Az alvállalkozó megfelelése, avagy a megrendelő ellenőrzi információbiztonsági szintjét!

forrás: Prím Online, 2019. november 5. 09:20

Elmesélek egy ügyféltörténetet – kezdett hozzá Sándor Zsolt András a Gill & Murry adatvédelmi partnere – A szerződéskötés előtt ügyfelünk azzal keresett meg minket, hogy a „Nagy Multi” nagyon akarja a szolgálásukat (már nem is annyira kicsi startup cégről van szó – de előtte jelezték, hogy információbiztonsági elvárásaik lesznek.)

Jött is az egyébként amerikai tulajdonú cégtől a kérdőív. A kérdőív tartalma IT információbiztonsági és GDPR elemeket tartalmazott. Volt benne kérdés a munkaerő felvétel előtti átvizsgálásra, a hozzáférések kiosztására, nyilvántartására és visszavételére. Komoly rész foglalkozott a hálózati biztonsággal, a szegmentációval, a DMZ alkalmazásával. Kitért a saját tulajdonú eszköz használatára, a vírusvédelemre és a tűzfal használatára.

 

Hiába amerikai a cég, de európai leányvállalatának is meg kell felelnie a GDPR elvárásainak, ennek megfelelően megkérdezték, hogy képes-e a cég 72 órán belül jelenteni az incidenst. Szerintem ez nem jó kérdés, hiszen az Adatfeldolgozónak azonnal kéne jelenteni az incidenst az Adatkezelő felé. – tette hozzá Sándor Zsolt András a Gill & Murry adatvédelmi partnere – Az egész kérdőívet nyilatkozatként kell benyújtani, csatolni kell hozzá incidens kezelési tervet és további dokumentumokat.

 

Talán a legérdekesebb, hogy arról is nyilatkozni kellett, hogy nem használ a cég kiemelkedően nagy kockázatú technológiákat, mint a Huawei, ZTE stb...

 

Összességében azt lehet mondani, hogy az információbiztonság kezd felértékelődni és az alávállalkozókat kezdik szorongatni a nagy cégek, mind GDPR, mind pedig információbiztonsági szempontból. Az információbiztonság felértékelődése egy teljesen érhető folyamat, hiszen az Adatkezelők lesznek a felelősek egy incidens miatt még akkor is, ha az alvállalkozójuk követi el a hibát.