NIS2 en GDPR-compliance
VaultPAM is ontworpen als compliance-infrastructuur voor EU-organisaties die onder NIS2 en GDPR vallen. Dit artikel wijst VaultPAM-mogelijkheden toe aan de specifieke vereisten die van toepassing zijn op bevoorrecht toegangsbeheer.
NIS2 artikel 21
NIS2-richtlijn artikel 21 vereist dat organisaties passende en evenredige technische en operationele maatregelen implementeren om risico's te beheren. De onderstaande tabel wijst de specifieke maatregelen toe aan VaultPAM-mogelijkheden.
| NIS2 artikel 21-vereiste | VaultPAM-mogelijkheid | Waar configureren |
|---|---|---|
| Multi-factor authentication voor alle bevoorrechte toegang | MFA-afdwingingsbeleid; ondersteunt TOTP en hardwarekeys | Organisation settings > Security > MFA enforcement |
| Registratie en monitoring van bevoorrechte sessies | Volledige sessie-opname met audittrail; elke actie wordt geregistreerd | Admin > Audit log |
| Toegangscontrole en minimale bevoegdheden | Safe-level toegangsbeleid; Just-in-Time (JIT) toewijzingen; goedkeuringswerkstromen | Policy engine > Creating policies |
| Incidentrespons en audittrail | Manipulatiebestendig auditlogboek met CSV-export; sessie-opnames als forensisch bewijs | Admin > Audit log > Export CSV |
| Supply chain-beveiliging | Connector-isolatie; elke Connector heeft een scoped token; gecompromitteerde Connectors kunnen worden ingetrokken | Admin > Connector management |
GDPR-verplichtingen voor bevoorrechte toegang
GDPR stelt verplichtingen aan controllers en verwerkers van persoonsgegevens. Bevoorrechte toegang tot systemen met persoonsgegevens moet worden gecontroleerd en aangetoond.
Artikel 32 – Technische en organisatorische maatregelen
VaultPAM voldoet aan art. 32 door versleuteling van referenties in rust (via OpenBao secrets engine), versleutelde sessie-opnames, MFA-afdwinging en een volledig audittrail van alle bevoorrechte toegangsgebeurtenissen.
Artikel 5(1)(f) – Integriteit en vertrouwelijkheid
Het integriteits- en vertrouwelijkheidsprincipe (art. 5(1)(f)) vereist dat persoonsgegevens op een manier worden verwerkt die passende beveiliging waarborgt. VaultPAM dwingt dit af op infrastructuurniveau: referenties worden nooit in platte tekst in de gebruikersinterface weergegeven na uitchecken, sessies worden geregistreerd en controleerbaar gemaakt, en toegangsbeleid voorkomt dat ongeautoriseerde gebruikers beschermde bronnen bereiken.
Artikel 30 – Records van verwerkingsactiviteiten
Het auditlogboek van VaultPAM biedt een voortdurend record van wie welk systeem accessed, wanneer en hoe lang. Dit logboek kan als CSV worden geëxporteerd en dienen als bewijs in uw art. 30 records van verwerkingsactiviteiten (ROPA). Het auditlogboek is manipulatiebestendig en wordt behouden voor een configureerbare periode (standaard: 90 dagen).
Gegevenslocatie
Voor SaaS-implementaties worden alle tenantgegevens uitsluitend opgeslagen in GCP europe-central2 (Warschau, Polen). Gegevens verlaten de EU niet. Dit voldoet aan de gegevenslocatievereisten van GDPR en NIS2 voor EU-gebaseerde organisaties.
Om schriftelijke bevestiging te ontvangen (bijvoorbeeld voor een Data Transfer Impact Assessment), vraagt u een Data Processing Agreement (DPA) aan bij support@vaultpam.com. De DPA specificeert de verwerkingsregio en subverwerkers.