Felhőalapú adattovábbítási hatásvizsgálatok 2026-ban

Maria, az InnovatePay CISO-ja, a kellő gondossági kérdőív 12. oldalát nézte.

Vállalata, egy gyorsan növekvő európai FinTech SaaS szolgáltató, közel állt ahhoz, hogy leszerződjön eddigi legnagyobb ügyfelével, egy szigorú operatív rezilienciaelvárásokat támasztó nagybankkal. A kérdőív nem csupán ISO 27001 tanúsítványt, penetrációs tesztelési összefoglalót vagy biztonsági szabályzatcsomagot kért. Teljes adattovábbítási hatásvizsgálatot kért az InnovatePay elsődleges, egyesült államokbeli felhőszolgáltatójára, al-adatfeldolgozói bontást, az alkalmazandó általános szerződési feltételeket, a földrajzi adattovábbítási nyilatkozatot, valamint annak igazolását, hogy a kiegészítő intézkedések hozzá vannak rendelve az ISO/IEC 27001:2022, a NIS2 és a DORA követelményeihez.

A jogi területnél megvolt az adatfeldolgozási megállapodás. A beszerzésnél a beszállítói portál. A mérnökségnél a felhőrégió-beállítások. A biztonsági csapatnál a titkosítási ábrák. Az ügyfélsiker-csapat egy értékesítési híváson „EU-s tárhelyet” ígért. Senki sem tudta azonnal igazolni, hogy az Indiából történő támogatási hozzáférés hatályba tartozik-e, hogy az analitikai bővítmény használ-e egyesült államokbeli al-adatfeldolgozót, vagy hogy a hibanaplók replikálódnak-e egy globális megfigyelési szolgáltatón keresztül.

Ez a 2026-os valóság a SaaS vállalatok, felhőszolgáltatók, FinTech beszállítók és menedzselt IKT-szolgáltatók számára. A Transfer Impact Assessment, vagyis az adattovábbítási hatásvizsgálat (TIA) már nem a beszerzés végén elkészített adatvédelmi feljegyzés. Több megfelelési területet lefedő bizonyítékcsomag, amelynek meg kell magyaráznia, hová kerülnek a személyes adatok, ki férhet hozzájuk, milyen jogi adattovábbítási mechanizmus alkalmazandó, mely kiegészítő intézkedések csökkentik a kockázatot, és a szervezet hogyan követi nyomon az adattovábbítást az idő előrehaladtával.

Sok csapatnál nem az erőfeszítés hiánya a probléma, hanem a széttagoltság. Az SCC-k egy szerződéstárban vannak. Az al-adatfeldolgozói listák beszállítói portálokon élnek. Az adattárolás földrajzi helyére vonatkozó beállítások a felhőkonzolban találhatók. A kockázati döntések e-mailekben vannak eltemetve. A titkosítási bizonyítékok Confluence-ben vannak. Egy erős felhőalapú adattovábbítási hatásvizsgálat ezeket a töredékeket egyetlen igazolható bizonyítéklánccá kapcsolja össze.

Miért váltak a felhőalapú TIA-k igazgatósági szintű kockázati kérdéssé

Az adattovábbítási hatásvizsgálat azt értékeli, hogy az Európai Gazdasági Térségen kívülre továbbított személyes adatok a gyakorlatban is védelem alatt maradnak-e. Az értékelésnek azonosítania kell az adatokat, a feleket, az adatkezelési célokat, a tárolási helyeket, a hozzáférési helyeket, a további adattovábbításokat, a jogi adattovábbítási mechanizmust, a fogadó ország kockázatait és a kiegészítő intézkedéseket.

A GDPR alapján a kiindulópont széles. A személyes adatok, az adatkezelés, az adatkezelő, az adatfeldolgozó, az álnevesítés és a személyesadat-sértés fogalma tág. A felhőalapú telemetria, a támogatási jegyek, a hitelesítési naplók, a számlázási nyilvántartások, a felhasználói azonosítók, az IP-címek és a termékanalitika mind hatályba tartozhatnak. A GDPR Article 5 szerinti elszámoltathatóság megköveteli a szervezetektől a megfelelés igazolását, míg az Article 28 adatfeldolgozói kötelezettségei és a Chapter V nemzetközi adattovábbítási szabályai attól függenek, hogy pontosan ismert-e, milyen adat mozog, hová mozog, és ki férhet hozzá.

A Schrems II ítélet egyértelműbbé tette a gyakorlati terhet. Az SCC-k aláírása önmagában nem elegendő. A szervezeteknek mérlegelniük kell, hogy a célország jogszabályai és gyakorlatai alááshatják-e a szerződésben vállalt védelmet, majd szükség esetén kiegészítő intézkedéseket kell alkalmazniuk.

Felhőalapú üzleti környezetben ez gyorsan bonyolulttá válik. Egy SaaS termék használhat infrastruktúraszolgáltatót, külön támogatási platformot, e-mail szolgáltatást, hibafigyelő eszközt, CDN-t, adattárházat és AI-analitikai funkciót. Minden szolgáltatónak lehetnek al-adatfeldolgozói. Minden al-adatfeldolgozó új tárolási helyet, hozzáférési helyet, üzemeltetési támogatási útvonalat vagy további adattovábbítást vezethet be.

Ezért vált az ISO/IEC 27001:2022, a NIS2, a DORA és a NIST CSF 2.0 a TIA-ról szóló párbeszéd részévé:

• A GDPR azt vizsgálja, hogy létezik-e jogszerű adattovábbítási mechanizmus, megfelelő adatfeldolgozói feltételrendszer, al-adatfeldolgozói kontroll és hatékony kiegészítő intézkedés.
• Az ISO/IEC 27001:2022 azt vizsgálja, hogy az adattovábbítási kockázat azonosított, kezelt, kontrollált, felügyelt és szerepel-e az alkalmazhatósági nyilatkozatban.
• A NIS2 azt vizsgálja, hogy az alapvető és fontos szervezetek vezetői felügyelet mellett kezelik-e a beszállítói és szolgáltatói kiberbiztonsági kockázatot.
• A DORA azt várja el a pénzügyi szervezetektől, hogy igazolják a harmadik félhez kapcsolódó IKT-kockázatok irányítását, a szerződéses záradékokat, az alvállalkozói átláthatóságot, a helyszínek átláthatóságát, a koncentrációs kockázatot és a kilépésre való felkészültséget.
• A NIST CSF 2.0 segít ezeket a követelményeket irányítási, beszállítói kockázati, védelmi, reagálási és helyreállítási eredményekké lefordítani.

A gyakorlati következtetés egyszerű: a TIA-nak az IBIR-en belül kell működnie, nem azon kívül.

Az IBIR használata megfelelési központként

A TIA-k, a GDPR, a DORA és a NIS2 külön táblázatokban történő kezelése duplikált munkát és audithiányosságokat eredményez. Skálázhatóbb megközelítés az ISO/IEC 27001:2022 irányítási rendszerként való használata, amely összekapcsolja a kötelezettségeket, kockázatokat, kontrollokat és bizonyítékokat.

Az ISO/IEC 27001:2022 megköveteli a szervezetektől a kontextusuk, az érdekelt felek követelményei, valamint a más szervezetekkel fennálló kapcsolódási pontok és függőségek megértését. Ismételhető információbiztonsági kockázatértékelést, kockázatkezelési folyamatot, alkalmazhatósági nyilatkozatot, valamint bizonyítékot is előír arra, hogy a kiválasztott kontrollok a tervezett módon működnek.

Ez a struktúra tökéletesen illeszkedik a TIA-hoz. Az a kockázat, hogy „EU-s személyes adatok hatékony védelmi intézkedések nélkül hozzáférhetők lehetnek harmadik országból felhőszolgáltatón vagy al-adatfeldolgozón keresztül”, a kockázati nyilvántartásba tartozik. A kezelés a kockázatkezelési tervbe tartozik. A kiválasztott kontrollok a SoA-ba tartoznak. A támogató artefaktumok egy bizonyítékindexbe tartoznak.

A Clarysec Zenith Blueprint: auditoroknak szóló 30 lépéses ütemterv a kockázatkezelési szakasz 13. lépésében rögzíti ezt az összefüggést:

A SoA gyakorlatilag összekötő dokumentum: összekapcsolja a kockázatértékelést/kockázatkezelést a ténylegesen alkalmazott kontrollokkal. Kitöltésével azt is ellenőrzi, hogy kimaradt-e bármely kontroll.

Ez a mondat központi jelentőségű a TIA-ra való felkészültség szempontjából. A TIA nem maga a kontroll. A TIA az az értékelés, amely megmagyarázza, miért van szükség kontrollokra, és azok hogyan csökkentik a fennmaradó adattovábbítási kockázatot. A SoA az a híd, amely a kockázatot a felhőirányításhoz, a beszállítói szerződésekhez, a kriptográfiához, a hozzáférés-szabályozáshoz, a naplózáshoz és felügyelethez, az incidenskezeléshez, a folytonossághoz és a jogszabályi megfeleléshez köti.

Az SCC helyett az adattovábbítási térképpel kezdjen

Sok szervezet a TIA-t azzal kezdi, hogy a szerződés tartalmaz-e SCC-ket. Ez szükséges, de nem ez az első kérdés. Az SCC-k csak akkor értelmezhetők, ha a szervezet tudja, mely adattovábbításokra terjednek ki.

Egy gyakorlati felhőalapú TIA öt kérdéssel indul.

A Clarysec KKV-knak szóló Cloud Usage Policy-sme ezt egy nyilvántartás előírásával teszi működőképessé:

Az IT-szolgáltatónak vagy az ügyvezetőnek Felhőszolgáltatási Nyilvántartást kell vezetnie. Annak tartalmaznia kell:

A „Irányítási követelmények” szakasz 5.3 szabályzati pontjából.

Ugyanez a pontcsalád tartalmaz egy helyszínre vonatkozó követelményt is, amely elengedhetetlen a TIA-khoz:

Az ország vagy régió, ahol az adatokat tárolják

A „Irányítási követelmények” szakasz 5.3.4 szabályzati pontjából.

Nagyobb környezetek esetén a Clarysec Felhőszolgáltatások használatára vonatkozó szabályzat kifejezetten összekapcsolja a felhőirányítást az adattovábbítási mechanizmusokkal:

Ahol alkalmazandó, felül kell vizsgálni a GDPR szerinti általános szerződési feltételeket (SCC-k) és adattovábbítási mechanizmusokat.

A „Szerepkörök és felelősségek” szakasz 4.5.2 szabályzati pontjából.

Ugyanez a szabályzat hozzáadja a több szabályozási területet érintő követelményt:

A határokon átnyúló adattovábbításoknak meg kell felelniük a GDPR Chapter V előírásainak, valamint ahol alkalmazandó, a DORA Article 28 követelményeinek.

A „A szabályzat végrehajtásának követelményei” szakasz 6.6.3 szabályzati pontjából.

Ez megváltoztatja a TIA-ról szóló beszélgetést. A kérdés nem az, hogy „vannak-e SCC-k?”. A kérdés az, hogy „melyik felhőszolgáltatás, mely személyes adatok, melyik ország, mely hozzáférési út, mely al-adatfeldolgozó, mely adattovábbítási mechanizmus, mely kiegészítő intézkedések és mekkora maradványkockázat?”.

Felhőalapú TIA-k hozzárendelése ISO/IEC 27001:2022 bizonyítékokhoz

Az ISO/IEC 27001:2022 biztosítja annak struktúráját, hogy a TIA egy működő kontrollkörnyezet részeként igazolható legyen. A legfontosabb bizonyítékterületek a beszállítói irányítás, a felhőirányítás, a jogi kötelezettségek, az adatvédelem, a kriptográfia, a hozzáférés-szabályozás, a felügyelet, az incidenskezelés és a folytonosság.

A Clarysec Zenith Controls: útmutató több megfelelési keretrendszerhez itt különösen hasznos. A Zenith Controls az ISO/IEC 27002:2022 5.23 kontrollját, a felhőszolgáltatások használatára vonatkozó információbiztonságot megelőző kontrollként kezeli, amely támogatja a bizalmasságot, a sértetlenséget és a rendelkezésre állást az irányítási, ökoszisztéma- és védelmi területeken. A felhőhasználatot összekapcsolja a beszállítói kapcsolatokkal, a végpontbiztonsággal, a hálózatbiztonsággal, az információtovábbítással, az adatmaszkolással, az adatszivárgás-megelőzéssel, az eszköznyilvántartással és a biztonságos fejlesztési életciklussal.

Ez a megfeleltetés azért fontos, mert a TIA-t ritkán oldja meg egyetlen jogi záradék. Gyakran érint felhőadminisztrátori hozzáférést, régiók között adatot mozgató alkalmazásprogramozási interfészeket, támogatási konzolokat, naplókat, tároló bucketeket, megfigyelési platformokat és biztonsági mentési helyeket.

A Zenith Controls az 5.23 kontrollt kapcsolódó szabványokhoz is hozzárendeli, többek között az ISO/IEC 27017 felhőre vonatkozó megosztott felelősségi és auditnyom-követelményeihez, az ISO/IEC 27018 nyilvános felhőben kezelt PII-védelemhez, az ISO/IEC 27701 adatvédelmi kiterjesztési követelményeihez, az ISO/IEC 27036-4 felhőszolgáltatás-felügyeleti követelményeihez és az ISO/IEC 27005 felhőkockázat-értékeléshez.

