Trust Center
Security management en ISO/IEC 27001 readiness
Attesto bouwt vanaf het begin een information security management system zodat security controls, risk decisions, evidence integrity en operating reviews traceerbaar zijn voordat een formeel certificeringstraject begint.
Deze pagina beschrijft Attesto's preparation model. Ze stelt niet dat Attesto ISO/IEC 27001 certified is en vervangt geen accredited audit.
What Attesto manages
De huidige ISMS boundary omvat de tenant dashboard, admin control panel, audit portal, public verify API, docs hub, Proofstream, witness plane, verifier tooling, SDKs, Local Vault, production release evidence en external service boundaries die invloed hebben op security, availability, billing, custody, package distribution of evidence integrity.
Customer source systems, customer user assignment decisions, customer-operated witnesses, customer-operated Local Vault hosts en legal interpretation blijven buiten Attesto's management boundary.
ISMS operating records
| Record | Doel | Publieke betekenis |
|---|---|---|
| Scope | Definieert included services, excluded customer responsibilities en owner roles. | Laat zien wat Attesto wil beheren. |
| Risk register | Volgt security, evidence, supplier, documentation en cryptographic risks. | Laat zien dat risks eigenaars hebben en worden reviewed. |
| Asset register | Volgt source, release evidence, Proofstream, witness, verifier, secrets, SDKs, docs, connectors, Local Vault en runtime assets. | Laat zien dat control ownership aan echte assets is gekoppeld. |
| Supplier register | Volgt external service boundaries en review cadence. | Laat zien dat supplier dependencies zichtbaar zijn. |
| Incident register | Definieert intake, classification, retention, escalation en current open-incident state. | Laat zien dat security events een record path hebben. |
| Self-use evidence loop | Verbindt Attesto's eigen release evidence met security-management review decisions. | Laat zien dat Attesto zijn evidence discipline intern gebruikt. |
| Internal audit plan | Definieert quarterly control review en release-evidence review scope. | Laat zien dat audit preparation herhaalbaar is. |
| Management review cadence | Definieert monthly review topics en certification trigger conditions. | Laat zien dat leadership review expliciet is. |
Review cadence
- Risk en asset records worden maandelijks reviewed en na material release-gate failures.
- Supplier records worden quarterly reviewed en voordat nieuwe critical suppliers production ingaan.
- Incident records zijn continu beschikbaar voor intake en worden maandelijks reviewed.
- Internal control review draait quarterly totdat een accredited certification project start.
- Management review draait maandelijks en na critical security events.
Evidence model
Attesto gebruikt zijn eigen release evidence om security management te ondersteunen: production audit, source secret scan, dependency security, release evidence contract, production readiness snapshot, docs hub contract, customer-visible dead-end contract, SDK registry readiness, Proofstream guarantees, witness/quorum evidence, fork-defense evidence, Local Vault assurance, connector assurance en Nova claim boundaries.
Het belangrijke principe is hetzelfde als Proofstream zelf: records moeten verifiable, current, bounded en tied to evidence zijn in plaats van te vertrouwen op informele status claims.
Attesto onderhoudt ook een bredere Certification Readiness map voor ISO/IEC 27001, SOC 2 Type II, ISO/IEC 27701, Cyber Essentials Plus, NEN 7510, ENSIA/BIO en eIDAS 2.0 alignment. Die houdt toekomstige audit preparation zichtbaar zonder certification te claimen vóór externe review.
Boundaries
Attesto evidence kan audits en toekomstige certification preparation ondersteunen. Het bewijst geen customer compliance, beslist geen legal obligations, vervangt geen auditor judgment en certificeert Attesto niet zelfstandig. Een formeel certification project vereist nog steeds management approval, audit sampling, corrective-action records en een accredited audit.
Public documentation vermijdt bewust private operational details. Security reviewers kunnen Attesto's public trust model gebruiken om te begrijpen hoe evidence wordt gegenereerd en geverifieerd, terwijl private internal records onder controle blijven van Attesto management.