Απαιτήσεις Πιστοποίησης Δημόσιων Συμβάσεων
Ευρωπαϊκές δημόσιες υπηρεσίες έχουν αυξανόμενες απαιτήσεις για SaaS vendors:
| Χώρα | Ελάχιστη Απαίτηση | Πρόσθετα |
|---|---|---|
| Γερμανία | ISO 27001 | BSI C5 για cloud |
| Γαλλία | ISO 27001 | SecNumCloud (ANSSI) |
| ΗΒ | ISO 27001 | Cyber Essentials Plus |
| Ολλανδία | ISO 27001 | BIO (Baseline Informatiebeveiliging) |
| Δανία | ISO 27001 | DIGST framework |
| Ελλάδα | ISO 27001 | ADAE κανονισμοί |
Αυτό που Αξιολογούν οι Κυβερνητικές Υπηρεσίες
Τεχνικός Φάκελος Ασφαλείας (Technical Security Dossier):
- Πιστοποιητικό ISO 27001 (έκδοση, πεδίο εφαρμογής, ημ. λήξης)
- Data Processing Agreement βάσει Άρθρου 28 GDPR
- Γνώμη DPA ή έκθεση DPIA
- Πολιτική διαχείρισης περιστατικών
- Σχέδιο διατερηματικής επιχειρηματικής συνέχειας
Υποβολή ερωτηματολογίου πωλητή:
- Γεωγραφία servers (ΕΕ-only ή global;)
- Κρυπτογράφηση at rest / in transit
- Πολιτική πρόσβασης εργαζομένων σε δεδομένα πελατών
- Εξάρτηση υπεργολαβία (sub-processors)
Γιατί ISO 27001 Επιταχύνει Κυβερνητικές Πωλήσεις
Χωρίς ISO 27001:
- Ολόκληρη διαδικασία αξιολόγησης ασφαλείας: 3-6 μήνες
- Δυνατότητα αποκλεισμού εάν δεν πληρούνται ελάχιστα
Με ISO 27001:
- Αρχικό φιλτράρισμα παράλειψη: πιστοποίηση = πλήρης βαθμός
- Αξιολόγηση: 1-2 μήνες
Πηγές: