Beveiligingsuitbreiding & Vertrouwensmaatregelen
Core blijft sector-agnostisch. Deze pagina beschrijft optionele beveiligings- en vertrouwensfuncties voor organisaties met zwaardere eisen.
Context: aantoonbaarheid & data
Waar organisaties meer aandacht voor aantoonbare organisatie van inzet vragen, wordt een dossier dat feitelijk vastligt vaak relevanter. PSM ondersteunt die vastlegging als dossierlaag — zonder juridisch oordeel of automatische compliance-uitkomst.
Het platform is ontworpen rond een minimaal datamodel (minimum data model): voor kernfunctionaliteit zijn geen bijzondere persoonsgegevens nodig.
Audittrail & timestamps
Bevestigingen worden getimestamped en zijn terugvindbaar. Dossier is exporteerbaar als bewijslaag.
Exporteerbaar dossier
PDF is standaard voor operationele overdracht. JSON-momentopname is bedoeld voor organisatierollen. CSV en bundel-contract zijn bedoeld voor interne controle en overdracht via Trust Pack.
Elke export bevat een dossiervingerafdruk (hash). Met de bijgeleverde verificatielink kan de ontvanger controleren dat het dossier niet is gewijzigd na de exportdatum. Vereist Trust Pack.
Organisatiescheiding & toegang
Multi-organisatie opzet met scheiding per organisatie en toegangscontrole (conform jullie inrichting).
Integratie-security (pilot)
In integratie-scope werken we met partner-/organisatiesleutels en gecontroleerde webhook/API communicatie — afgestemd per pilot.
Dit valt onder Integrations Pack, niet onder Security Add-on.
Trust Controls
Vandaag inzetbaar voor enterprise en hogere securityeisen
PSM houdt het datamodel minimaal, met concrete toegangscontroles voor organisaties die extra zekerheid willen.
- SSO via OIDC en SAML 2.0 (Okta / Microsoft Entra) per organisatie
- 2FA policy-instelling per organisatie
- IP allowlisting (toegang via kantoor/VPN)
- Sessiebeheer (maximale sessieduur)
Security Add-on Uitbreiding
Advanced audit logs + audit export
- Filter op entiteit, actie, actor en periode (beheerexport)
- JSON of CSV export via beheerinterface (voor interne controles en forensics)
- SIEM schema endpoint op projectniveau (vereist ook Trust Pack) — JSON-mapping voor eigen SIEM-koppeling
- Externe links voor alleen inzage of bevestiging, zonder account, voor gecontroleerde ketensamenwerking
- Bedoeld voor forensics, interne controles en klantreviews
Security Control Matrix
Security Control Register
Per control: scope, bewijsroute en activatievoorwaarden.
Document Class
PSM Security Control Register
| Control ID | Domein | Maatregel | Scope / Pack | Bewijsroute | Activeringsstatus |
|---|---|---|---|---|---|
| PSM-AT-01 | Audit | Audittrail & timestamps | Core | Dossier-events + PDF export controleren op eventregels en timestamps. | Beschikbaar in Core |
| PSM-ID-02 | Identity | SSO via OIDC en SAML 2.0 (Okta / Microsoft Entra) | Security Add-on | Login-flow met SSO policy actief, zonder lokaal wachtwoordpad. | Vereist Security Add-on |
| PSM-ID-03 | Identity | 2FA policy per organisatie | Security Add-on | Policy actief: magic-link login wordt geblokkeerd, gebruiker wordt naar SSO gestuurd (MFA op IdP-niveau). | Vereist Security Add-on |
| PSM-NA-04 | Network Access | IP allowlisting | Security Add-on | Allowlist-configuratie actief: magic-link aanvraag vanaf niet-toegestaan IP wordt geblokkeerd. Geldt bij authenticatie, niet voor bestaande sessies. | Vereist Security Add-on |
| PSM-SE-05 | Session | Sessiebeheer | Security Add-on | Ingestelde session max age wordt toegepast bij aanmaak van PSM-sessie (OIDC/SAML flows). Supabase magic-link sessie respecteert de kortste van policy en Supabase-standaard. | Vereist Security Add-on |
| PSM-AE-06 | Audit Export | Advanced audit export | Security Add-on | Beheerexport met actor/periode-filter + JSON/CSV outputbestand (via beheerinterface). | Vereist Security Add-on |
| PSM-SI-07 | SIEM | SIEM schema endpoint | Trust Pack + Advanced audit export | Endpoint-respons op projectniveau met beide capabilities actief. | Vereist Trust Pack + uitgebreide auditexport |
| PSM-IN-08 | Integrations | Integratie-auth (keys/webhooks) | Integrations Pack | Signed webhook/API-key flow op actief integrations pack. | Vereist Integrations Pack |
Security/identity controls vallen onder Security Add-on. Integratie-koppelingen vallen onder Integrations Pack. Dit voorkomt cross-pack verwarring in scope en contractering.
Security & Trust
Audittrail & export
Wijzigingen en bevestigingen worden vastgelegd met timestamps zodat je per inzet kunt terugvinden wat is afgesproken. Export is bedoeld als dossierlaag (bewijs van vastlegging), niet als juridische uitspraak.
Toegang & scheiding
Toegang is rol-gebaseerd. In een multi-organisatiecontext is data gescheiden per organisatie en afgeschermd via applicatie- en databasecontroles (waar geconfigureerd), zodat gebruikers alleen hun eigen organisatiegegevens kunnen zien.