Ocene učinka prenosa za storitve v oblaku v letu 2026

Maria, vodja informacijske varnosti v InnovatePay, je strmela v 12. stran vprašalnika za skrbni pregled.

Njeno podjetje, hitro rastoči evropski ponudnik fintech SaaS, je bilo tik pred sklenitvijo pogodbe s svojo največjo stranko doslej — veliko banko s strogimi pričakovanji glede operativne odpornosti. Vprašalnik ni zahteval samo certifikata ISO 27001, povzetka penetracijskega testiranja ali paketa varnostnih politik. Zahteval je celovito oceno učinka prenosa za glavnega ponudnika storitev v oblaku InnovatePay s sedežem v ZDA, razčlenitev podobdelovalcev, veljavne standardne pogodbene klavzule, izjavo o geografskih lokacijah prenosov podatkov in dokazila, da so dodatni ukrepi preslikani na ISO/IEC 27001:2022, NIS2 in DORA.

Pravna služba je imela dodatek o obdelavi podatkov. Nabava je imela portal dobaviteljev. Inženiring je imel nastavitve regij v oblaku. Varnostna ekipa je imela diagrame šifriranja. Ekipa za podporo strankam je v prodajnem klicu obljubila »gostovanje v EU«. Nihče pa ni mogel takoj dokazati, ali je dostop podpore iz Indije zajet v obsegu, ali analitični dodatek uporablja podobdelovalca iz ZDA oziroma ali se dnevniki napak replicirajo prek globalnega ponudnika spremljanja.

To je realnost leta 2026 za podjetja SaaS, ponudnike storitev v oblaku, fintech dobavitelje in ponudnike upravljanih IKT-storitev. Ocena učinka prenosa oziroma TIA ni več dopis o zasebnosti, pripravljen na koncu nabave. Je medpodročni paket dokazil o skladnosti, ki mora pojasniti, kam gredo osebni podatki, kdo lahko do njih dostopa, kateri pravni mehanizem prenosa se uporablja, kateri dodatni ukrepi zmanjšujejo tveganje in kako organizacija prenos spremlja skozi čas.

Za številne ekipe težava ni pomanjkanje truda, temveč razdrobljenost. SCC so v repozitoriju pogodb. Seznami podobdelovalcev so na portalih dobaviteljev. Nastavitve lokacije hrambe podatkov so v konzoli oblaka. Odločitve o tveganjih so zakopane v e-pošti. Dokazila o šifriranju so v Confluence. Dobra ocena učinka prenosa za oblak te fragmente poveže v eno utemeljivo verigo dokazil.

Zakaj so TIA za oblak postale tveganje na ravni upravnega odbora

Ocena učinka prenosa presoja, ali osebni podatki, preneseni izven Evropskega gospodarskega prostora, v praksi ostajajo zaščiteni. Ocena mora opredeliti podatke, stranke, namene obdelave, lokacije hrambe, lokacije dostopa, nadaljnje prenose, pravni mehanizem prenosa, tveganja države prejemnice in dodatne ukrepe.

Pri GDPR je izhodišče široko. Osebni podatki, obdelava, upravljavec, obdelovalec, psevdonimizacija in kršitev varnosti osebnih podatkov so opredeljeni široko. Telemetrija v oblaku, zahtevki za podporo, dnevniki avtentikacije, podatki za obračun, uporabniški identifikatorji, naslovi IP in analitika izdelka lahko spadajo v obseg. Odgovornost po GDPR v skladu z Article 5 zahteva, da organizacije dokažejo skladnost, medtem ko so obveznosti obdelovalca po Article 28 in pravila mednarodnih prenosov iz Poglavja V odvisni od natančnega poznavanja, kateri podatki se premikajo, kam se premikajo in kdo lahko z njimi ravna.

Sodba Schrems II je praktično breme dodatno razjasnila. Sam podpis SCC ne zadostuje. Organizacije morajo presoditi, ali bi zakoni in prakse namembne države lahko ogrozili varstvo, obljubljeno v pogodbi, nato pa po potrebi uporabiti dodatne ukrepe.

Za podjetja, ki uporabljajo oblak, se to hitro zaplete. Produkt SaaS lahko uporablja enega ponudnika infrastrukture, ločeno platformo za podporo, e-poštno storitev, orodje za spremljanje napak, CDN, podatkovno skladišče in funkcionalnost analitike z umetno inteligenco. Vsak ponudnik ima lahko podobdelovalce. Vsak podobdelovalec lahko uvede lokacijo hrambe, lokacijo dostopa, operativno pot podpore ali nadaljnji prenos.

Zato so ISO/IEC 27001:2022, NIS2, DORA in NIST CSF 2.0 postali del razprave o TIA:

• GDPR zahteva odgovor, ali obstajajo zakonit mehanizem prenosa, ustrezna določila za obdelovalca, nadzor podobdelovalcev in učinkoviti dodatni ukrepi.
• ISO/IEC 27001:2022 zahteva, da je tveganje prenosa identificirano, obravnavano, nadzorovano, spremljano in vključeno v izjavo o uporabnosti (SoA).
• NIS2 zahteva, da bistveni in pomembni subjekti upravljajo kibernetska tveganja dobaviteljev in ponudnikov storitev pod nadzorom vodstva.
• DORA od finančnih subjektov zahteva dokazovanje upravljanja tretjih oseb na področju IKT, pogodbenih klavzul, preglednosti podizvajanja, preglednosti lokacij, tveganja koncentracije in pripravljenosti na izstop.
• NIST CSF 2.0 pomaga te zahteve prevesti v rezultate na področju upravljanja, tveganj dobaviteljev, zaščite, odziva in obnovitve.

Praktičen zaključek je preprost: TIA mora biti del ISMS, ne pa dokument zunaj njega.

Uporabite ISMS kot središče skladnosti

Upravljanje TIA, GDPR, DORA in NIS2 v ločenih preglednicah ustvarja podvajanje dela in presojne vrzeli. Bolj razširljiv pristop je uporaba ISO/IEC 27001:2022 kot sistema upravljanja, ki povezuje obveznosti, tveganja, kontrole in dokazila.

ISO/IEC 27001:2022 od organizacij zahteva razumevanje njihovega konteksta, zahtev zainteresiranih strani, vmesnikov in odvisnosti od drugih organizacij. Zahteva tudi ponovljivo oceno tveganj informacijske varnosti, proces obravnave tveganj, izjavo o uporabnosti in dokazila, da izbrane kontrole delujejo, kot je predvideno.

Ta struktura se popolnoma prilega TIA. Tveganje »do osebnih podatkov iz EU se lahko prek ponudnika storitev v oblaku ali podobdelovalca dostopa iz tretje države brez učinkovitih varovalnih ukrepov« spada v register tveganj. Obravnava spada v načrt obravnave tveganja. Izbrane kontrole spadajo v SoA. Podporni artefakti spadajo v indeks dokazil.

Clarysecov Zenith Blueprint: 30-koračni načrt presojevalca to razmerje zajame v fazi upravljanja tveganj, korak 13:

SoA je dejansko povezovalni dokument: vašo oceno/obravnavo tveganj povezuje z dejanskimi kontrolami, ki jih imate. Z njegovo pripravo hkrati dodatno preverite, ali ste izpustili katero od kontrol.

Ta stavek je osrednji za pripravljenost TIA. TIA ni kontrola. Je ocena, ki pojasni, zakaj so kontrole potrebne in kako zmanjšujejo preostalo tveganje prenosa. SoA je most, ki tveganje poveže z upravljanjem oblaka, pogodbami z dobavitelji, kriptografijo, nadzorom dostopa, spremljanjem, odzivom na incidente, neprekinjenostjo in pravno skladnostjo.

Začnite z zemljevidom prenosov, ne s SCC

Številne organizacije TIA začnejo z vprašanjem, ali pogodba vsebuje SCC. To je potrebno, vendar ni prvo vprašanje. SCC imajo smisel le, če organizacija ve, katere prenose pokrivajo.

Praktična TIA za oblak se začne s petimi vprašanji.

Clarysecova Politika uporabe storitev v oblaku za MSP to operacionalizira z zahtevo po registru:

Register storitev v oblaku mora vzdrževati ponudnik IT-storitev ali generalni direktor (GM). Evidentirati mora:

Iz razdelka »Zahteve upravljanja«, klavzula politike 5.3.

Ista družina klavzul vključuje zahtevo glede lokacije, ki je ključna za TIA:

Država ali regija, kjer se podatki hranijo

Iz razdelka »Zahteve upravljanja«, klavzula politike 5.3.4.

Za večja okolja Clarysecova Politika uporabe storitev v oblaku upravljanje oblaka izrecno povezuje z mehanizmi prenosa:

Pregled standardnih pogodbenih klavzul (SCC) in mehanizmov prenosa po GDPR, kjer je primerno.

Iz razdelka »Vloge in odgovornosti«, klavzula politike 4.5.2.

Ista politika dodaja medregulativno zahtevo:

Čezmejni prenosi podatkov morajo biti skladni s Poglavjem V GDPR in, kjer je primerno, z DORA Article 28.

Iz razdelka »Zahteve za izvajanje politike«, klavzula politike 6.6.3.

To spremeni razpravo o TIA. Vprašanje ni »ali imamo SCC?«. Vprašanje je »katera storitev v oblaku, kateri osebni podatki, katera država, katera pot dostopa, kateri podobdelovalec, kateri mehanizem prenosa, kateri dodatni ukrepi in katero preostalo tveganje?«

Preslikajte TIA za oblak v dokazila po ISO/IEC 27001:2022

ISO/IEC 27001:2022 zagotavlja strukturo za dokazovanje, da je TIA del delujočega kontrolnega okolja. Najpomembnejša področja dokazil so upravljanje dobaviteljev, upravljanje oblaka, zakonske obveznosti, zasebnost, kriptografija, nadzor dostopa, spremljanje, odziv na incidente in neprekinjenost.

Clarysecov Zenith Controls: vodnik za medpodročno skladnost je tukaj še posebej uporaben. V Zenith Controls je kontrola ISO/IEC 27002:2022 5.23, informacijska varnost pri uporabi storitev v oblaku, obravnavana kot preventivna kontrola, ki podpira zaupnost, celovitost in razpoložljivost na področjih upravljanja, ekosistema in zaščite. Uporabo oblaka povezuje z odnosi z dobavitelji, varnostjo končnih točk, varnostjo omrežja, prenosom informacij, maskiranjem podatkov, preprečevanjem uhajanja podatkov, evidenco sredstev in življenjskim ciklom varnega razvoja.

Ta preslikava je pomembna, ker TIA redko reši ena sama pravna klavzula. Pogosto vključuje administratorski dostop do oblaka, aplikacijske programske vmesnike, ki premikajo podatke med regijami, konzole za podporo, dnevnike, vedra objektne shrambe v oblaku, platforme za spremljanje in lokacije varnostnih kopij.

Zenith Controls kontrola 5.23 se preslika tudi na povezane standarde, vključno z ISO/IEC 27017 za deljeno odgovornost v oblaku in revizijske sledi, ISO/IEC 27018 za varstvo osebno določljivih podatkov v javnem oblaku, ISO/IEC 27701 za zahteve razširitve zasebnosti, ISO/IEC 27036-4 za spremljanje storitev v oblaku in ISO/IEC 27005 za oceno tveganja v oblaku.

