Waarom MSPs monsys.ai kiezen als monitoring- en compliance-platform voor hun klanten
€3/server/maand vanaf de 6e server, MSP Cockpit met alle klanten in één scherm, RBAC-impersonatie, pre-issued EATs voor off-hours en gesigneerde maandrapporten. Plus een eerlijke marge-berekening.
Als MSP draai je op marge. Elke tool die je inkoopt, moet terugverdiend worden via de dienstverlening. Een monitoring-platform dat €15-20/agent/maand kost, vreet aan je marge voordat je één uur hebt gefactureerd.
Maar de echte kost van monitoring is niet de licentie — het is de tijd die je engineers steken in het beheren van losse tools die niet met elkaar praten. Alert in tool A, CVE in tool B, compliance in tool C, audit-export in tool D. Elke maand opnieuw alles samenrapen voor het klantrapport.
Dit artikel legt uit hoe monsys.ai als MSP-platform werkt, wat het oplevert, en wat de echte kosten zijn.
Het MSP-model: €3/agent/maand, eerste vijf gratis
De pricing is eenvoudig: eerste vijf agents per tenant zijn gratis, altijd. Vanaf de zesde agent betaal je €3/agent/maand via Stripe of PayPal, maandelijks opzegbaar.
Een klant met 20 servers: (20 - 5) × €3 = €45/maand. Een klant met 50 servers: €135/maand.
Als MSP kun je dit doorrekenen aan €8-15/server/maand en je hebt een gezonde marge op monitoring, inclusief de compliance- en audit-laag die anders apart ingekocht moet worden.
Er is geen MSP-licentie of channel-agreement nodig. Je maakt een account per klant (elke klant heeft een eigen tenant met eigen RLS-isolatie), en beheert ze vanuit één MSP Cockpit.
Het MSP Cockpit: 20+ klanten in één scherm
De grootste pijnpunt voor MSP-engineers is context-switching. Voor elke klant inloggen, de situatie reconstrueren, terug uitloggen. De MSP Cockpit lost dat op.
De MSP Cockpit lijst alle tenants op één scherm op, gesorteerd op een urgency-score die open critical alerts, KEV-CVEs, SLA-breaches en Trust Score-deltas combineert.
Eén klik "Open in tenant context" gebruikt RBAC-impersonatie — je werkt in de klant-context zonder opnieuw in te loggen, en elke actie die je uitvoert is gelogd met jouw email als actor. De klant ziet in zijn eigen audit-pack wat je deed.
RBAC-impersonatie: transparantie naar de klant
MSP-engineers werken namens klanten. Dat schept verplichtingen rond transparantie en traceerbaarheid, zeker onder NIS2.
Wanneer een MSP-admin een klant-omgeving binnenstapt, wordt een scoped sessie aangemaakt met een time-limited token en een verplichte reden. Elke actie binnen die sessie is gelogd met jouw user ID én de klant-tenant. De klant ziet in zijn eigen maandelijkse audit-pack precies wanneer jij zijn omgeving hebt beheerd en wat je deed.
De RBAC-pagina laat per gebruiker zien welke rol op welke scope geldt (tenant-breed of beperkt tot specifieke groep / agent).
Geen verrassingen. Geen grijze zones over wie welke actie heeft uitgevoerd.
Pre-issued Emergency Action Tokens: off-hours coverage zonder wakker bellen
Probleem dat elke MSP kent: een kritisch incident om 2:00 's nachts. Je engineer staat klaar maar moet eerst inloggen, TOTP invullen, een Emergency Action Token aanmaken. Dat zijn vijf extra minuten wanneer een ransomware-encryptie actief is.
De oplossing: pre-issued EATs. Je maakt een Emergency Action Token aan voor een specifieke agent, met een geldigheidsvenster en een activatievoorwaarde — bijvoorbeeld: "isoleer netwerk als 5 minuten heartbeat-verlies of een critical alert binnen het venster". Als de agent tijdens dat venster aan de voorwaarde voldoet, voert hij de actie zelf uit. Single-use nonce, volledige audit-trail. Jouw engineer hoeft alleen 's morgens te verifiëren dat alles goed gegaan is.
Playbooks definiëren wat een EAT mag uitvoeren — van isolate-network tot rotate-secrets. Pre-issued EATs verwijzen naar een playbook + activatievoorwaarde.
Multi-party signing: vier-ogen-principe voor destructieve acties
Voor irreversibele acties — productie-database restore, secrets-rotatie over de hele fleet, netwerk-isolatie van een core server — wil je een vier-ogen-principe. Level 3 EATs vereisen quorum: twee MSP-engineers, elk met een eigen TOTP-code, één engineer kan niet twee approvals doen. De klant ziet in zijn audit-pack "actie uitgevoerd via 2-van-2 quorum". Dat is sterke evidence voor SOC2 separation-of-duties.
Het maandrapport: wat lever je aan de klant?
Elke maand vraagt een klant — of zijn auditor — wat er gedaan is. Het monsys maandrapport is een gesigneerde PDF + JSONL die de klant zelf offline kan verifiëren.
Maandelijkse audit packs worden automatisch gegenereerd. Filter op MSP-actor om enkel jouw teamacties in het rapport te tonen.
De klant verifieert de PDF offline met een standalone CLI; geen monsys-account nodig, geen netwerk-call. Niet jouw woord, maar cryptografisch bewijs. Dat bouwt vertrouwen op een andere manier dan een PowerPoint-samenvatting.
White-label: jouw merk, jouw klant-portaal
Klanten zien jouw brand, niet monsys.ai. Per tenant stel je in: logo, primary color, productnaam en optioneel een custom domain. De klant opent ops.klantnaam.com en ziet zijn eigen logo, jouw naam in de footer als "powered by". Hij heeft read-only toegang tot zijn eigen dashboard en kan zijn eigen audit-evidence downloaden — maar geen admin-acties uitvoeren. Dat blijft jouw scope.
Pricing-check: wat verdien je als MSP?
Stel je beheert 15 klanten met gemiddeld 12 servers per klant:
| Monsys kost | Doorrekening @€10/server | Marge | |
|---|---|---|---|
| Per klant (12 servers) | (12-5) × €3 = €21/maand | 12 × €10 = €120/maand | €99/maand |
| Alle 15 klanten | €315/maand | €1.800/maand | €1.485/maand |
De compliance- en audit-laag (NIS2-bewijs, evidence packs, Trust Score) zit inbegrepen in die €3/agent. Je hoeft geen apart compliance-platform in te kopen.
Wat MSPs melden als primaire reden om te switchen
Op basis van gesprekken met MSP-operators die evalueerden:
"We gebruikten Zabbix voor monitoring en een apart tool voor compliance-rapportage. Twee tools betekenden twee logins, twee datasources, en maandelijks handmatig samenvoegen. Met monsys is dat één tool met één API."
"De klant-verificatie was de doorslag. We sturen nu een gesigneerd PDF dat de klant zelf kan verifiëren. Dat is een ander gesprek dan een Excel-export."
"Pre-issued EATs voor off-hours hebben twee keer een escalatie vermeden. De engineer heeft 's morgens gezien dat de isolatie-EAT was geactiveerd en teruggedraaid zonder dat iemand gewekt was."
Wat we niet bieden (eerlijk zijn)
MSPs die een full SOC-platform zoeken met 24/7 managed detection, threat intelligence feeds, en dedicated incident response — monsys is daar niet voor gebouwd. We zijn een monitoring- en compliance-platform voor MSPs die zelf de eerste lijn zijn.
Voor MSPs die NIS2-bewijs moeten leveren, CVEs moeten opvolgen, en maandelijkse rapportage moeten produceren voor 10-50 klanten: dat is precies de use case waarvoor monsys gebouwd is.
MSP-workflows zijn gedocumenteerd in docs.monsys.ai/nl/practical/msp. Contacteer ons voor een MSP-onboarding: info@gotrust.be.