Оновлено для 2026 року
Перевірки безпеки гальмують корпоративні продажі
Корпоративні угоди розвиваються за чіткою схемою. Постачальник із сильними функціями витрачає місяці — або втрачає угоду повністю — на перевірку безпеки постачальника. Цей процес існує не без причини. Корпоративні команди несуть відповідальність за кожен інструмент, що торкається їхніх записів. Регульовані галузі мають суворі правила щодо постачальників.
Охоронці здоров'я повинні відстежувати, як постачальники обробляють PHI. Фінансові компанії мають демонструвати засоби захисту регуляторам. Юридичні команди повинні захищати клієнтські файли. Перевірка є виправданою. Але для постачальників без архітектури zero-knowledge вона перетворюється на тривалий бар'єр, який рідко долається швидко.
Питання, що блокують або прискорюють угоди
Корпоративні анкети безпеки містять від 100 до 200+ питань. На більшість із них будь-який компетентний постачальник має тверді відповіді. Плани оновлення, навчання персоналу, реагування на інциденти — тут потрібна лише хороша документація.
Небагато питань створюють справжнє тертя для хмарних постачальників без zero-knowledge дизайну. Саме ці питання вирішують долю угод.
«Чи можуть ваші співробітники бачити дані клієнтів?»
Для постачальників із шифруванням на стороні сервера: так, у деяких випадках. Персонал служби підтримки може переглядати записи для вирішення проблем. Судові рішення можуть примусити розкрити дані. Така відповідь викликає додатний контроль. Часто вимагає перегляду командою з управління ризиками.
Для zero-knowledge постачальників: ні. Персонал не може читати відкриті записи ні за яких обставин. Конструкція робить дешифрування неможливим без ключа клієнта. Така відповідь закриває питання. Вона просуває перевірку вперед.
«Що розкриває повний витік даних?»
Для постачальників із шифруванням на стороні сервера: зашифровані дані, можливо разом із матеріалом ключів. Перевіряючі задають додаткові питання. Відповідь не є чистою.
Для zero-knowledge постачальників: шифртекст AES-256-GCM, без ключів. Повний витік сервера не розкриває нічого придатного для використання.
«Чи можете ви передати відкриті дані за судовою повісткою?»
Для постачальників із шифруванням на стороні сервера: так, в рамках судового процесу. Це пряма проблема для компаній із чутливими записами.
Для zero-knowledge постачальників: ми можемо надати лише шифртекст. Ми не маємо ключів. Жодне судове рішення не може змусити нас передати те, чого у нас немає.
Дивіться документи щодо правової відповідності і сторінку захисту для повних деталей.
Деталь параметрів Argon2id
Перевірки в регульованих галузях вимагають точних параметрів криптографії. Метод виведення ключів, кількість ітерацій і вартість пам'яті — все це типові питання в охороні здоров'я, фінансах і урядових угодах. Кожна відсутня деталь уповільнює процес.
Argon2id із 200 000 ітерацій — це в 4 рази більше мінімуму OWASP для виведення ключів на основі паролів. Конкретні відповіді прискорюють перевірки. Розмиті відповіді — «ми використовуємо стандартне шифрування» — провокують запити додаткових документів і гальмують угоду.
ISO 27001 і перевага сертифікації
Відповідність ISO 27001 вирішує іншу категорію тертя при перевірках. 100+ засобів контролю в ISO 27001:2022 Додаток А покривають питання організаційного рівня у більшості перевірок постачальників. Контроль доступу, управління ключами, фізичні засоби захисту, обробка інцидентів.
Компанії, які вимагають ISO 27001, можуть пропустити тестування окремих засобів контролю. Сертифікація є доказом. Вона свідчить, що засоби контролю існують і були перевірені третьою стороною. У корпоративних закупівлях це перетворює шестимісячну перевірку на три-шестижневу перевірку.
Zero-knowledge дизайн плюс відповідність ISO 27001 — потужний пакет для закупівель. Найскладніші питання щодо захисту отримують чіткі відповіді. Організаційні засоби контролю задокументовані. Для угод щодо інструментів конфіденційності на регульованих ринках ця пара забезпечує швидші схвалення. Постачальники, яким доводиться будувати свій кейс з нуля у кожній перевірці, стикаються з довшим очікуванням і більшими втратами угод.
Логіка вибору для корпоративних покупців
Для корпоративних покупців перевірка постачальника — це не бюрократія. Це справжнє управління ризиками.
Питання спрямовані на постачальників, чия позиція щодо захисту піддає покупця правовому ризику.
Для постачальників на регульованих ринках перевірка є і центром витрат, і сигналом якості одночасно.
Постачальники, які чисто відповідають на найскладніші питання, мають менше тривалих циклів продажів.
Ті, хто зазнає труднощів із управлінням ключами, стикаються з довшими перевірками та більшими втратами угод.
Перевага захисту zero-knowledge дизайну є вимірюваною.
Питання, що відфільтровують постачальників із ключами на стороні сервера, — це ті самі питання, на які zero-knowledge постачальники відповідають чисто при першому поданні документів.
Це не маркетингова заява. Це реальний, вимірюваний результат закупівлі з паперовим слідом.
Дізнайтеся більше в центрі часто задаваних питань і дослідіть, як працює деідентифікація сутностей від початку до кінця.