Security baseline policy (Awesum supportportal)
Laatst bijgewerkt: 24-04-2026
Deze baseline beschrijft de minimale beveiligingsmaatregelen voor het platform, inclusief clientportal, adminomgeving, ticketing, facturatie en e-mailintegraties.
1. Toegang en identiteit
- Rolgebaseerde toegang met scheiding tussen client- en adminrechten.
- 2FA-ondersteuning voor kritieke accounts en beheerde resetprocessen.
- Minimale privilege toekenning en periodieke review van toegangsrechten.
- Beveiligde sessieafhandeling en gecontroleerde loginflows.
2. Applicatiebeveiliging
- Inputvalidatie, foutafhandeling en veilige defaults op API- en formulierniveau.
- Bescherming tegen veelvoorkomende webrisico's via headers en middleware (zoals CSRF-bescherming en rate-limiting).
- Scheiding tussen publieke routes, clientroutes en adminroutes.
- Regelmatige code-updates en dependency-onderhoud.
3. Data- en privacybeveiliging
- Opslag van persoonsgegevens beperkt tot noodzakelijke velden voor support en facturatie.
- Technische en organisatorische maatregelen voor vertrouwelijkheid en integriteit.
- Bewaartermijnen en opschoning volgens Bewaartermijnenbeleid.
- Verwerkersafspraken en subverwerkersbeheer conform docs-overzicht.
4. Logging, monitoring en detectie
- Registratie van kritieke gebeurtenissen zoals authenticatie, administratieve wijzigingen en ticketacties.
- Monitoring op operationele fouten en security-gerelateerde afwijkingen.
- Toegang tot logs beperkt tot geautoriseerde rollen.
5. E-mail- en communicatiebeveiliging
- Platformmail via geconfigureerde provider (Microsoft Graph OAuth of SMTP-fallback).
- Beheer van e-mailtemplates en notificatieadressen via adminomgeving met toegangscontrole.
- Diagnostiek en testfunctionaliteit voor gecontroleerde mailverzending.
6. Incidentrespons
- Incidenten worden geregistreerd, geclassificeerd en opgevolgd volgens SOP datalekrespons.
- Containment, herstel, communicatie en post-incident review zijn vaste onderdelen.
- Lessons learned leiden tot structurele verbeteracties.
7. Continuiteit en herstel
- Back-up- en herstelvoorzieningen ondersteunen beschikbaarheid van kritieke dienstverlening.
- Wijzigingen in kritieke processen worden gecontroleerd doorgevoerd.
- Operationele procedures zijn gericht op snelle hersteltijd bij verstoringen.
8. Governance en review
- Minimaal kwartaalreview van baseline controls, en directe review na significante incidenten of architectuurwijzigingen.
- Security, privacy en operationele teams zijn gezamenlijk verantwoordelijk voor onderhoud van dit beleid.