उद्यम खरीद में प्रमाणन अंतर
उद्यम SaaS खरीद ने एक सुसंगत योग्यता फ़िल्टर विकसित किया है: ISO 27001 प्रमाणन। 2025 के एक सर्वेक्षण में उद्यम CISOs ने पाया कि "मान्यता प्राप्त सुरक्षा प्रमाणन की कमी" SaaS विक्रेताओं को अयोग्य ठहराने का #2 कारण था, केवल "अपर्याप्त एन्क्रिप्शन आर्किटेक्चर" के पीछे।
कारण संरचनात्मक है। उद्यम सुरक्षा टीमें वार्षिक रूप से दर्जनों से लेकर सैकड़ों विक्रेताओं की जांच करने के लिए जिम्मेदार हैं। प्रत्येक विक्रेता के लिए एक पूर्ण कस्टम सुरक्षा मूल्यांकन करना — नीतियों की समीक्षा करना, नियंत्रणों का परीक्षण करना, आर्किटेक्चर का मूल्यांकन करना — महत्वपूर्ण सुरक्षा टीम बैंडविड्थ की आवश्यकता होती है। ISO 27001 प्रमाणन एक शॉर्टकट प्रदान करता है: एक स्वतंत्र ऑडिटर ने पहले ही विक्रेता के सूचना सुरक्षा प्रबंधन प्रणाली का एक मान्यता प्राप्त मानक के खिलाफ मूल्यांकन किया है जिसमें 11 डोमेन में 93 नियंत्रण शामिल हैं।
ISO 27001 के बिना विक्रेताओं के लिए, प्रत्येक उद्यम सौदे के लिए साक्ष्य का मामला शून्य से बनाना आवश्यक है। ISO 27001 वाले विक्रेताओं के लिए, साक्ष्य पैकेज मौजूद है और इसे स्वतंत्र रूप से मान्य किया गया है।
ISO 27001:2022 अनुबंध A वास्तव में क्या कवर करता है
ISO 27001:2022 अनुबंध A में चार विषयों में 93 नियंत्रण शामिल हैं: संगठनात्मक, लोग, भौतिक, और तकनीकी। क्लाउड गोपनीयता उपकरणों के लिए, नियंत्रण जिन पर उद्यम खरीद टीमें सबसे अधिक ध्यान केंद्रित करती हैं, वे हैं:
क्रिप्टोग्राफिक नियंत्रण (अनुबंध A 8.24): संगठन को क्रिप्टोग्राफिक नियंत्रणों के उपयोग के लिए नियम परिभाषित करने की आवश्यकता होती है, जिसमें कुंजी प्रबंधन शामिल है। प्रमाणन यह दर्शाता है कि विक्रेता के पास यह दस्तावेजित, ऑडिट किया गया नीति है कि एन्क्रिप्शन कुंजियाँ कैसे उत्पन्न, संग्रहीत, एक्सेस, और नष्ट की जाती हैं।
एक्सेस नियंत्रण (अनुबंध A 8.2-8.5): सूचना तक पहुँच को न्यूनतम विशेषाधिकार के सिद्धांत के आधार पर सीमित करने की आवश्यकता होती है। प्रमाणन यह दर्शाता है कि विक्रेता के कर्मचारियों की ग्राहक डेटा तक पहुँच नियंत्रित और दस्तावेजित है।
आपूर्तिकर्ता संबंध (अनुबंध A 5.19-5.22): आपूर्तिकर्ता संबंधों के लिए सुरक्षा आवश्यकताओं को दस्तावेजित और मॉनिटर करने की आवश्यकता होती है। उन उद्यमों के लिए प्रासंगिक है जिनके अपने ग्राहक उन्हें अपने विक्रेताओं की सुरक्षा को दस्तावेजित करने की आवश्यकता होती है।
ISO 27001 प्रमाणन दस्तावेज़ हर खरीद प्रश्न का उत्तर नहीं देता है — यह स्थापित करता है कि संगठनात्मक और प्रक्रिया नियंत्रण मौजूद हैं। प्रमाणन कस्टम मूल्यांकन के दायरे को आर्किटेक्चर-विशिष्ट प्रश्नों तक सीमित करता है जिनका मानक उत्तर नहीं देता है।
आर्किटेक्चर प्रश्न जिसका मानक उत्तर नहीं देता
ISO 27001 प्रमाणन प्रक्रिया और संगठनात्मक नियंत्रण प्रश्नों का उत्तर देता है। यह उस मौलिक आर्किटेक्चर प्रश्न का उत्तर नहीं देता है जो विनियमित उद्यमों के लिए सबसे महत्वपूर्ण है: "क्या विक्रेता हमारे डेटा तक पहुँच सकता है?"
