner-/organisatiesleutels en gecontroleerde webhook-/API-communicatie — afgestemd per pilot.
Dit valt onder Integrations Pack, niet onder Security Add-on.
Trust Controls
Beschikbaar via Security Add-on waar geactiveerd
PSM houdt het datamodel minimaal, met concrete toegangscontroles voor organisaties die extra zekerheid willen.
- SSO op aanvraag voor vooraf ingerichte accounts: OIDC/SAML per organisatie waar ingericht (bijv. Okta of Microsoft Entra); geen automatische gebruikersaanmaak vanuit de IdP-response.
- 2FA policy-instelling per organisatie
- IP allowlisting (toegang via kantoor/VPN)
- Sessiebeheer (maximale sessieduur)
Audit en gecontroleerde toegang
Beheerexport en advanced audit export-scope op projectniveau
- Filter op entiteit, actie, actor en periode (interne beheerexport)
- JSON- of CSV-export via beheerinterface voor interne controles en onderzoek
- Advanced audit export met SIEM-ready mapping op projectniveau (Trust Pack + advanced audit export + organisatierollen met projecttoegang — dezelfde drempel als export-pack): JSON-mapping voor pull-georiënteerde consumptie van export-pack-data; PSM pusht geen live security monitoring naar jullie omgeving.
- Externe links voor alleen inzage of audit-only ontvangstbevestiging, uitgegeven door bevoegde organisatierollen met projecttoegang
- Bedoeld voor interne controles, onderzoek en klantreviews
Security Control Matrix
Security Control Register
Per control: scope, bewijsroute en activatievoorwaarden.
Document Class
PSM Security Control Register
| Control ID | Domein | Maatregel | Scope / Pack | Bewijsroute | Activeringsstatus |
|---|---|---|---|---|---|
| PSM-AT-01 | Audit | Audittrail & timestamps | Core | Dossier-events en PDF-export tonen eventregels en tijdstempels. | Beschikbaar in Core |
| PSM-ID-02 | Identity | SSO op aanvraag (OIDC/SAML waar ingericht) | Security Add-on | Inlogroute met actief SSO-beleid, zonder lokaal wachtwoordpad. | Vereist Security Add-on |
| PSM-ID-03 | Identity | 2FA policy per organisatie | Security Add-on | Policy actief: magic-link login wordt geblokkeerd, gebruiker wordt naar SSO gestuurd (MFA op IdP-niveau). | Vereist Security Add-on |
| PSM-NA-04 | Network Access | IP allowlisting | Security Add-on | Allowlist-configuratie actief: magic-link aanvraag vanaf niet-toegestaan IP wordt geblokkeerd. Geldt bij authenticatie, niet voor bestaande sessies. | Vereist Security Add-on |
| PSM-SE-05 | Session | Sessiebeheer | Security Add-on | Ingestelde maximale sessieduur wordt toegepast bij aanmaak van de PSM-sessie via OIDC/SAML. Supabase magic-link sessie respecteert de kortste van beleid en Supabase-standaard. | Vereist Security Add-on |
| PSM-AE-06 | Audit Export | Advanced audit export | Security Add-on | Beheerexport met actor-/periodefilter en JSON-/CSV-outputbestand, waar auditexport is geactiveerd. | Waar auditexport is geactiveerd |
| PSM-SI-07 | Audit export | SIEM-ready mapping endpoint | Trust Pack + Advanced audit export | Endpoint-respons op projectniveau met Trust Pack + advanced audit export actief; alleen organisatierollen met projecttoegang (zelfde drempel als export-pack). Pull-georiënteerd schema — geen realtime SOC-feed. | Vereist Trust Pack + uitgebreide auditexport |
| PSM-IN-08 | Integrations | Integratieauthenticatie (sleutels/webhooks) | Integrations Pack | Ondertekende webhook/API-sleutel op actief Integrations Pack. | Vereist Integrations Pack |
Beveiligings- en identiteitsfuncties vallen onder Security Add-on. Integratiekoppelingen vallen onder Integrations Pack. Zo blijven pakketgrenzen en contractering duidelijk.
Security & Trust
Audittrail & export
Wijzigingen en bevestigingen worden vastgelegd met tijdstempels, zodat je per inzet kunt terugvinden wat is afgesproken. Export is bedoeld als dossierlaag (onderbouwing van vastlegging), niet als juridische uitspraak.
Toegang & scheiding
Toegang is rolgebaseerd. In een multi-organisatiecontext is de inrichting bedoeld om toegang tot organisatiegegevens te beperken binnen de geconfigureerde tenant- en rolgrenzen.