Upstream vs. Downstream compliance
Existujú dva smery v dodávateľskom reťazci:
- Upstream — Firmy, od ktorých vy kupujete služby (AWS, Okta, Datadog, atď.)
- Downstream — Firmy, ktoré vám kupujú služby (vaši zákazníci)
ISO 27001 certifikát znamená, že VY spĺňate bezpečnostné normy. Ale to neznamená, že vaši upstream dodávatelia spĺňajú.
Prípad: Lanťach slabej správy
Predstavte si:
- Vaša organizácia má ISO 27001 certifikát
- Ale AWS (váš cloud dodávateľ) nie je ISO 27001 certifikovaný (je to nemožné, ale hypoteticky)
- Vaši bezpečnosť čipu je tak silná ako vaši najslabší odkaz — AWS
Ak AWS budú hackeati a údaje vám prezradiť, porušujete ISO 27001 požiadavky, aj keď vy sami ste bezpečný.
Riešenie: Dodávateľská bezpečnosť
ISO 27001:2022 sekcia A.14 ("Dodávateľové vzťahy") vyžaduje, aby ste:
- Identifikovali všetkých dodávateľov — AWS, GitHub, Slack, DocuSign, atď.
- Skontrolovali ich bezpečnosť — sú ISO 27001 certifikovaní?
- Monitorovali ich — dostanete audit reporty?
- Revidovali zmluvy — obsahujú bezpečnostné doložky?
Ako implementovať downstream dodávateľskú kontrolu
1. Register dodávateľov
Vytvoriť zoznam všetkých dodávateľov, ktorých produkty/služby používate:
- Cloud (AWS, Azure, GCP, ...)
- Monitoring (Datadog, New Relic, ...)
- Autentifikácia (Okta, Auth0, ...)
- Spracovanie údajov (anonym.legal, Deidentifier, ...)
2. Bezpečnosť prieskum
Skontrolujte pre každého dodávateľa:
- Má ISO 27001?
- Má SOC 2 Type II?
- Sú údaje šifrované na linke a v pokoji?
- Sú údaje uložené v EU (pokiaľ je potrebné pre GDPR)?
- Má penetračné testy?
- Má bezpečnostný incident response?
3. Zmluva
Veždujte s dodávateľom, aby podpísal:
- DPA (Data Processing Agreement) — pokiaľ spracováva osobné údaje
- SLA bezpečnosti — s konkrétnymi požiadavkami
- Právo na audit — aby ste mohli skontrolovať ich bezpečnosť
4. Nepretržité monitorovanie
Neskončite s jedným auditon. Монityorujte dodávateľov:
- Požiadajte ročné audit reporty
- Sledujte ich incidenty (zverejňujú v Hacker News)
- Buďte súčasťou ich security advisory programu