Trilectica

Kennis ยท Security

Signing, logging en audit trails: waarom controleerbaarheid zo belangrijk is

Bij gegevensuitwisseling tussen organisaties is het niet voldoende dat berichten aankomen. Het moet ook aantoonbaar zijn dat ze ongewijzigd zijn en wie ze heeft verstuurd.

Wanneer organisaties gegevens uitwisselen, ontstaat de vraag: hoe wordt vastgesteld dat een bericht ongewijzigd is? Dat het daadwerkelijk afkomstig is van de beweerde afzender? En dat achteraf herleid kan worden wat er is gebeurd?

Signing: integriteit en herkomst

Digitale ondertekening (signing) maakt het mogelijk om twee dingen vast te stellen:

  • Het bericht is niet gewijzigd na ondertekening (integriteit)
  • Het bericht is afkomstig van een specifieke afzender (herkomst)

In de context van API-koppelingen kan signing toegepast worden op individuele berichten, op requests of op responses. Het biedt een sterkere garantie dan alleen authenticatie, omdat het bewijs levert dat specifieke gegevens van een specifieke bron komen.

Logging: zichtbaarheid

Logging is het vastleggen van wat er in een systeem gebeurt. Bij gegevensuitwisseling gaat het specifiek om:

  • Wie heeft wanneer welke actie uitgevoerd?
  • Welke gegevens zijn uitgewisseld?
  • Wat was het resultaat van de verwerking?
  • Zijn er fouten of uitzonderingen opgetreden?

Goede logging is niet hetzelfde als "alles loggen." Het gaat om het vastleggen van de juiste informatie, op de juiste manier, met de juiste bewaartermijnen.

Audit trails: verantwoording

Een audit trail is een chronologisch overzicht van acties en gebeurtenissen dat gebruikt kan worden voor verantwoording. Het combineert logging met context: niet alleen wat er is gebeurd, maar ook wie, wanneer, waarom en met welk resultaat.

Audit trails zijn relevant voor:

  • Interne verantwoording en compliance
  • Externe audits door toezichthouders
  • Geschillenbeslechting bij meningsverschillen over gegevens
  • Incidentanalyse en probleemoplossing

Controleerbaarheid is niet alleen een technische maatregel. Het is een voorwaarde voor vertrouwen. Organisaties die gegevens uitwisselen, moeten kunnen aantonen dat dat zorgvuldig en correct is gebeurd.

In de praktijk

Signing, logging en audit trails vragen om bewuste keuzes in het ontwerp. Wat wordt ondertekend? Wat wordt gelogd? Hoe lang worden logs bewaard? Wie heeft toegang tot audit informatie?

Wij nemen deze vragen mee in het ontwerp van elke koppeling en elk systeem dat we bouwen. Niet als afterthought, maar als fundamenteel onderdeel van de architectuur.

Verder lezen

Veilige koppelingen

Wat een API-koppeling eigenlijk veilig maakt.

Van melding naar opdracht

Hoe informatiestromen technisch in elkaar zitten.

Interoperabiliteit

Waarom echte interoperabiliteit meer vraagt dan een API.