Az alapkövetelmények meghatározásával magasabbra tennék a lécet a termékek és szolgáltatások általános biztonságában, miközben leegyszerűsítenék a szállítókra vonatkozó ellenőrzési folyamatokat is.

Az Opus and Ponemon Institute egyik tanulmánya már három évvel ezelőtt azt állapította meg, hogy a vállalatok 59 százaléka tapasztalt olyan adatszivárgást, amelyikre nem közvetlenül a saját hiányosságai miatt, hanem valamelyik szállító vagy harmadik fél hibájából kerülhetett sor. A Google biztonsági blogján a társaság illetékes alelnöke ezt a felmérést is idézi, amikor megállapítja, hogy az informatikai műveletek kiszervezése népszerű üzleti stratégiává vált ugyan, mert megtakarításokkal és a működési hatékonyság növekedésével járhat, de ugyanilyen jelentős biztonsági kockázatokat jelent.

Miután az ilyen szállítók szükségszerűen hozzáférnek a kritikus rendszerekhez és az ügyféladatokhoz, az ő biztonsági státuszuk is ugyanolyan fontos tényező, mint a megrendelő állapota. A különböző méretű szervezetnek ezért meg kell tervezniük és implementálniuk kell azokat az alapvető biztonsági követelményeket a szolgáltatók oldalán is, amelyek megfelelnek kockázati helyzetüknek, ez azonban mindkét fél számára lehetetlen feladatot jelent, ha több ezer különböző kritériumnak próbálnak eleget tenni.

A probléma megoldását a Google egy olyan iparági összefogásban látja, amelynek keretei között szállítósemleges biztonsági alapkövetelményeket határoznak meg. A most bejelentett Minimum Viable Secure Product (MVSP) minősítés célja éppen az lenne, hogy csökkentsék általa mind a többletköltségeket, mind pedig a beszerzési, ajánlatkérési és szállítói biztonsági értékelési folyamatok bonyolultságát vagy átláthatatlanságát. Az MVSP így mindkét oldalt támogatja, és hetekkel vagy akár hónapokkal is lerövidítheti a bevezetési és értékesítési ciklusokat.

Alakul az ellenőrzőlista

A követelményrendszert különböző iparági szereplők közösen fejlesztik és támogatják, ebben a Google mellett már részt vesz a Salesforce, az Okta, a Slack és más társaságok. Célunk, hogy az egész iparágban növeljük a biztonsági minimumot, miközben egyszerűsítjük az átvilágítási folyamatot. Az MVSP-t tulajdonképpen egy olyan együttműködési alapnak szánják, amelyik minimális biztonsági követelményekkel szolgál a B2B szoftver- és üzletifolyamat-kiszervezéssel foglalkozó beszállítóknak, garanciát nyújtva legalább az észszerű biztonsági kontroll kialakítására.

Az MVSP a bejelentés szerint egy alapszintű ellenőrzőlista formájában jelenik meg, amelyet az egyes megoldások biztonsági helyzetének felülvizsgálatára lehet használni. Az ezzel foglalkozó csapatok a legelső körben az MVSP-hez mérhetik hozzá a szállítói ajánlatokat és saját szervezetük biztonságát, a beszerzési vonalon információkat gyűjtenek a szállítók szolgáltatásairól, a jogi részlegek erre hivatkozva tárgyalhatnak a szerződésekben foglalt ellenőrzési lehetőségekről, és a megfelelőségi törekvésekben is alapot jelenthet a széles körben elfogadott és alkalmazott követelményrendszer.

A Google és a Salesforce közleményei szerint az MSVP listája egyszerű kérdéseket tartalmaz arra vonatkozóan, hogy a szállító végez-e éves rendszerességgel átfogó penetrációs tesztelést a rendszerein, megfelel-e a helyi törvényeknek és előírásoknak, például az európai GDPR-nak, megvalósította-e az egyszeri bejelentkezést (SSO) modern és szabványos protokollok használatával, vagy milyen gyakran alkalmaz biztonsági javításokat. A válaszokból az is kiderül, hogy a szállító vezet-e listát azokról az érzékeny adattípusokról, amelyeket az alkalmazásainak fel kell dolgoznia, és rendelkezik-e naprakész adatfolyam-diagrammal (DFD) az érzékeny adatok útjáról. Az MVSP emellett kitér a létesítmények fizikai biztonságára is oylan szempontok mentén, mint hogy a szállító rendelkezik-e több szinten ellenőrzött biztonsági övezetekkel, vagy naplózza-e a belépéseket és a kilépéseket az objektumokban.

Az MVSP-kezdeményezésben résztvevő iparági szereplők a közösségi visszajelzéseket és az olyan szervezetek megkeresését is várják, amelyek avlamilyen módon hozzá akarnak járulni a követelményrendszer kialakításához. A részletekkel kapcsolatban a cégek erre a GitHub-os könyvtárra irányítják az érdeklődőket.

Biztonság

Küszöbön a fiatalok online jelenlétének EU-s korlátozása

A témában készült szakértői jelentés kapcsán az Európai Bizottság elnöke szükségesen bevezetendő korlátozásokról beszélt, amelyek jogszabályokba foglalása szeptemberben kezdődhet meg.
 
Előrelátó tervezés és meghatározott menetrend segíti az incidensek minél gyorsabb elhárítását. Ehhez azonban sok feladatot és felelősséget kell tisztázni – még jóval azelőtt, hogy bekövetkezik a baj.

a melléklet támogatója a ONE Solutions

Egy kormányrendelet alapjaiban formálják át 2026-tól az állami intézmények és vállalatok szoftvergazdálkodási gyakorlatát.

Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?

A Corvinus Egyetem és a Complexity Science Hub kutatói megmérték: a Python kódok közel harmadát ma már mesterséges intelligencia írja, és ebből a szenior fejlesztők profitálnak.

Rengeteg ország áll át helyi MI-platformra

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2026 Bitport.hu Média Kft. Minden jog fenntartva.