ISO 27001 प्रमाणन वाला एक विक्रेता अभी भी सर्वर-साइड एन्क्रिप्शन कुंजियों के साथ काम कर सकता है। प्रमाणन यह पुष्टि करता है कि कुंजी प्रबंधन एक दस्तावेजित नीति का पालन करता है — यह नहीं कि नीति विक्रेता की पहुँच को रोकती है।
जीरो-ज्ञान आर्किटेक्चर उस प्रश्न का उत्तर देता है जिसे ISO 27001 खुला छोड़ता है। आर्किटेक्चर — क्लाइंट-साइड कुंजी व्युत्पत्ति, कोई सर्वर-साइड कुंजी भंडारण नहीं, ट्रांसमिशन से पहले AES-256-GCM एन्क्रिप्शन — "क्या विक्रेता हमारे डेटा तक पहुँच सकता है?" का उत्तर निश्चित रूप से नकारात्मक बनाता है।
ISO 27001 को जीरो-ज्ञान आर्किटेक्चर के साथ मिलाने का खरीद पर प्रभाव: ISO 27001 उन संगठनात्मक और प्रक्रिया नियंत्रण आवश्यकताओं को पूरा करता है जिन्हें खरीद प्रश्नावली चेक करती हैं। जीरो-ज्ञान आर्किटेक्चर डेटा पहुँच आवश्यकताओं को पूरा करता है जो विनियमित उद्योगों के लिए सबसे उच्च प्राथमिकता की चिंता है। एक साथ, वे स्वास्थ्य देखभाल, वित्तीय सेवाओं, और कानूनी बाजारों में क्लाउड विक्रेता अनुमोदन के लिए दो प्रमुख योग्यता मानदंडों को संबोधित करते हैं।
अभ्यास में समय में कमी
विनियमित उद्योगों में विक्रेता सुरक्षा मूल्यांकन की समयसीमा आमतौर पर मान्यता प्राप्त प्रमाणन के बिना 3 से 6 महीने तक होती है। मूल्यांकन में सुरक्षा प्रश्नावली पूर्ण करना, दस्तावेज़ समीक्षा, तकनीकी आर्किटेक्चर समीक्षा, और अक्सर सुरक्षा टीम के साथ एक कॉल शामिल होता है।
ISO 27001 प्रमाणन के साथ, उद्यम दस्तावेज़ समीक्षा चरण को शॉर्टकट कर सकते हैं — प्रमाणपत्र और संबंधित अनुप्रयोगता का बयान साक्ष्य प्रदान करता है। जीरो-ज्ञान आर्किटेक्चर दस्तावेज़ के साथ, आर्किटेक्चर समीक्षा चरण जल्दी से हल हो जाता है। मूल्यांकन समयसीमा सबसे कुशल उद्यम खरीद प्रक्रियाओं के लिए 3 से 6 सप्ताह में संकुचित हो जाती है।
विनियमित उद्योग उद्यम सौदों को लक्षित करने वाले विक्रेताओं के लिए, ISO 27001 प्रमाणन का लागत-लाभ गणना सीधी है: प्रमाणन हर विनियमित उद्यम सौदे में बिक्री चक्र को महीनों से हफ्तों में कम करता है। उद्यम सौदे के आकार में, समय में कमी महत्वपूर्ण राजस्व तेजी में बदल जाती है।
गोपनीयता उपकरण खरीदने वाले उद्यमों के लिए, प्रमाणन संयोजन एक गुणात्मक रूप से अलग जोखिम स्थिति प्रदान करता है: एक विक्रेता जो ग्राहक डेटा तक पहुँच नहीं कर सकता (जीरो-ज्ञान) और जिसने स्वतंत्र रूप से संगठनात्मक नियंत्रणों को मान्य किया है (ISO 27001) क्लाउड विक्रेता में सुरक्षा प्रतिबद्धता का सबसे मजबूत उपलब्ध साक्ष्य प्रस्तुत करता है।
स्रोत: