Контроль и логгирование действий веб-разработчика, как поступить?

У нас есть идея веб-проекта (внутренний инструментарий с доступом со всех обьектов для нас, строителей), даже накидан костяк прошлым программистом и кое-как работает. Прошлый чел слился с проекта не пофиксив свои косяки, не доделав многого, поэтому мы переписываем договор, дабы обезопасить себя от такого поведения и нанимаем нового. Как обезопасить себя от бекдоров, слива инфы и прочего недобросовестного отношения программиста-фрилансера? Даже не обезопасить, а именно контролировать, ибо по договору на программисте будет вся ответственность в случае такой нехорошей ситуации.
Идея такая - поднимаем какой-либо version control, куда этот программист пишет. Оттуда автоматом все перекидывается на продакшен сервер, ибо прогер все-равно один. В случае конфликтных ситуаций, подозрений итд, поднимаем логи, диффы и смотрим, был ли злой умысел и дрючим его договором через суд или убеждаемся, что это был взлом и слив по другим каналам.
Так вот, вопрос - правильно ли я понимаю то, как эти системы работают? Можно ли будет посмотреть, когда была сделана правка, приведшая к печальным последствиям? Может ли программист как-то влиять на эти записи и удалить лог именно по спорной записи - т.е. она будет на продакшен сервере, а в логах version control ее не будет и он свалит все на прошлого программиста, мол это до меня было? И, так как система эта с нас - можете ли назвать плюсы и минусы той или иной системы и что именно нам подойдет оптимально для этой задачи? Сам я не айти, разобрался лишь слегка на уровне покупки и запуска линукс сервера на centos.
Идея не моя, но руководство хочет держать разработчика ровно в такой узде.

UPD: да, решили, что это чересчур. Сняли копию файлов и в договоре написали, что в случае спорных вопросов у нас есть право обратиться к этим копиям для сравнения.