Za pogodbe z dobavitelji Zenith Controls obravnava kontrolo ISO/IEC 27002:2022 5.20, obravnavanje informacijske varnosti v sporazumih z dobavitelji. Ta kontrola zahteve glede prenosov pretvori v zavezujoče obveznosti. Določila za obdelovalce po GDPR Article 28, kontrole podobdelovalcev, pričakovanja NIS2 glede dobavne verige in pogodbene določbe DORA Article 30 postanejo pogodbena dokazila.

Za stalni nadzor je ključna kontrola ISO/IEC 27002:2022 5.22, spremljanje, pregled in upravljanje sprememb storitev dobaviteljev. TIA, zaključena med uvajanjem dobavitelja, lahko zastara, ko ponudnik doda podobdelovalca, spremeni lokacije podpore, spremeni arhitekturo beleženja ali uvede novo funkcionalnost.

Odpravite šibko točko podobdelovalcev

Najpogostejša napaka pri TIA niso manjkajoče SCC. To je zastarelo poznavanje podobdelovalcev.

Ponudniki storitev v oblaku in platforme SaaS pogosto spreminjajo regije storitev, modele podpore, telemetrijske cevovode, CDN-je in podizvajalce. Če je TIA odvisna od seznama podobdelovalcev, ki je bil enkrat prenesen med nabavo, hitro postane nezanesljiva.

Clarysecova Politika varnosti tretjih oseb in dobaviteljev to obravnava s pogodbeno zahtevo:

Uporaba podizvajalcev, za katero je potrebno predhodno pisno soglasje

Iz razdelka »Zahteve upravljanja«, klavzula politike 5.3.5.

Clarysecova Politika pravne in regulativne skladnosti opredeljuje pravna dokazila, ki jih je treba vzdrževati:

Razkritja podobdelovalcev in izjave o geografskih lokacijah prenosov podatkov

Iz razdelka »Zahteve za izvajanje politike«, klavzula politike 6.3.1.2.

Ta zahteva je kratka, vendar pogosto pomeni razliko med verodostojno in nepopolno TIA. Če organizacija ne more predložiti razkritij podobdelovalcev in izjav o geografskih lokacijah prenosov, ne more zanesljivo pojasniti nadaljnjih prenosov.

Zenith Blueprint, faza Kontrole v praksi, korak 23, dodaja operativno pričakovanje:

Za vsakega kritičnega dobavitelja ugotovite, ali uporablja podizvajalce (podobdelovalce), ki lahko dostopajo do vaših podatkov ali sistemov. Dokumentirajte, kako se vaše zahteve informacijske varnosti prenesejo na te strani, bodisi prek pogodbenih pogojev vašega dobavitelja bodisi prek vaših neposrednih klavzul.

V praksi to pomeni, da morajo imeti dobavitelji z visokim tveganjem letni pregled podobdelovalcev, proces obveščanja o spremembah, dokumentiran odobritveni delovni tok in sprožilec ponovne ocene tveganja. Pri storitvah, relevantnih za DORA, ista dokazila podpirajo tudi analizo podizvajanja in tveganja koncentracije.

Naj bodo dodatni ukrepi konkretni in dokazljivi

Dodatnih ukrepov nikoli ne dokumentirajte le kot »uporabljamo šifriranje« brez podrobnosti. Presojevalci in poslovne stranke bodo vprašali, kaj je šifrirano, kje se šifriranje uporablja, kdo nadzoruje ključe, ali osebje ponudnika lahko dostopa do nešifriranega besedila, ali dnevniki vsebujejo osebne podatke in kako se odobrava privilegirani dostop.

Močan paket dodatnih ukrepov združuje tehnične, pogodbene, organizacijske in odpornostne varovalne ukrepe.

Clarysecova Politika kriptografskih kontrol za MSP zagotavlja sidro:

Šifriranje se mora uporabljati za:

Iz razdelka »Zahteve za izvajanje politike«, klavzula politike 6.1.1.

Za TIA mora ta izjava politike postati izrecno dokazilo. Šifriranje je treba opisati za osebne podatke med prenosom med sistemi EU in storitvami v oblaku v tretjih državah, v mirovanju v shrambi v oblaku in v varnostnih kopijah. Lastništvo ključev mora biti opredeljeno. Če se uporabljajo ključi pod upravljanjem naročnika, mora TIA pojasniti, ali lahko ponudnik dostopa do nešifriranega besedila, kdaj je dovoljen dostop podpore in kako se beleži administratorski dostop.

Clarysecova Politika varnosti tretjih oseb in dobaviteljev za MSP krepi zagotovilo glede lokacije:

Kadar morajo dobavitelji hraniti podatke izven lokacije, mora podjetje pridobiti zagotovilo glede varstva podatkov, fizične varnosti in geografske lokacije hrambe (npr. gostovanje samo v EU, kadar to zahteva GDPR).

Iz razdelka »Zahteve za izvajanje politike«, klavzula politike 6.2.4.

Ista politika za MSP podpira tudi popolnost pogodbe:

Pogodbe morajo vključevati obvezne klavzule, ki zajemajo:

Iz razdelka »Zahteve upravljanja«, klavzula politike 5.3.

Za TIA morajo te obvezne klavzule zajemati zaupnost, varnostne ukrepe, obvestila o kršitvah, podobdelovalce, pravice do revizije, vračilo podatkov, izbris, mehanizme prenosa in zaveze glede lokacije.

Zgradite paket dokazil TIA, pripravljen na presojo

Predpostavimo, da evropski ponudnik B2B SaaS uporablja analitično platformo s sedežem v ZDA. Platforma zajema dogodke uporabe strank, uporabniške ID-je, naslove IP in metapodatke podpore. Ponuja gostovanje v EU in SCC, vendar lahko osebje podpore izven EGP dostopa do zahtevkov, dnevniki napak pa se lahko obdelujejo pri podobdelovalcu v tretji državi.

Praktičen paket dokazil je mogoče zgraditi v šestih korakih.

1. Ustvarite zapis o prenosu

Začnite z registrom storitev v oblaku, ki ga zahteva Politika uporabe storitev v oblaku za MSP. Dodajte lastnika storitve, poslovni namen, kategorije podatkov, posameznike, na katere se nanašajo osebni podatki, vlogo, regijo gostovanja, države dostopa, lokacije podpore, podobdelovalce, mehanizem prenosa, dodatne ukrepe, oceno tveganja in datum naslednjega pregleda.

Za analitično platformo evidentirajte, da so dogodki gostovani v EU, da se dostop podpore lahko izvaja izven EGP in da spremljanje napak ustvarja nadaljnji prenos.

2. Priložite pogodbena dokazila

Priložite DPA, SCC ali druga dokazila o mehanizmu prenosa, varnostni dodatek, določila o obveščanju o incidentih in seznam podobdelovalcev. Uporabite klavzulo 4.5.2 iz Politike uporabe storitev v oblaku kot dokazilo o pregledu SCC in mehanizmov prenosa. Uporabite klavzulo 5.3.5 iz Politike varnosti tretjih oseb in dobaviteljev kot dokazilo o odobritvi ali soglasju za podobdelovalce.

Če se za ponudnika zanašate na EU-US Data Privacy Framework, evidentirajte obseg, status certifikacije, pokritost storitve in rezervni mehanizem. Ne predpostavljajte, da pokriva vsak nadaljnji prenos.

3. Ustvarite scenarij tveganja

Dodajte tveganje v register tveganj ISMS:

»Do osebnih podatkov iz EU, obdelanih prek analitične platforme, lahko iz tretje države dostopa podpora ponudnika ali podobdelovalci, kar ustvarja tveganje za zaupnost ter pravno in regulativno skladnost.«

Določite lastnika, verjetnost, vpliv, inherentno oceno, načrt obravnave tveganja in preostalo oceno. Povežite ga s Poglavjem V GDPR, zavezami strankam, kontrolami oblaka in dobaviteljev po ISO/IEC 27001:2022, NIS2 Article 21, kjer je primerno, ter DORA Articles 28, 29 in 30 za kontekste finančnega sektorja.

Clarysecova Politika upravljanja tveganj določa disciplino obravnave:

Odgovorna oseba za tveganja mora zagotoviti, da so obravnave realistične, časovno omejene in preslikane na kontrole iz Priloge A ISO/IEC 27001.

Iz razdelka »Zahteve za izvajanje politike«, klavzula politike 6.4.2.

4. Izberite dodatne ukrepe

Za analitično platformo lahko ukrepi vključujejo gostovanje v EU, minimizirane podatkovne vsebine dogodkov, psevdonimne identifikatorje, šifriranje med prenosom, šifriranje v mirovanju, omejen dostop podpore, večfaktorsko avtentikacijo (MFA) za administratorje, beleženje privilegiranega dostopa, pravila DLP, ki preprečujejo občutljiva polja v analitičnih dogodkih, obveznosti obveščanja o podobdelovalcih in letni pregled dokazil.

Te ukrepe preslikajte na kontrole ISO/IEC 27002:2022, kot so 5.14 prenos informacij, 5.15 nadzor dostopa, 5.20 obravnavanje informacijske varnosti v sporazumih z dobavitelji, 5.22 spremljanje, pregled in upravljanje sprememb storitev dobaviteljev, 5.23 informacijska varnost pri uporabi storitev v oblaku, 5.31 zakonske, statutarne, regulativne in pogodbene zahteve, 5.34 zasebnost in varstvo osebno določljivih podatkov, 8.11 maskiranje podatkov, 8.12 preprečevanje uhajanja podatkov, 8.16 dejavnosti spremljanja in 8.24 uporaba kriptografije.

5. Določite sprožilce pregleda

TIA ni popolna, dokler niso določeni sprožilci pregleda. Sprožilci morajo vključevati novega podobdelovalca, novo državo dostopa, novo kategorijo podatkov, spremembo modela podpore, varnostni incident, podaljšanje pogodbe, novo kritično zahtevo stranke, novo klasifikacijo DORA ali bistveno spremembo arhitekture v oblaku.

Tu kontrola ISO/IEC 27002:2022 5.22 postane operativna. Pregledujte poročila SOC, certifikate ISO, povzetke penetracijskega testiranja, obvestila o spremembah storitve, zgodovino incidentov in posodobitve podobdelovalcev. Izjeme spremljajte do zaprtja.

6. Posodobite SoA in indeks dokazil

V izjavi o uporabnosti označite kontrole za oblak, dobavitelje, pravne zahteve, zasebnost, kriptografijo, dostop, spremljanje, incidente in neprekinjenost kot uporabne. Dodajte opombe v SoA, kot so »podpira TIA po Poglavju V GDPR za analitično platformo«, »podpira pogodbena dokazila za tretje osebe IKT po DORA« ali »podpira dokazila o varnosti dobavne verige po NIS2«.

Ta zadnji korak indeksiranja oceno zasebnosti pretvori v dokazila o skladnosti, pripravljena na presojo.

Ista dokazila preslikajte na GDPR, DORA, NIS2 in ISO 27001

Dobro pripravljen paket dokazil TIA mora zadovoljiti več presojnih pogledov brez podvajanja dokumentacije.

DORA je posebej pomembna, kadar je stranka finančni subjekt ali storitev podpira IKT-verigo finančnega sektorja. DORA se uporablja od 17. januarja 2025 in določa zahteve za upravljanje IKT-tveganj, poročanje o incidentih, testiranje odpornosti, izmenjavo informacij in tveganja tretjih oseb na področju IKT. Article 8 zahteva identifikacijo in razvrščanje sredstev IKT, informacijskih sredstev in odvisnosti. Article 28 zahteva upravljanje tveganj tretjih oseb IKT, registre informacij, skrbni pregled in strategije izstopa. Article 29 obravnava tveganje koncentracije IKT in podizvajanja. Article 30 zahteva pisne pogodbe z opisi storitev, lokacijami obdelave, varstvom podatkov, dostopom, obnovitvijo, vračilom podatkov, pomočjo pri incidentih, sodelovanjem z organi, pravicami odpovedi, pravicami do revizije in prehodnimi ureditvami.

