Luka w certyfikacji w zakupach przedsiębiorstw
Zakupy SaaS w przedsiębiorstwach rozwinęły spójny filtr kwalifikacyjny: certyfikację ISO 27001. Badanie z 2025 roku wśród CISO przedsiębiorstw wykazało, że "brak uznawanej certyfikacji bezpieczeństwa" był #2 powodem do odrzucenia dostawców SaaS, zaraz po "niewystarczającej architekturze szyfrowania."
Powód jest strukturalny. Zespoły bezpieczeństwa w przedsiębiorstwach są odpowiedzialne za weryfikację dziesiątek, a nawet setek dostawców rocznie. Przeprowadzenie pełnej, niestandardowej oceny bezpieczeństwa dla każdego dostawcy — przegląd polityk, testowanie kontroli, ocena architektury — wymaga znacznych zasobów zespołu ds. bezpieczeństwa. Certyfikacja ISO 27001 zapewnia skrót: niezależny audytor już ocenił system zarządzania bezpieczeństwem informacji dostawcy w odniesieniu do uznawanego standardu z 93 kontrolami w 11 obszarach.
Dla dostawców bez ISO 27001, każda umowa z przedsiębiorstwem wymaga budowania dowodowego przypadku od podstaw. Dla dostawców z ISO 27001, pakiet dowodowy istnieje i został niezależnie zweryfikowany.
Co obejmuje rzeczywiście załącznik A ISO 27001:2022
Załącznik A ISO 27001:2022 zawiera 93 kontrole w czterech tematach: organizacyjnym, ludzkim, fizycznym i technologicznym. Dla narzędzi prywatności w chmurze, kontrole, na które zespoły zakupowe w przedsiębiorstwach zwracają największą uwagę, to:
Kontrole kryptograficzne (Załącznik A 8.24): Wymaga, aby organizacja określiła zasady dotyczące użycia kontroli kryptograficznych, w tym zarządzania kluczami. Certyfikacja pokazuje, że dostawca ma udokumentowaną, audytowaną politykę dotyczącą tego, jak klucze szyfrowania są generowane, przechowywane, dostępne i niszczone.
Kontrola dostępu (Załącznik A 8.2-8.5): Wymaga, aby dostęp do informacji był ograniczony na podstawie zasady najmniejszego przywileju. Certyfikacja pokazuje, że dostęp pracowników dostawcy do danych klientów jest kontrolowany i udokumentowany.
Relacje z dostawcami (Załącznik A 5.19-5.22): Wymaga, aby wymagania bezpieczeństwa dotyczące relacji z dostawcami były udokumentowane i monitorowane. Istotne dla przedsiębiorstw, których klienci wymagają dokumentacji dotyczącej bezpieczeństwa ich dostawców.
Dokument certyfikacji ISO 27001 nie odpowiada na każde pytanie dotyczące zakupów — ustala, że kontrole organizacyjne i procesowe istnieją. Certyfikacja ogranicza zakres niestandardowej oceny do pytań dotyczących architektury, na które standard nie odpowiada.
Pytanie o architekturę, na które standard nie odpowiada
Certyfikacja ISO 27001 odpowiada na pytania dotyczące kontroli procesów i organizacyjnych. Nie odpowiada na fundamentalne pytanie architektoniczne, które najbardziej interesuje regulowane przedsiębiorstwa: "Czy dostawca ma dostęp do naszych danych?"
Dostawca z certyfikacją ISO 27001 może nadal działać z kluczami szyfrowania po stronie serwera. Certyfikacja potwierdza, że zarządzanie kluczami odbywa się zgodnie z udokumentowaną polityką — nie że polityka zapobiega dostępowi dostawcy.
Architektura zero-knowledge odpowiada na pytanie, które ISO 27001 pozostawia otwarte. Architektura — pochodzenie kluczy po stronie klienta, brak przechowywania kluczy po stronie serwera, szyfrowanie AES-256-GCM przed transmisją — sprawia, że odpowiedź na "czy dostawca ma dostęp do naszych danych?" jest zdecydowanie negatywna.
Wpływ na zakupy wynikający z połączenia ISO 27001 z architekturą zero-knowledge: ISO 27001 spełnia wymagania dotyczące kontroli organizacyjnych i procesowych, które sprawdzają kwestionariusze zakupowe. Architektura zero-knowledge spełnia wymagania dotyczące dostępu do danych, które są najwyższym priorytetem dla regulowanych branż. Razem odpowiadają na dwa główne kryteria kwalifikacyjne dla zatwierdzenia dostawców chmurowych w sektorze ochrony zdrowia, usług finansowych i rynku prawnego.
Redukcja czasu w praktyce
Terminy oceny bezpieczeństwa dostawców w regulowanych branżach zazwyczaj wahają się od 3 do 6 miesięcy bez uznawanej certyfikacji. Ocena obejmuje wypełnienie kwestionariusza bezpieczeństwa, przegląd dokumentacji, przegląd architektury technicznej i często rozmowę z zespołem ds. bezpieczeństwa.
Dzięki certyfikacji ISO 27001, przedsiębiorstwa mogą skrócić fazę przeglądu dokumentacji — certyfikat i związane z nim Oświadczenie o Zastosowaniu dostarczają dowody. Dzięki dokumentacji architektury zero-knowledge, faza przeglądu architektury rozwiązuje się szybko. Czas oceny kurczy się do 3 do 6 tygodni dla najbardziej efektywnych procesów zakupowych w przedsiębiorstwach.
Dla dostawców celujących w umowy z przedsiębiorstwami w regulowanej branży, kalkulacja kosztów i korzyści certyfikacji ISO 27001 jest prosta: certyfikacja skraca cykle sprzedaży z miesięcy do tygodni w każdej regulowanej umowie z przedsiębiorstwem. Przy rozmiarach umów przedsiębiorstw, redukcja czasu kumuluje się w znaczne przyspieszenie przychodów.
Dla przedsiębiorstw kupujących narzędzia prywatności, połączenie certyfikacji zapewnia jakościowo inny poziom ryzyka: dostawca, który nie może uzyskać dostępu do danych klientów (zero-knowledge) i który ma niezależnie zweryfikowane kontrole organizacyjne (ISO 27001) reprezentuje najsilniejszy dostępny dowód zaangażowania w bezpieczeństwo w dostawcy chmurowym.
Źródła: