Анкетна проблема
CISO крупного страховика отримує нового SaaS-постачальника через стандартний процес закупівель. Анкета безпеки містить 127 питань. 18 з них стосуються шифрування та захисту даних.
Питання 47: «Чи мають співробітники постачальника технічний доступ до даних клієнтів?» Питання 83: «Чи може постачальник відповідати на судові запити або державні ордери, що розкривають дані клієнтів?» Питання 94: «Яку методологію шифрування ви використовуєте і хто контролює ключі шифрування?»
Для більшості SaaS-постачальників ці питання вимагають нюансованих відповідей, юридичного огляду та потенційно домовленостей про контракт.
Відповіді нульових знань
Для постачальника з нульовими знаннями:
Питання 47: «Ні — ключі шифрування генеруються та зберігаються на пристроях клієнтів. Ми технічно не маємо доступу до розшифрованих даних.»
Питання 83: «Ми не можемо відповідати на ордери, що вимагають даних клієнтів у розшифрованому вигляді — ми технічно не маємо їх. Ми могли б надати зашифровані блоби, але без клієнтських ключів вони марні.»
Питання 94: «AES-256-GCM для шифрування даних. Ключі шифрування похідні від клієнтських паролів через PBKDF2-SHA256 (600 000 ітерацій) і ніколи не передаються нам. Клієнти контролюють усі ключі.»
Вплив на цикл продажів
Dellemann Research виявив, що постачальники з документованою архітектурою нульових знань:
- Скорочують час анкети безпеки на 52%
- Скорочують час переговорів з юридичними командами на 67%
- Мають 38% вищий відсоток успішності на кваліфікованих корпоративних угодах
Для покупців
При оцінці будь-якого SaaS з конфіденційними даними:
- Запитайте точне технічне пояснення генерації та зберігання ключів
- Вимагайте архітектурної документації, не просто заяв
- Протестуйте: якщо постачальник може скинути ваш пароль — це не нульові знання
Джерела: