Beveiligingsuitbreiding & Vertrouwensmaatregelen
Core blijft sector-agnostisch. Deze pagina beschrijft optionele beveiligings- en vertrouwensfuncties voor organisaties met zwaardere eisen.
Context: aantoonbaarheid & data
Waar organisaties meer aandacht voor aantoonbare organisatie van inzet vragen, wordt een dossier dat feitelijk vastligt vaak relevanter. PSM ondersteunt die vastlegging als dossierlaag — zonder juridisch oordeel of automatische compliance-uitkomst.
Het platform is ontworpen rond een minimaal datamodel (minimum data model): voor kernfunctionaliteit zijn geen bijzondere persoonsgegevens nodig.
Audittrail & timestamps
Bevestigingen worden getimestamped en zijn terugvindbaar. Dossier is exporteerbaar als bewijslaag.
Exporteerbaar dossier
PDF is standaard voor operationele overdracht. JSON-momentopname is bedoeld voor organisatierollen. CSV en bundel-contract zijn bedoeld voor interne controle en overdracht via Trust Pack.
Organisatiescheiding & toegang
Multi-organisatie opzet met scheiding per organisatie en toegangscontrole (conform jullie inrichting).
Integratie-security (pilot)
In integratie-scope werken we met partner-/organisatiesleutels en gecontroleerde webhook/API communicatie - afgestemd per pilot.
Dit valt onder Integrations Pack, niet onder Security Add-on.
Trust Controls
Vandaag inzetbaar voor enterprise en hogere securityeisen
PSM houdt het datamodel minimaal, met concrete toegangscontroles voor organisaties die extra zekerheid willen.
- SSO (OIDC MVP) per organisatie
- 2FA policy-instelling per organisatie
- IP allowlisting (toegang via kantoor/VPN)
- Sessiebeheer (maximale sessieduur)
Security Add-on Uitbreiding
Advanced audit logs + audit export
- Filter op entiteit, actie, actor en periode (beheerexport)
- JSON of CSV export via beheerinterface (voor interne controles en forensics)
- SIEM schema endpoint op projectniveau (vereist ook Trust Pack) — JSON-mapping voor eigen SIEM-koppeling
- Externe links voor alleen inzage of bevestiging, zonder account, voor gecontroleerde ketensamenwerking
- Bedoeld voor forensics, interne controles en klantreviews
Security Control Matrix
Security Control Register
Per control: scope, bewijsroute en activatievoorwaarden.
Document Class
PSM Security Control Register
| Control ID | Domein | Maatregel | Scope / Pack | Bewijsroute | Activeringsstatus |
|---|---|---|---|---|---|
| PSM-AT-01 | Audit | Audittrail & timestamps | Core | Dossier-events + PDF export controleren op eventregels en timestamps. | Beschikbaar in Core |
| PSM-ID-02 | Identity | SSO (OIDC MVP) | Security Add-on | Login-flow met SSO policy actief, zonder lokaal wachtwoordpad. | Vereist Security Add-on |
| PSM-ID-03 | Identity | 2FA policy per organisatie | Security Add-on | Policy actief: magic-link login wordt geblokkeerd, gebruiker wordt naar SSO gestuurd (MFA op IdP-niveau). | Vereist Security Add-on |
| PSM-NA-04 | Network Access | IP allowlisting | Security Add-on | Allowlist-configuratie actief: magic-link aanvraag vanaf niet-toegestaan IP wordt geblokkeerd. Geldt bij authenticatie, niet voor bestaande sessies. | Vereist Security Add-on |
| PSM-SE-05 | Session | Sessiebeheer | Security Add-on | Ingestelde session max age wordt toegepast bij aanmaak van PSM-sessie (OIDC/SAML flows). Supabase magic-link sessie respecteert de kortste van policy en Supabase-standaard. | Vereist Security Add-on |
| PSM-AE-06 | Audit Export | Advanced audit export | Security Add-on | Beheerexport met actor/periode-filter + JSON/CSV outputbestand (via beheerinterface). | Vereist Security Add-on |
| PSM-SI-07 | SIEM | SIEM schema endpoint | Trust Pack + Advanced audit export | Endpoint-respons op projectniveau met beide capabilities actief. | Vereist Trust Pack + uitgebreide auditexport |
| PSM-IN-08 | Integrations | Integratie-auth (keys/webhooks) | Integrations Pack | Signed webhook/API-key flow op actief integrations pack. | Vereist Integrations Pack |
Security/identity controls vallen onder Security Add-on. Integratie-koppelingen vallen onder Integrations Pack. Dit voorkomt cross-pack verwarring in scope en contractering.
Security & Trust
Audittrail & export
Wijzigingen en bevestigingen worden vastgelegd met timestamps zodat je per inzet kunt terugvinden wat is afgesproken. Export is bedoeld als dossierlaag (bewijs van vastlegging), niet als juridische uitspraak.
Toegang & scheiding
Toegang is rol-gebaseerd. In een multi-organisatiecontext is data gescheiden per organisatie en afgeschermd via applicatie- en databasecontroles (waar geconfigureerd), zodat gebruikers alleen hun eigen organisatiegegevens kunnen zien.