Naar hoofdinhoud gaan

NIS2 en GDPR-compliance

VaultPAM is ontworpen als compliance-infrastructuur voor EU-organisaties die onder NIS2 en GDPR vallen. Dit artikel wijst VaultPAM-mogelijkheden toe aan de specifieke vereisten die van toepassing zijn op bevoorrecht toegangsbeheer.

NIS2 artikel 21

NIS2-richtlijn artikel 21 vereist dat organisaties passende en evenredige technische en operationele maatregelen implementeren om risico's te beheren. De onderstaande tabel wijst de specifieke maatregelen toe aan VaultPAM-mogelijkheden.

NIS2 artikel 21-vereisteVaultPAM-mogelijkheidWaar configureren
Multi-factor authentication voor alle bevoorrechte toegangMFA-afdwingingsbeleid; ondersteunt TOTP en hardwarekeysOrganisation settings > Security > MFA enforcement
Registratie en monitoring van bevoorrechte sessiesVolledige sessie-opname met audittrail; elke actie wordt geregistreerdAdmin > Audit log
Toegangscontrole en minimale bevoegdhedenSafe-level toegangsbeleid; Just-in-Time (JIT) toewijzingen; goedkeuringswerkstromenPolicy engine > Creating policies
Incidentrespons en audittrailManipulatiebestendig auditlogboek met CSV-export; sessie-opnames als forensisch bewijsAdmin > Audit log > Export CSV
Supply chain-beveiligingConnector-isolatie; elke Connector heeft een scoped token; gecompromitteerde Connectors kunnen worden ingetrokkenAdmin > Connector management

GDPR-verplichtingen voor bevoorrechte toegang

GDPR stelt verplichtingen aan controllers en verwerkers van persoonsgegevens. Bevoorrechte toegang tot systemen met persoonsgegevens moet worden gecontroleerd en aangetoond.

Artikel 32 – Technische en organisatorische maatregelen

VaultPAM voldoet aan art. 32 door versleuteling van referenties in rust (via OpenBao secrets engine), versleutelde sessie-opnames, MFA-afdwinging en een volledig audittrail van alle bevoorrechte toegangsgebeurtenissen.

Artikel 5(1)(f) – Integriteit en vertrouwelijkheid

Het integriteits- en vertrouwelijkheidsprincipe (art. 5(1)(f)) vereist dat persoonsgegevens op een manier worden verwerkt die passende beveiliging waarborgt. VaultPAM dwingt dit af op infrastructuurniveau: referenties worden nooit in platte tekst in de gebruikersinterface weergegeven na uitchecken, sessies worden geregistreerd en controleerbaar gemaakt, en toegangsbeleid voorkomt dat ongeautoriseerde gebruikers beschermde bronnen bereiken.

Artikel 30 – Records van verwerkingsactiviteiten

Het auditlogboek van VaultPAM biedt een voortdurend record van wie welk systeem accessed, wanneer en hoe lang. Dit logboek kan als CSV worden geëxporteerd en dienen als bewijs in uw art. 30 records van verwerkingsactiviteiten (ROPA). Het auditlogboek is manipulatiebestendig en wordt behouden voor een configureerbare periode (standaard: 90 dagen).

Gegevenslocatie

Voor SaaS-implementaties worden alle tenantgegevens uitsluitend opgeslagen in GCP europe-central2 (Warschau, Polen). Gegevens verlaten de EU niet. Dit voldoet aan de gegevenslocatievereisten van GDPR en NIS2 voor EU-gebaseerde organisaties.

Om schriftelijke bevestiging te ontvangen (bijvoorbeeld voor een Data Transfer Impact Assessment), vraagt u een Data Processing Agreement (DPA) aan bij support@vaultpam.com. De DPA specificeert de verwerkingsregio en subverwerkers.

Gerelateerde artikelen