Trust Center
Certification readiness
Attesto bereidt zich voor op certificeringen en assurance reviews door al volgens de juiste practices te werken voordat een formele audit start. Het doel is simpel: toekomstige certificering makkelijker maken omdat de evidence al bestaat.
Deze pagina stelt niet dat Attesto certified, compliant, qualified, legally approved of externally attested is. De pagina legt het voorbereidingsmodel en de evidence boundaries uit.
Priority
- ISO/IEC 27001 eerst. Dit is de basis voor enterprise, EU, overheid en critical-supplier information security.
- SOC 2 Type II daarna. Dit is belangrijk voor internationale en Amerikaanse klanten omdat het operating effectiveness over tijd beoordeelt.
- ISO/IEC 27701 later. Dit voegt privacy management toe zodra PII roles en processing records volwassen zijn.
- Cyber Essentials Plus later. Dit ondersteunt UK public-sector baseline security wanneer procurement dit vereist.
- NEN 7510 later. Dit is relevant wanneer Nederlandse zorg een actief klantsegment wordt.
- ENSIA/BIO alignment. Dit ondersteunt Nederlandse public-sector evidence gesprekken.
- eIDAS 2.0 alignment. Dit is een strategische trust- en evidence lane, geen qualification claim.
Framework map
| Framework | Waarom het telt | Attesto preparation | Boundary |
|---|---|---|---|
| ISO/IEC 27001 | Security management voor enterprise, overheid en critical suppliers. | ISMS scope, risk register, asset register, supplier register, incident register, self-use evidence loop, internal audit plan en management review. | Vereist later formele scope, policies, audit sampling, corrective actions en accredited certification audit. |
| SOC 2 Type II | Internationale en Amerikaanse buyer assurance over operating effectiveness. | Period evidence bewaren voor security, availability, processing integrity, confidentiality en privacy waar customer commitments dit vereisen. | Vereist later system description, management assertion, observation period en CPA examination. |
| ISO/IEC 27701 | Privacy information management voor PII controller en processor accountability. | Privacy-sensitive evidence boundaries, geen raw payloads in release reports, supplier en asset records. | Vereist later PIMS scope, PII role analysis, privacy processes, privacy risk assessment en specialist review. |
| Cyber Essentials Plus | UK public-sector baseline security procurement. | Technical baseline evidence rond assets, TLS, dependency security, secure configuration en cloud/service boundaries. | Vereist later approved scheme assessment en technical verification. |
| NEN 7510 | Nederlandse healthcare information-security expectations. | Bouwt voort op ISO/IEC 27001 records en houdt healthcare-specific scope apart totdat die markt actief is. | Vereist later healthcare-specific scope, health-data analysis en sector review. |
| ENSIA/BIO | Ondersteuning voor Nederlandse government information-security accountability. | Mapt Attesto evidence naar public-sector security principles, incident evidence, supply-chain assurance en auditability. | Customer public-sector bodies bezitten hun BIO scope en ENSIA reporting process. |
eIDAS 2.0 alignment
eIDAS 2.0 is strategisch belangrijk voor Attesto omdat het platform is gebouwd rond verifiable evidence, timestamps, ledger-style integrity, signatures, independent verification en trust boundaries. Daardoor is het een natuurlijke research- en legal-review lane.
De boundary is strikt: Attesto claimt geen qualified trust-service provider status, qualified electronic ledger status, qualified timestamp status, legal admissibility outcome, eIDAS certification of public-authority approval. Elke sterkere claim vereist specialistisch legal en conformity-assessment werk.
Evidence discipline
Attesto gebruikt Attesto-generated release evidence intern. De self-use evidence loop koppelt release integrity, secret exposure prevention, dependency security, Proofstream lifecycle guarantees, public documentation boundaries, SDK registry readiness, incidents en management review aan specifieke evidence records.
Dit is de praktische gewoonte die certificering later makkelijker maakt: evidence wordt gegenereerd, gecontroleerd, gehasht, reviewed en actueel gehouden voordat een auditor erom vraagt.
Boundaries
Certification readiness certificeert Attesto niet. Het vervangt geen legal counsel, auditor judgment, customer supplier review, sector obligations, public-authority decisions of customer control ownership. Het laat zien dat Attesto naar die reviews toewerkt op een gedisciplineerde, evidence-first manier.