anonym.legal
Zpět na blogTechnické

Zero-Knowledge bezpečnostní dotazník...

Při hodnocení dodavatelů zpracovávajících citlivá data potřebujete správné bezpečnostní otázky.

March 18, 20267 min čtení
vendor security questionnaireenterprise procurementzero-knowledge architecturesales cycle accelerationCISO approval

Proč bezpečnostní dotazníky selhávají

Standardní bezpečnostní dotazníky (SIG, CAIQ, VSA) jsou navrženy pro obecné posouzení rizik. Pro dodavatele se Zero-Knowledge tvrzeními selžou protože:

  • Nezeptají se o kryptografické architektuře
  • Neprosí o specifika klíčového managementu
  • Neverifikují ZK tvrzení technickými důkazy

Zero-Knowledge specifický dotazník

Sekce 1: Kryptografická architektura

1.1 Kde jsou šifrovací klíče generovány pro zákaznická data?

  • Client-side (zákazník)
  • Server-side (dodavatel)
  • Hybrid (vysvětlete)

1.2 Má váš personál přístup k plaintext zákaznickým datům?

  • Nikdy (kryptograficky nemožné)
  • Pouze s zákazníkovým souhlasem
  • Za určitých okolností (vysvětlete)
  • Ano

1.3 Jakou šifrovací schému používáte pro data v klidu? Odpověď (popište algoritmus, délku klíče, mód): _______________

1.4 Jakou KDF (Key Derivation Function) a parametry používáte? Odpověď (algoritmus, iterace/paměť/paralelizmus): _______________

1.5 Je vaše kryptografická architektura zdokumentovaná veřejně?

  • Ano, odkaz: _____________
  • Dostupné pod NDA
  • Není zdokumentovaná

Sekce 2: Incident Response a právní

2.1 Jak byste odpověděli na vládní příkaz k dešifrování zákaznických dat? Odpověď: _______________

2.2 Pokud byste byli kompromitovaní, mohli by útočníci přistoupit k zákaznickým plaintext datům?

  • Ne (kryptograficky nemožné)
  • Pravděpodobně ne
  • Závisí na scénáři
  • Potenciálně ano

2.3 Popis nejzávažnějšího bezpečnostního incidentu z posledních 3 let: _______________

Sekce 3: Audit a certifikace

3.1 Kdy byl naposledy proveden nezávislý bezpečnostní audit? Datum: _______________ Organizace: _______________

3.2 Je zpráva auditu dostupná pro zákazníky?

  • Ano, plná zpráva
  • Ano, souhrn
  • Pod NDA
  • Ne

3.3 Jaké certifikace udržujete?

  • SOC 2 Type II
  • ISO 27001
  • CSA STAR
  • Jiné: _______________

Sekce 4: Zákazník kontrola

4.1 Může zákazník exportovat jejich šifrovací klíče?

  • Ano
  • Ne
  • Záleží na plánu

4.2 Co se stane s zákaznickými daty pokud zákazník smaže svůj účet? Odpověď: _______________

4.3 Co se stane s zákaznickými daty pokud vaše firma přestane podnikat? Odpověď: _______________

Hodnocení odpovědí

Skóre zelený (skutečné ZK)

  • Klíče generovány client-side
  • Personál kryptograficky neschopný přístupu k datům
  • Publikovaná kryptografická dokumentace
  • Nezávislý audit s sdílenou zprávou
  • Jasná odpověď na vládní příkazy

Skóre červený (marketingové ZK)

  • Server-side generování klíčů
  • Personál „může" přistoupit za určitých okolností
  • Žádná technická dokumentace
  • Žádný nebo pouze interní audit
  • Vyhýbá odpovědím na vládní příkazy

Závěr

Správný bezpečnostní dotazník pro ZK dodavatele vyžaduje specifické technické otázky – ne obecné compliance kontroly.

Použijte tento dotazník jako základ a přizpůsobte ho vašim specifickým požadavkům.

Související články

Technické

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Technické

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Technické

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Připraveni chránit svá data?

Začněte anonymizovat PII s více než 285 typy entit ve 48 jazycích.

Začít bezplatnou zkušební verziZobrazit funkce