NIS2 dodaja odgovornost vodstva. Article 20 zahteva, da organi vodenja odobrijo in nadzirajo ukrepe za obvladovanje tveganj kibernetske varnosti. Article 21 zahteva ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe, vključno s politikami tveganj, obravnavanjem incidentov, neprekinjenim poslovanjem, varnostjo dobavne verige, varno nabavo in razvojem, oceno učinkovitosti kontrol, kibernetsko higieno, kriptografijo, kadrovsko varnostjo, nadzorom dostopa, upravljanjem sredstev in MFA, kjer je primerno.

Prekrivanje je jasno. TIA, ki identificira podobdelovalce, lokacije prenosov, dodatne ukrepe, obveznosti glede incidentov in spremljanje dobaviteljev, je hkrati dokazilo za odpornost dobaviteljev.

Kako bodo presojevalci preverili vašo TIA

Različni presojevalci postavljajo različna vprašanja, vendar morajo biti dokazila ponovno uporabna.

Zenith Controls za ta področja zagotavlja praktično metodologijo presoje. Pri storitvah v oblaku presojevalci iščejo register odobrenih storitev v oblaku in dokazila, da se nepooblaščena uporaba storitev v oblaku spremlja. Pri sporazumih z dobavitelji presojevalci vzorčijo pogodbe z dobavitelji z visokim tveganjem in preverjajo zaupnost, varstvo podatkov, časovne roke za obvestila o kršitvah, pravice do revizije, odobritev podobdelovalcev ter vračilo ali uničenje podatkov. Pri spremljanju dobaviteljev presojevalci pregledajo zapise o pregledih, poročila KPI, certifikate dobaviteljev, poročila SOC, povzetke penetracijskih testiranj, izjeme in sanacijske ukrepe.

Presojni nauk je neposreden: dokazila morajo prikazati delovanje skozi čas. TIA, ki je enkrat podpisana in nikoli ponovno pregledana, ne bo zadostila resnemu pregledu oblaka, dobaviteljev ali odpornosti.

Uporabite NIST CSF 2.0 za pojasnitev tveganja TIA vodstvu

Upravni odbori običajno ne želijo podrobno razpravljati o modulih SCC ali lokacijah podpore v oblaku. Želijo vedeti, ali je tveganje upravljano, prednostno obravnavano in se izboljšuje. NIST CSF 2.0 pomaga TIA prevesti v jezik izvršnega vodstva prek funkcij GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND in RECOVER.

Za TIA je funkcija GOVERN posebej uporabna. Vključuje pravne, regulativne in pogodbene zahteve, apetit po tveganju, vloge, politike, nadzor in upravljanje tveganj kibernetske varnosti dobaviteljev. Pripravite trenutni profil, ki prikazuje današnje stanje, na primer delni register oblaka, repozitorij SCC, omejen pregled podobdelovalcev in brez določene pogostosti pregleda TIA. Nato opredelite ciljni profil, na primer popoln popis prenosov, podobdelovalce z oceno tveganja, preverjene mehanizme prenosa, ključe pod upravljanjem naročnika za podatke z visokim tveganjem, četrtletne preglede kritičnih dobaviteljev, preslikavo pogodb, pripravljeno za DORA, in testirane načrte izstopa iz oblaka.

Načrt vrzeli postane praktičen časovni načrt, ki ga vodstvo lahko financira in spremlja.

