Erasure certificates: per drive, per standard, per auditor

“We hebben de laptop gewist” is geen zin die een ADISA-auditor accepteert. De auditor weet dat die Dell Latitude twee NVMe-drives had. Die wil twee erasure certificates zien — één per drive — met de standaard, tool, operator, timestamp en cryptografische hash die bewijst dat de operatie voltooid is.

Granulariteit per drive

Het platform volgt erasure op driveniveau, niet op apparaatniveau. Een laptop met twee drives krijgt twee erasure records. Elk record bevat: drive serial, drive type (NVMe / SATA / enz.), toegepaste standaard (NIST 800-88 Purge, NIST 800-88 Clear, DoD 5220.22-M, enz.), gebruikte tool (Blancco, Certus, KillDisk, manueel), operator, start- en eindtimestamps, resultaat (success / failed / aborted) en de hash als de tool die produceerde.

Waar de data vandaan komt

Twee paden. Pad A: importeer het rapport uit de erasure tool. Blancco XML/CSV-exports worden automatisch geparsed; het platform haalt per-drive records eruit en matcht ze op serial aan de asset. Pad B: manuele invoer, voor het zeldzame geval waarin de operatie in een tool staat die niet exporteert, of wanneer een physical-destruction record nodig is (shred, degauss). Beide paden leveren dezelfde interne recordshape op.

Het certificaat

Het platform gegenereerde certificaat (per drive) is een PDF met de per-drive velden, operatorsignatuur, tenantbriefhoofd en certificerende instantie indien van toepassing (bijv. “issued in accordance with NAID AAA”). Het certificaat is het artefact dat koper of regulator wil — maar de gestructureerde data erachter maakt de audit-trail en de per-asset evidence bundle mogelijk.

Failure handling

Een erasure die faalt (drive defect, tool meldt fout) zet D3-status op de asset. De asset kan niet naar de sellable layer tot de fout is opgelost — via een succesvolle retry of door de asset naar fysieke vernietiging te sturen met het bijhorende cert. Geen stille failures.