A beszállítói szerződések esetében a Zenith Controls az ISO/IEC 27002:2022 5.20 kontrollját, az információbiztonság beszállítói megállapodásokban történő kezelését fedi le. Ez a kontroll az adattovábbítási követelményeket kikényszeríthető kötelezettségvállalásokká alakítja. A GDPR Article 28 szerinti adatfeldolgozói feltételek, az al-adatfeldolgozói kontrollok, a NIS2 ellátási láncra vonatkozó elvárásai és a DORA Article 30 szerződéses rendelkezései mind szerződéses bizonyítékokká válnak.

A folyamatos felügyelethez az ISO/IEC 27002:2022 5.22 kontrollja, a beszállítói szolgáltatások megfigyelése, felülvizsgálata és változáskezelése a kulcs. A beléptetés során elkészített TIA elavulhat, ha a szolgáltató al-adatfeldolgozót ad hozzá, támogatási helyszíneket módosít, megváltoztatja a naplózási architektúrát vagy új funkciót vezet be.

Az al-adatfeldolgozói gyenge pont kezelése

A leggyakoribb TIA-hiba nem az SCC-k hiánya, hanem az elavult al-adatfeldolgozói ismeret.

A felhőszolgáltatók és SaaS platformok gyakran módosítják szolgáltatási régióikat, támogatási modelljeiket, telemetriai adatfolyamaikat, CDN-jeiket és alvállalkozóikat. Ha a TIA egyetlen, beszerzéskor letöltött al-adatfeldolgozói listára épül, gyorsan megbízhatatlanná válik.

A Clarysec Harmadik fél és beszállítói biztonsági szabályzata ezt szerződéses követelménnyel kezeli:

Az alvállalkozók igénybevétele előzetes írásbeli hozzájáruláshoz kötött

A „Irányítási követelmények” szakasz 5.3.5 szabályzati pontjából.

A Clarysec Jogi és szabályozói megfelelési szabályzata azonosítja a fenntartandó jogi bizonyítékokat:

Al-adatfeldolgozói közzétételek és földrajzi adattovábbítási nyilatkozatok

A „A szabályzat végrehajtásának követelményei” szakasz 6.3.1.2 szabályzati pontjából.

Ez a követelmény rövid, de gyakran ez választja el a hiteles TIA-t a hiányostól. Ha egy szervezet nem tud al-adatfeldolgozói közzétételeket és földrajzi adattovábbítási nyilatkozatokat bemutatni, nem tudja megbízhatóan megmagyarázni a további adattovábbításokat.

A Zenith Blueprint a „Kontrollok működésben” szakasz 23. lépésében hozzáadja az operatív elvárást:

Minden kritikus beszállító esetében azonosítsa, hogy használnak-e olyan alvállalkozókat (al-adatfeldolgozókat), akik hozzáférhetnek az Ön adataihoz vagy rendszereihez. Dokumentálja, hogyan örökítik tovább az Ön információbiztonsági követelményeit ezekre a felekre, akár a beszállító szerződéses feltételein, akár az Ön közvetlen záradékain keresztül.

A gyakorlatban ez azt jelenti, hogy a magas kockázatú beszállítóknál éves al-adatfeldolgozói felülvizsgálatot, változásértesítési folyamatot, dokumentált jóváhagyási munkafolyamatot és kockázati újraértékelési kiváltó mechanizmust kell alkalmazni. A DORA szempontjából releváns szolgáltatásoknál ugyanaz a bizonyítékanyag az alvállalkozásba adási és koncentrációs kockázatelemzést is támogatja.

Tegye a kiegészítő intézkedéseket konkréttá és igazolhatóvá

A kiegészítő intézkedéseket soha nem szabad részletek nélkül úgy dokumentálni, hogy „titkosítást használunk”. Az auditorok és vállalati ügyfelek meg fogják kérdezni, mi van titkosítva, hol alkalmazzák a titkosítást, ki kezeli a kulcsokat, hozzáférhet-e a szolgáltató személyzete az olvasható szöveghez, tartalmaznak-e a naplók személyes adatokat, és hogyan hagyják jóvá az emelt jogosultságú hozzáférést.

Egy erős kiegészítőintézkedés-csomag technikai, szerződéses, szervezeti és rezilienciára vonatkozó védelmi intézkedéseket kombinál.

A Clarysec Cryptographic Controls Policy-sme adja a hivatkozási alapot:

Titkosítást kell alkalmazni az alábbiakra:

A „A szabályzat végrehajtásának követelményei” szakasz 6.1.1 szabályzati pontjából.

TIA esetén ennek a szabályzati kijelentésnek kifejezett bizonyítékká kell válnia. Le kell írni a titkosítást az EU-s rendszerek és harmadik országbeli felhőszolgáltatások között továbbított személyes adatokra, a felhőalapú tárolásban tárolt adatokra és a biztonsági mentésekre vonatkozóan. A kulcstulajdonlást meg kell határozni. Ha ügyfél által kezelt kulcsokat használnak, a TIA-nak meg kell magyaráznia, hogy a szolgáltató hozzáférhet-e az olvasható szöveghez, mikor engedélyezett a támogatási hozzáférés, és hogyan naplózzák az adminisztrátori hozzáférést.