Clarysecov kontrolni seznam TIA za oblak za leto 2026

Uporabite ta kontrolni seznam za preverjanje, ali je vaša ocena učinka prenosa pripravljena na presojo:

• Vzdržujte register storitev v oblaku z lastnikom, namenom, kategorijami podatkov, lokacijami, državami dostopa in podobdelovalci.
• Ugotovite, ali je vsaka storitev razmerje z upravljavcem, obdelovalcem, podobdelovalcem ali neodvisnim ponudnikom.
• Evidenci dobavitelja priložite DPA, SCC ali druga dokazila o mehanizmu prenosa.
• Zanašanje na EU-US Data Privacy Framework evidentirajte le, kadar sta obseg in nadaljnji prenosi preverjena.
• Vzdržujte razkritja podobdelovalcev in izjave o geografskih lokacijah prenosov.
• Za nove podobdelovalce zahtevajte predhodno pisno soglasje ali pogodbeno obvestilo glede na tveganje.
• Dodatne ukrepe preslikajte na specifične tehnične kontrole, ne na generične izjave.
• Dokažite šifriranje med prenosom, šifriranje v mirovanju, lastništvo upravljanja ključev in beleženje privilegiranega dostopa.
• Osebne podatke pred prenosom minimizirajte, psevdonimizirajte ali maskirajte, kjer je mogoče.
• Določite sprožilce pregleda za nove države, nove podobdelovalce, nove kategorije podatkov, incidente in spremembe pogodb.
• Vsako tveganje TIA povežite z registrom tveganj, načrtom obravnave tveganja in SoA.
• Periodično pregledujte dokazila dobaviteljev in izjeme spremljajte do zaprtja.
• V pogodbe vključite obveznosti glede obveščanja o incidentih, pravic do revizije, vračila podatkov, izbrisa in izstopa.
• Za storitve, relevantne za DORA, pogodbe preslikajte na zahteve za tretje osebe IKT, podizvajanje, lokacije, tveganje koncentracije in strategijo izstopa.
• Odločitve o prenosih z visokim tveganjem poročajte vodstvu kot del upravljanja ISMS.

Negotovost glede prenosov pretvorite v dokazila, pripravljena na presojo

InnovatePay je pridobil bančni posel, ker je Maria TIA prenehala obravnavati kot pravni dokument v zadnjem trenutku. Njena ekipa je vzpostavila register storitev v oblaku, priložila SCC in DPA, dokumentirala podobdelovalce, dodatne ukrepe preslikala na kontrole ISO/IEC 27001:2022, posodobila register tveganj, dodala opombe v SoA in ustvarila sprožilce spremljanja. Rezultat ni bil le boljši odgovor na vprašalnik. Bil je ponovljiv proces za upravljanje tveganj dobaviteljev.

Enako lahko stori tudi vaša organizacija.

Začnite z Zenith Blueprint: 30-koračni načrt presojevalca, da tveganja prenosa povežete z registrom tveganj, načrtom obravnave tveganja in izjavo o uporabnosti. Uporabite Zenith Controls: vodnik za medpodročno skladnost za preslikavo kontrol oblaka, sporazumov z dobavitelji in spremljanja dobaviteljev po ISO/IEC 27002:2022 na GDPR, NIS2, DORA, NIST in presojna pričakovanja. Nato dokazila operacionalizirajte prek politik Clarysec, kot so Politika uporabe storitev v oblaku, Politika varnosti tretjih oseb in dobaviteljev, Politika pravne in regulativne skladnosti, Politika upravljanja tveganj, ter različic za MSP, kjer je primerno.

Ocena učinka prenosa za oblak ne sme biti prodajna nuja. V letu 2026 je del upravljanja oblaka, zagotavljanja zaupanja pri dobaviteljih, odgovornosti za zasebnost in operativne odpornosti. Zaupanje bodo pridobile organizacije, ki lahko hitro dokažejo, kam gredo podatki, kdo z njimi ravna, kaj jih ščiti in kako se tveganje upravlja skozi čas.