anonym.legal
Terug na BlogTegnies

ISO 27001 en Zero-Knowledge: Wat te Soek wanneer...

ISO 27001-sertifikasie beteken nie zero-knowledge nie. Hier is die sekere-kontroles wat jy moet verifieer.

March 19, 20267 min lees
ISO 27001 certificationvendor assessmentCISO procuremententerprise securityzero-knowledge

Tema 1: Wat ISO 27001 NIE Garanteer nie

ISO 27001 is 'n informasie-sekuriteits-beheer-sisteem standaard. Dit beteken:

✅ Wat dit kontroleer:

  • Deurmekaarheid-toegang-beheer
  • Inkidentsrespons-prosedures
  • Beveiligings-opleiding

❌ Wat dit NIET kontroleer:

  • Enkripterings-algoritmes
  • Sleutel-beheer-argitektuur
  • Zero-knowledge-bewering

Gevolg: 'n Vendor kan ISO 27001-sertifiseer wees en steeds server-sy-enkriptering met kliënt-leesbare sleutels gebruik.

Tema 2: Watter ISO 27001-Kontroles Beteken Zero-Knowledge

Als jy ISO 27001-sertifikasie kontroleer, let op deze kontroles:

Kontrole A.10.1.1 — Kriptografiese Beheer

Werklik zero-knowledge:

  • "Kontrol A.10.1.1: Client-sy enkriptering voor data-transmissie"
  • "Klient-sy sleutelgenerasie en -opslag"
  • "Bediener-sy sleutelopslag is NIE implementeer"

Bedrog:

  • "Kontrol A.10.1.1: Bediener-sy TLS-enkriptering"
  • "Geen klaring-sleutel-opslag"

Kontrole A.10.2.1 — Sleutel-Beheer

Werklik zero-knowledge:

  • "Sleutels worden op kliënt-apparaten gegenereerd"
  • "Bediener-slagen sleutels op"
  • "Sleutels-rotasie is client-beheerd"

Bedrog:

  • "Sleutels-generasie op bediener"
  • "Sleutelrotasie is outomaties gedoen"

Tema 3: Die Volledige Evaluasie-Gids

Wanneer 'n vendor ISO 27001-sertifiseer en zero-knowledge beweer:

1. Verifieer die Sertifikasie

Rechteresamen:
□ Sertifikaat is van erkende auditeur (LRQA, BSI, DNV, Deloitte)
□ Sertifikaat bevat "ISO/IEC 27001:2013" of "2022"
□ Sertifikaat is aktueel (vervaldatum in toekoms)
□ Scope sluit "data privacy" / "encryption" in

2. Lees die Controlesamen

Vra vendor vir:

  • Audit Samenvatting ("Statement of Applicability")
  • Soek "Control A.10.1.1" (Kriptografiese Kontrole)
  • Soek "Control A.13.1.3" (Dataseparasie)

3. Neem een Testgeval

Vra vendor: "Gee my 'n voorbeeld-kluis-inskakeling. Kan jy dit desiffreer op jou bediener?"

  • Werklik zero-knowledge: "Nee, dit is versleuterd op jou apparat"
  • Bedrog: "Ons kan dit lees, maar slegs met regterstoegang"

4. Raadpleeg Derde-Lande-Oordrag

Vra vendor: "Waar word my data fisies opgeslagen? Kan reglementasie-agenskappe dit verplig?"

  • Werklik zero-knowledge: "Fisies in €, reglementasie kan dit nie desiffreer"
  • Bedrog: "Fisies in €, maar sy kan ons bediener verplig"

Verwante Artikels

Tegnies

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Tegnies

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Tegnies

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Gereed om u data te beskerm?

Begin om PII te anonimiseer met 285+ entiteitstipes in 48 tale.

Begin Gratis ProeflopieBesoek Kenmerke