A Clarysec Third-Party and Supplier Security Policy-sme megerősíti a helyszínre vonatkozó bizonyosságot:

Amennyiben a beszállítóknak telephelyen kívül kell adatokat tárolniuk, a vállalatnak bizonyosságot kell szereznie az adatvédelemről, a fizikai biztonságról és a földrajzi tárolási helyről (pl. csak EU-s tárhely, ahol ezt a GDPR megköveteli).

A „A szabályzat végrehajtásának követelményei” szakasz 6.2.4 szabályzati pontjából.

Ugyanez a KKV-szabályzat a szerződéses teljességet is támogatja:

A szerződéseknek kötelező záradékokat kell tartalmazniuk az alábbiakra vonatkozóan:

A „Irányítási követelmények” szakasz 5.3 szabályzati pontjából.

TIA-k esetén ezeknek a kötelező záradékoknak ki kell terjedniük a bizalmasságra, a biztonsági intézkedésekre, az incidensbejelentésre, az al-adatfeldolgozókra, az auditálási jogokra, az adatok visszaadására, törlésére, az adattovábbítási mechanizmusokra és a helyszíni vállalásokra.

Auditképes TIA-bizonyítékcsomag kialakítása

Tegyük fel, hogy egy európai B2B SaaS szolgáltató egyesült államokbeli analitikai platformot használ. A platform ügyfélhasználati eseményeket, felhasználói azonosítókat, IP-címeket és támogatási metaadatokat vesz fel. EU-s tárhelyet és SCC-ket kínál, de az EGT-n kívüli támogatási személyzet hozzáférhet jegyekhez, és a hibanaplókat harmadik országbeli al-adatfeldolgozó dolgozhatja fel.

Gyakorlati bizonyítékcsomag hat lépésben építhető fel.

1. Hozza létre az adattovábbítási nyilvántartási bejegyzést

Kezdje a Cloud Usage Policy-sme által előírt Felhőszolgáltatási Nyilvántartással. Adja hozzá a szolgáltatásgazdát, az üzleti célt, az adatkategóriákat, az érintetteket, a szerepet, a tárhelyrégiót, a hozzáférési országokat, a támogatási helyszíneket, az al-adatfeldolgozókat, az adattovábbítási mechanizmust, a kiegészítő intézkedéseket, a kockázati besorolást és a következő felülvizsgálat dátumát.

Az analitikai platform esetében rögzítse, hogy az eseményeket az EU-ban hosztolják, támogatási hozzáférés előfordulhat az EGT-n kívül, és a hibafigyelés további adattovábbítást eredményez.

2. Csatolja a szerződéses bizonyítékokat

Csatolja a DPA-t, az SCC-ket vagy más adattovábbítási mechanizmus bizonyítékait, a biztonsági kiegészítést, az incidensbejelentési feltételeket és az al-adatfeldolgozói listát. Használja a Cloud Usage Policy 4.5.2 pontját az SCC-k és adattovábbítási mechanizmusok felülvizsgálatának igazolására. Használja a Third party and supplier security policy 5.3.5 pontját az al-adatfeldolgozói jóváhagyás vagy hozzájárulás igazolására.

Ha egy szolgáltató esetében az EU–US Data Privacy Frameworkre támaszkodik, rögzítse a hatályt, a tanúsítási állapotot, a szolgáltatáslefedettséget és a tartalék mechanizmust. Ne feltételezze, hogy minden további adattovábbításra kiterjed.

3. Hozza létre a kockázati forgatókönyvet

Adja hozzá a kockázatot az IBIR kockázati nyilvántartásához:

„Az analitikai platformon keresztül kezelt EU-s személyes adatokhoz a szolgáltatói támogatás vagy al-adatfeldolgozók harmadik országból hozzáférhetnek, ami bizalmassági, jogi és szabályozói megfelelési kockázatot eredményez.”

Rendelje hozzá a tulajdonost, a valószínűséget, a hatást, az eredendő besorolást, a kockázatkezelési tervet és a maradványbesorolást. Kapcsolja össze a GDPR Chapter V követelményeivel, az ügyfélvállalásokkal, az ISO/IEC 27001:2022 felhő- és beszállítói kontrolljaival, ahol alkalmazandó a NIS2 Article 21 követelményeivel, valamint pénzügyi szektorbeli kontextusban a DORA Articles 28, 29 és 30 követelményeivel.

A Clarysec Kockázatkezelési szabályzata meghatározza a kezelési fegyelmet:

A kockázatkezelési felelősnek biztosítania kell, hogy a kezelések reálisak, időhöz kötöttek és az ISO/IEC 27001 Annex A kontrolljaihoz rendelve legyenek.

A „A szabályzat végrehajtásának követelményei” szakasz 6.4.2 szabályzati pontjából.

4. Válassza ki a kiegészítő intézkedéseket

Az analitikai platformnál az intézkedések közé tartozhat az EU-s tárhely, a minimalizált eseményhasznos teher, az álnevesített azonosítók, a továbbítás közbeni titkosítás, a tárolás közbeni titkosítás, a korlátozott támogatási hozzáférés, az adminisztrátorok többtényezős hitelesítése, az emelt jogosultságú hozzáférés naplózása, az érzékeny mezők analitikai eseményekbe kerülését megakadályozó DLP-szabályok, az al-adatfeldolgozói értesítési kötelezettségek és az éves bizonyíték-felülvizsgálat.

Rendelje ezeket az intézkedéseket olyan ISO/IEC 27002:2022 kontrollokhoz, mint az 5.14 Információtovábbítás, 5.15 Hozzáférés-szabályozás, 5.20 Az információbiztonság kezelése a beszállítói megállapodásokban, 5.22 A beszállítói szolgáltatások megfigyelése, felülvizsgálata és változáskezelése, 5.23 Információbiztonság felhőszolgáltatások használatához, 5.31 Jogi, törvényi, szabályozói és szerződéses követelmények, 5.34 A PII adatvédelme és védelme, 8.11 Adatmaszkolás, 8.12 Adatszivárgás-megelőzés, 8.16 Megfigyelési tevékenységek és 8.24 Kriptográfia használata.

5. Határozza meg a felülvizsgálati kiváltó okokat

A TIA addig nem teljes, amíg a felülvizsgálati kiváltó okok nincsenek meghatározva. Ilyen kiváltó ok legyen az új al-adatfeldolgozó, az új hozzáférési ország, az új adatkategória, a támogatási modell változása, a biztonsági incidens, a szerződésmegújítás, az új kritikus ügyfélkövetelmény, az új DORA-besorolás vagy a felhőarchitektúra lényeges változása.

Itt válik működésivé az ISO/IEC 27002:2022 5.22 kontrollja. Vizsgálja felül a SOC-jelentéseket, ISO-tanúsítványokat, penetrációs tesztelési összefoglalókat, szolgáltatásváltozási értesítéseket, incidenselőzményeket és al-adatfeldolgozói frissítéseket. Kövesse nyomon a kivételeket a lezárásig.

6. Frissítse a SoA-t és a bizonyítékindexet

Az alkalmazhatósági nyilatkozatban jelölje alkalmazandóként a felhő-, beszállítói, jogi, adatvédelmi, kriptográfiai, hozzáférési, megfigyelési, incidens- és folytonossági kontrollokat. Adjon hozzá SoA-megjegyzéseket, például: „támogatja a GDPR Chapter V szerinti TIA-t az analitikai platformra”, „támogatja a DORA harmadik félhez kapcsolódó IKT-szerződéses bizonyítékait” vagy „támogatja a NIS2 ellátási lánc biztonsági bizonyítékait”.

Ez az utolsó indexelési lépés az adatvédelmi értékelést auditképes megfelelési bizonyítékká alakítja.

Ugyanazon bizonyítékanyag megfeleltetése a GDPR, DORA, NIS2 és ISO 27001 követelményeinek

Egy jól felépített TIA-bizonyítékcsomagnak több auditnézőpontot kell kiszolgálnia anélkül, hogy duplikált dokumentációt hozna létre.

A DORA különösen fontos, ha az ügyfél pénzügyi szervezet, vagy a szolgáltatás pénzügyi szektorbeli IKT-láncot támogat. A DORA 2025. január 17-től alkalmazandó, és követelményeket állapít meg az IKT-kockázatkezelésre, incidensjelentésre, rezilienciatesztelésre, információmegosztásra és a harmadik félhez kapcsolódó IKT-kockázatra. Az Article 8 előírja az IKT-eszközök, információs vagyon és függőségek azonosítását és osztályozását. Az Article 28 harmadik félhez kapcsolódó IKT-kockázatirányítást, információs nyilvántartásokat, kellő gondosságot és kilépési stratégiákat követel meg. Az Article 29 az IKT-koncentrációs és alvállalkozásba adási kockázattal foglalkozik. Az Article 30 írásbeli szerződéseket ír elő szolgáltatásleírásokkal, adatkezelési helyszínekkel, adatvédelemmel, hozzáféréssel, helyreállítással, adatok visszaadásával, incidenssegítségnyújtással, hatóságokkal való együttműködéssel, megszüntetési jogokkal, auditálási jogokkal és átállási megállapodásokkal.

A NIS2 vezetői elszámoltathatóságot ad hozzá. Az Article 20 előírja, hogy a vezető testületek hagyják jóvá és felügyeljék a kiberbiztonsági kockázatkezelési intézkedéseket. Az Article 21 megfelelő és arányos technikai, operatív és szervezeti intézkedéseket követel meg, beleértve a kockázati szabályzatokat, az incidenskezelést, az üzletmenet-folytonosságot, az ellátási lánc biztonságát, a biztonságos beszerzést és fejlesztést, a kontrollhatékonyság értékelését, a kiberhigiéniát, a kriptográfiát, a HR-biztonságot, a hozzáférés-szabályozást, az eszközkezelést és ahol indokolt, a többtényezős hitelesítést.

Az átfedés egyértelmű. Az al-adatfeldolgozókat, adattovábbítási helyszíneket, kiegészítő intézkedéseket, incidenskötelezettségeket és beszállítói felügyeletet azonosító TIA egyben a beszállítói reziliencia bizonyítéka is.

Hogyan tesztelik az auditorok a TIA-t

A különböző auditorok különböző kérdéseket tesznek fel, de a bizonyítékoknak újrahasznosíthatónak kell lenniük.

A Zenith Controls gyakorlati auditmódszertant biztosít ezekre a területekre. Felhőszolgáltatások esetén az auditorok jóváhagyott felhőszolgáltatások nyilvántartását és annak bizonyítékait keresik, hogy a nem engedélyezett felhőhasználat felügyelet alatt áll. Beszállítói megállapodások esetén az auditorok magas kockázatú beszállítókon végeznek szerződésmintavételt, és ellenőrzik a bizalmasságot, az adatvédelmet, az incidensbejelentési határidőket, az auditálási jogokat, az al-adatfeldolgozói jóváhagyást és az adatok visszaadását vagy megsemmisítését. Beszállítói felügyelet esetén az auditorok felülvizsgálati nyilvántartásokat, KPI-jelentéseket, beszállítói tanúsítványokat, SOC-jelentéseket, penetrációs tesztelési összefoglalókat, kivételeket és helyesbítő intézkedéseket vizsgálnak.

Az audit tanulsága egyszerű: a bizonyítékoknak az időbeli működést kell igazolniuk. Egy egyszer aláírt és soha felül nem vizsgált TIA nem felel meg egy komoly felhő-, beszállítói vagy reziliencia-felülvizsgálatnak.

Használja a NIST CSF 2.0-t a TIA-kockázat vezetői kommunikációjához

Az igazgatóságok ritkán akarnak részletesen vitatkozni az SCC-modulokról vagy a felhőalapú támogatási helyszínekről. Azt akarják tudni, hogy a kockázat irányított, priorizált és javul-e. A NIST CSF 2.0 segít a TIA-t vezetői nyelvre lefordítani a GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND és RECOVER funkciókon keresztül.

TIA esetén a GOVERN funkció különösen hasznos. Tartalmazza a jogi, szabályozói és szerződéses követelményeket, a kockázatvállalási hajlandóságot, a szerepköröket, a szabályzatokat, a felügyeletet és a beszállítói kiberbiztonsági kockázatkezelést. Készítsen Current Profile-t, amely bemutatja a jelenlegi állapotot, például részleges felhőnyilvántartást, SCC-tárat, korlátozott al-adatfeldolgozói felülvizsgálatot és meghatározatlan TIA-felülvizsgálati ütemezést. Ezután határozzon meg Target Profile-t, például teljes adattovábbítási leltárt, kockázat szerint besorolt al-adatfeldolgozókat, ellenőrzött adattovábbítási mechanizmusokat, ügyfél által kezelt kulcsokat magas kockázatú adatokhoz, negyedéves kritikus beszállítói felülvizsgálatokat, DORA-ra felkészített szerződéses megfeleltetést és tesztelt felhőből való kilépési terveket.

A hiányossági terv gyakorlati ütemtervvé válik, amelyet a vezetés finanszírozni és nyomon követni tud.

A Clarysec felhőalapú TIA-ellenőrzőlistája 2026-ra

Használja ezt az ellenőrzőlistát annak tesztelésére, hogy az adattovábbítási hatásvizsgálat auditképes-e:

• Tartson fenn felhőszolgáltatási nyilvántartást tulajdonossal, céllal, adatkategóriákkal, helyszínekkel, hozzáférési országokkal és al-adatfeldolgozókkal.
• Azonosítsa, hogy az egyes szolgáltatások adatkezelői, adatfeldolgozói, al-adatfeldolgozói vagy független szolgáltatói kapcsolatnak minősülnek-e.
• Csatolja a DPA-t, az SCC-ket vagy más adattovábbítási mechanizmus bizonyítékait a beszállítói nyilvántartási bejegyzéshez.
• Az EU–US Data Privacy Frameworkre való támaszkodást csak akkor rögzítse, ha a hatályt és a további adattovábbításokat ellenőrizték.
• Tartsa fenn az al-adatfeldolgozói közzétételeket és földrajzi adattovábbítási nyilatkozatokat.
• Kockázat alapján követeljen meg előzetes írásbeli hozzájárulást vagy szerződéses értesítést az új al-adatfeldolgozókhoz.
• A kiegészítő intézkedéseket konkrét technikai kontrollokhoz rendelje, ne általános kijelentésekhez.
• Igazolja a továbbítás közbeni titkosítást, a tárolás közbeni titkosítást, a kulcskezelési tulajdonlást és az emelt jogosultságú hozzáférés naplózását.
• Ahol lehetséges, minimalizálja, álnevesítse vagy maszkolja a személyes adatokat az adattovábbítás előtt.
• Határozzon meg felülvizsgálati kiváltó okokat új országokra, új al-adatfeldolgozókra, új adatkategóriákra, incidensekre és szerződésváltozásokra.
• Kapcsoljon minden TIA-kockázatot a kockázati nyilvántartáshoz, a kockázatkezelési tervhez és a SoA-hoz.
• Időszakosan vizsgálja felül a beszállítói bizonyítékokat, és kövesse a kivételeket a lezárásig.
• Szerződésekben szerepeltesse az incidensbejelentési, auditálási jogi, adat-visszaadási, törlési és kilépési kötelezettségeket.
• DORA szempontjából releváns szolgáltatásoknál rendelje a szerződéseket a harmadik félhez kapcsolódó IKT-követelményekhez, az alvállalkozásba adáshoz, a helyszínekhez, a koncentrációs kockázathoz és a kilépési stratégiához.
• A magas kockázatú adattovábbítási döntéseket az IBIR-irányítás részeként jelentse a vezetésnek.

Az adattovábbítási bizonytalanság átalakítása auditképes bizonyítékká

Az InnovatePay azért nyerte el a banki szerződést, mert Maria felhagyott azzal, hogy a TIA-t utolsó pillanatos jogi dokumentumként kezelje. Csapata Felhőszolgáltatási Nyilvántartást épített, csatolta az SCC-ket és DPA-kat, dokumentálta az al-adatfeldolgozókat, a kiegészítő intézkedéseket ISO/IEC 27001:2022 kontrollokhoz rendelte, frissítette a kockázati nyilvántartást, SoA-megjegyzéseket adott hozzá és felügyeleti kiváltó okokat hozott létre. Az eredmény nem csupán jobb kérdőívválasz volt, hanem ismételhető beszállítói kockázatkezelési folyamat.

Az Ön szervezete ugyanezt megteheti.

Kezdje a Zenith Blueprint: auditoroknak szóló 30 lépéses ütemterv használatával, hogy az adattovábbítási kockázatokat összekapcsolja a kockázati nyilvántartással, a kockázatkezelési tervvel és az alkalmazhatósági nyilatkozattal. Használja a Zenith Controls: útmutató több megfelelési keretrendszerhez anyagot az ISO/IEC 27002:2022 felhő-, beszállítói megállapodási és beszállítói felügyeleti kontrolljainak GDPR, NIS2, DORA, NIST és audit elvárásokhoz való hozzárendelésére. Ezután tegye működőképessé a bizonyítékokat olyan Clarysec szabályzatokon keresztül, mint a Felhőszolgáltatások használatára vonatkozó szabályzat, a Harmadik fél és beszállítói biztonsági szabályzat, a Jogi és szabályozói megfelelési szabályzat, a Kockázatkezelési szabályzat, valamint ahol indokolt, a KKV-verziók.

A felhőalapú adattovábbítási hatásvizsgálat nem lehet értékesítési vészhelyzet. 2026-ban a felhőirányítás, a beszállítói bizonyosság, az adatvédelmi elszámoltathatóság és az operatív reziliencia része. Azok a szervezetek fognak bizalmat nyerni, amelyek gyorsan igazolni tudják, hová kerülnek az adatok, ki fér hozzájuk, mi védi őket, és hogyan irányítják a kockázatot az idő előrehaladtával.