Mezera v certifikaci při výběru dodavatelů
Podnikové bezpečnostní týmy každoročně prověřují desítky dodavatelů. Potřebují rychlý filtr. Certifikace ISO 27001 jim jej poskytuje. Auditor již prověřil kontroly dodavatele. To internímu týmu ušetří práci, kterou by jinak musel provést sám.
Dodavatelé bez této certifikace musí svůj případ budovat při každém obchodním jednání. To stojí čas na obou stranách. Prověrka se prodlužuje a roste riziko neúspěšné kontroly.
Co aktuální norma pokrývá
Příloha A aktuální verze obsahuje 93 kontrol ve čtyřech skupinách: organizační, personální, fyzické a technologické. Týmy se zaměřují na několik klíčových oblastí.
Kryptografické kontroly (příloha A 8.24): Dodavatel musí definovat pravidla pro použití klíčů. Tato pravidla pokrývají způsob vytváření, ukládání, přístupu a odstraňování klíčů. Certifikace prokazuje, že auditor tuto politiku potvrdil jako funkční.
Řízení přístupu (příloha A 8.2–8.5): Přístup zaměstnanců k datům zákazníků musí dodržovat pravidlo nejnižšího oprávnění. Certifikace prokazuje, že tato omezení jsou zdokumentována a vymáhána.
Vztahy s dodavateli (příloha A 5.19–5.22): Dodavatelé musí dokumentovat bezpečnostní pravidla pro vlastní subdodavatele. To je důležité, když zákazníci musí prokázat bezpečnost svých vlastních dodavatelů.
Certifikát potvrzuje, že procesní a organizační kontroly jsou zavedeny. Omezuje vlastní prověrku na menší sadu architektonických otázek, které norma neřeší.
Otázka, na kterou certifikace neodpovídá
Norma odpovídá na procesní otázky. Neodpovídá na to, co regulované firmy zajímá nejvíce: může dodavatel číst naše data?
Certifikovaný dodavatel může stále držet klíče na straně serveru. Certifikace potvrzuje, že správa klíčů se řídí politikou. Nepotvrzuje, že tato politika blokuje přístup dodavatele k čistému textu.
Architektura s nulovými znalostmi odpovídá na to, co norma ponechává otevřené. Klíče jsou vytvořeny na straně klienta. Na serveru žádné klíče nejsou. Data jsou šifrována pomocí AES-256-GCM před opuštěním klienta. Dodavatel nemůže číst data zákazníků. To je strukturální skutečnost, nikoli politická volba.
Toto pokrývá dva odlišné aspekty. Certifikace splňuje procesní a organizační požadavky v nákupních formulářích. Architektura s nulovými znalostmi splňuje aspekt přístupu k datům, který regulované firmy hodnotí nejvýše. Společně překonávají dvě hlavní překážky pro schválení cloudového dodavatele ve zdravotnictví, financích a právním sektoru.
Podívejte se, jak architektura s nulovými znalostmi odpovídá na bezpečnostní dotazníky a prostudujte si přehled bezpečnosti a souladu.
Jak to ovlivňuje čas prověrky
Prověrování dodavatelů v regulovaných trzích zabírá čas. Zahrnuje práci s dotazníkem, přezkoumání dokumentů, architektonickou prověrku a často i telefonát s bezpečnostním týmem.
Certifikace zkracuje přezkoumání dokumentů. Certifikát a Prohlášení o aplikovatelnosti slouží jako důkaz. Auditor již prověřil kontroly. Nákupní tým nemusí tuto práci opakovat.
Architektura s nulovými znalostmi zkracuje architektonickou prověrku. Otázka přístupu k datům má jasnou strukturální odpověď. Není o čem vyjednávat nad rámec samotné architektury.
Oba faktory snižují množství výměn, které prodlužují prověrky dodavatelů. Týmy postupují rychleji, když obtížné otázky dostávají přímé odpovědi při prvním podání. Méně kol znamená méně zpoždění.
Pro dodavatele v regulovaných trzích to hraje roli při každém obchodním jednání. Kratší prověrky znamenají kratší prodejní cykly. Při velikosti podnikových obchodů se tento rozdíl rychle projeví. Dodavatelé, kteří dokážou odpovědět na nejtěžší otázky hned první den, čelí menšímu tření v celém procesu.
Pro podnikové zákazníky tato kombinace znamená silnější bezpečnostní pozici. Dodavatel, který nemůže číst data zákazníků a má auditované organizační kontroly, poskytuje jasný důkaz závazku k bezpečnosti. Více informací najdete v centru FAQ.