Az alvállalkozó megfelelése, avagy a megrendelő ellenőrzi információbiztonsági szintjét!

forrás: Prím Online, 2019. november 5. 09:20

Elmesélek egy ügyféltörténetet – kezdett hozzá Sándor Zsolt András a Gill & Murry adatvédelmi partnere – A szerződéskötés előtt ügyfelünk azzal keresett meg minket, hogy a „Nagy Multi” nagyon akarja a szolgálásukat (már nem is annyira kicsi startup cégről van szó – de előtte jelezték, hogy információbiztonsági elvárásaik lesznek.)

Jött is az egyébként amerikai tulajdonú cégtől a kérdőív. A kérdőív tartalma IT információbiztonsági és GDPR elemeket tartalmazott. Volt benne kérdés a munkaerő felvétel előtti átvizsgálásra, a hozzáférések kiosztására, nyilvántartására és visszavételére. Komoly rész foglalkozott a hálózati biztonsággal, a szegmentációval, a DMZ alkalmazásával. Kitért a saját tulajdonú eszköz használatára, a vírusvédelemre és a tűzfal használatára.

 

Hiába amerikai a cég, de európai leányvállalatának is meg kell felelnie a GDPR elvárásainak, ennek megfelelően megkérdezték, hogy képes-e a cég 72 órán belül jelenteni az incidenst. Szerintem ez nem jó kérdés, hiszen az Adatfeldolgozónak azonnal kéne jelenteni az incidenst az Adatkezelő felé. – tette hozzá Sándor Zsolt András a Gill & Murry adatvédelmi partnere – Az egész kérdőívet nyilatkozatként kell benyújtani, csatolni kell hozzá incidens kezelési tervet és további dokumentumokat.

 

Talán a legérdekesebb, hogy arról is nyilatkozni kellett, hogy nem használ a cég kiemelkedően nagy kockázatú technológiákat, mint a Huawei, ZTE stb...

 

Összességében azt lehet mondani, hogy az információbiztonság kezd felértékelődni és az alávállalkozókat kezdik szorongatni a nagy cégek, mind GDPR, mind pedig információbiztonsági szempontból. Az információbiztonság felértékelődése egy teljesen érhető folyamat, hiszen az Adatkezelők lesznek a felelősek egy incidens miatt még akkor is, ha az alvállalkozójuk követi el a hibát.

Biztonság ROVAT TOVÁBBI HÍREI

Ingyenes eszközt fejlesztett az ESET a BlueKeep sebezhetőség ellenőrzésére

Az ESET nemrég kiadott egy ingyenes BlueKeep (CVE-2019-0708) eszközt annak ellenőrzésére, hogy a Windows operációs rendszert futtató számítógép védett-e a sérülékenység kihasználása ellen. A brute-force támadások és a BlueKeep a közvetlen Remote Desktop Protocol (RDP) kapcsolatokat használják, és lehetővé teszik a támadók számára, hogy különféle rosszindulatú tevékenységeket hajtsanak végre az áldozat szervereinek felhasználásával.

2020. január 24. 09:37

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Életet menthet az ÉletMentő applikáció

2020. január 23. 14:20

Így válthatja le személyi igazolványunkat, útlevelünket egy okostelefon

2020. január 16. 14:39

Újra fesztiváloznak a marketingesek

2020. január 9. 08:01

Digitális biztonsági trendek 2020-ban a Sophos szerint

2020. január 3. 11:44
online sportfogadás