Compliance & Audit
Enterprise Checklists for Jira is ontworpen voor omgevingen die hun checklistbewijs moeten kunnen verantwoorden tegenover auditors — SOC 2-, SOX-, HIPAA-, ITIL- en ISO 27001-programma’s. Deze pagina behandelt wat de app doet (en even belangrijk, wat deze niet claimt), zodat u dit naadloos kunt inpassen in uw control framework.
Geautomatiseerde Audit Trail
Elke interactie wordt automatisch vastgelegd — er is geen actie van de gebruiker vereist.
- Vastgelegde gebeurtenissen: item aanmaken, aanvinken, uitvinken, tekst bewerken, verwijderen, opnieuw ordenen en template-synchronisatie.
- Dual-write opslag:
- Een gezaghebbend logboek in de Forge-opslag van de app (de enige bron van waarheid voor exports en externe audits).
- Een best-effort samenvatting die wordt weggeschreven naar het aangepaste veld Checklist Audit Log, zodat recente activiteit zichtbaar wordt in het standaard tabblad Geschiedenis van Jira.
- Tamper-evident, niet cryptografisch onveranderlijk. Het logboek is geautomatiseerd en wordt beschermd door Jira’s toegangscontroles op veldniveau; het is geen blockchain. Alle marketing- of interne controledocumentatie dient dit te beschrijven als een geautomatiseerde audit trail, niet als onveranderlijk (immutable).
Vergrendeling van Issue-status
Een SOC 2-afgestemde garantie dat niemand ongemerkt de Definition of Done van een gesloten ticket kan wijzigen.
- Wanneer de status van een issue overgaat naar de statuscategorie
Done— Done, Closed, Resolved, of een willekeurige aangepaste status die aan die categorie is gekoppeld — wordt de checklist alleen-lezen (read-only). - Alle mutatiebewerkingen (aanvinken, uitvinken, bewerken, verwijderen, opnieuw ordenen, template toepassen) worden zowel in de UI als in de backend afgewezen, zodat ook API- en Automation-paden de vergrendeling niet kunnen omzeilen.
- De checklist blijft zichtbaar en exporteerbaar; alleen het wijzigen ervan wordt geblokkeerd.
CSV Audit Export
Op te halen door geautoriseerde gebruikers (Jira-beheerders, Projectbeheerders) voor het verzamelen van bewijsmateriaal.
- Export per issue — direct vanuit het checklistpaneel op een afzonderlijk issue.
- Bulk-export per project — vanuit het tabblad Export van het Admin Dashboard, gepagineerd voor grote omgevingen.
- Auditor-vriendelijke kolommen — de kolom Issue Key gebruikt de voor mensen leesbare Jira-sleutel (bijv.
CMSP-7), zodat auditors direct kunnen terugverwijzen naar het issue. - OWASP-bescherming tegen formule-injectie — voorlooptekens zoals
=,+,-,@, tab en CR in door de gebruiker beheerde velden worden geneutraliseerd, zodat het openen van de CSV in Excel of Google Sheets geen formules kan uitvoeren.
Workflow-handhaving
De workflow-validator Checklist Complete blokkeert transities naar een doelstatus, tenzij elk checklist-item is aangevinkt. Issues zonder checklist passeren de validator (zodat legacy-tickets niet vastlopen). In combinatie met de vergrendeling van de issue-status biedt dit u zowel een gate before close (poort voor sluiting) als een freeze after close (bevriezing na sluiting).
Native Meldingen & Automation
- Meldingen voor watchers / toegewezen personen worden native geactiveerd bij het voltooien van een item (in- en uitschakelbaar door de beheerder), zodat de samenwerkingscyclus niet onopgemerkt blijft.
- Elke keer dat een item wordt aan- of uitgevinkt, wordt dit weggeschreven naar de issue-eigenschap
enterprise-checklist-event. Elke Jira Automation-regel kan dit gebruiken via de trigger Issue property changed — voor het doorsturen van bewijsmateriaal naar ticketing-, GRC- of chat-tools.
Koppeling met Veelgebruikte Frameworks
| Framework | Controlegebied | Hoe de app helpt |
|---|---|---|
| SOC 2 | CC7.2 / CC8.1 — change management & monitoring | Geautomatiseerde audit trail van elke checklistmutatie; statusvergrendeling op Done; CSV-export van bewijsmateriaal. |
| SOX | ITGC change controls | Checklist Complete-validator op transities met impact op productie; bulk audit-export per project. |
| HIPAA | §164.308(a)(1) administratieve waarborgen | Cloud Infrastructure ePHI Baseline starter-template; activering per project; beperkte bewerkingsrechten overgeërfd van Jira. |
| ITIL | Change & incident management | Incident Management en Production Deployment starter-templates met Read-Do-typering voor sequentiële procedures. |
| ISO 27001 | A.12.1.2 change management | Append-only template-synchronisatie behoudt lokale bewerkingen; voor auditors leesbare CSV-export. |
AVG & Data Residency
- Forge-datagrenzen. Alle checklistgegevens bevinden zich binnen de Forge-opslag van Atlassian en nemen de data residency-verplichtingen van Atlassian over.
- Personal Data Reporting API. Een wekelijks geplande taak rapporteert getraceerde Atlassian account-ID’s aan de Personal Data Reporting API van Atlassian.
- Recht om vergeten te worden. Wanneer Atlassian meldt dat een account is gesloten, worden alle checklistrecords die naar dat account verwijzen geanonimiseerd — het account-ID wordt vervangen door een sentinel-waarde, terwijl de integriteit van het auditlogboek behouden blijft.
Toegankelijkheid
- Voldoet aan WCAG 2.1 Niveau AA.
- Alle interacties — aanvinken, uitvinken, bewerken, opnieuw ordenen, verwijderen, template toepassen — zijn volledig navigeerbaar via het toetsenbord en compatibel met schermlezers.
Beveiliging
- Invoervalidatie op elk toegangspunt (UI, REST, automation-paden).
- Markdown-opschoning (sanitisation) bij het renderen om XSS in itemtekst te voorkomen.
- Bescherming tegen CSV-formule-injectie zoals hierboven beschreven.
- Geen PII in applicatielogboeken. Account-ID’s en weergavenamen verschijnen nooit in operationele logboeken.
- Concurrency-veiligheid. Gelijktijdige bewerkingen van dezelfde checklist worden beveiligd door optimistic concurrency control, zodat conflicterende schrijfacties nooit leiden tot onopgemerkt gegevensverlies.
Internationalisatie
De app wordt momenteel geleverd in het Engels. De UI is volledig geëxternaliseerd voor lokalisatie.