מ-Xero לגיבור
אלופי הנהלת חשבונות בענן משתנים
בדצמבר בשנה שעברה, Xero הודיעה שהיא משיקה מכשיר גלובלי חדש תקן אבטחה. התקן נכנס לתוקף בינואר השנה, ומעניק לשותפים חלון של שישה חודשים להשלמת הערכה עצמית אבטחה עד ה-30 ביוני 2020. על מנת לעמוד בתקן החדש, כל מפתחי תוספים של צד שלישי עם יותר מ-1,000 היו חיבורים למגוון ממשקי ה-API של Xero נדרש להוכיח ציות. זה כלל כל שותפי אפליקציה גלובליים עם חיבורים ל-Xero API ול-WorkflowMax API, Xero Practice Manager, Xero Tax או Xero HQ.
הבסיס לגישת Xero הוא סט תקנים שפותח על ידי משרד המס האוסטרלי (ATO), המתמקד בדיגיטל ספקי שירותים עם שוק תוספות. התקנים מתארים הערכה עצמית מינימלית והפרת דרישות דיווח/רישום עבור ספקי שירותים דיגיטליים המפעילים מערכת אקולוגית. היתרון הברור של מערכת כזו הוא הגידול הגנה על נתוני הלקוח כמו גם ניידות משופרת של יישומים בין ספקים שונים.
סעיפים המפורטים ב-ATO's תקן אבטחה עבור תוספות Marketplaces משקף ישירות את מבנה ההערכה העצמית של Xero:
- ניהול מפתחות הצפנה
- הצפנה במעבר
- עקיף גישה לנתונים
- תצורת שרת האפליקציה
- ניהול פגיעות
- הצפנה במנוחה
- רישום ביקורת
- אירוח נתונים
- ניטור אבטחה נהלים ודיווח על הפרות
יצירה זו של תקני אבטחה נפוצים על פני מספר מערכות אקולוגיות של API לחשבונאות היא דבר ראשון בעולם. המהלך התקבל בברכה במידה רבה כהעלאת רף 'השיטות המומלצות'. הדיגיטליים האלה ספקי שירות שהוכיחו עמידה בקריטריונים של Xero צריכים לחפש לנצל את היתרון התחרותי שמוכיחה עמדת אבטחה מקיפה שכזו.
מה צפוי אחרי ה-30 ביוני?
ברגע שהשותפים הטכנולוגיים של Xero ישפרו את נוהלי האבטחה שלהם, הצעד ההגיוני הבא יהיה להרחיב את הסטנדרטים החדשים לאותם ספקי שירות מקצועיים המקיימים אינטראקציה עם הפלטפורמה. עם רואי חשבון בראש הפירמידה הזו, היינו מצפים לראות את מכון רואי החשבון באנגליה ווילס (ICAEW) ואת איגוד רואי החשבון המוסמכים (ACCA) כאן בבריטניה עוקבים אחריהם עם כמה סטנדרטים משופרים משלהם. עכשיו זה הזמן לשניהם ארגונים לנקוט עמדה חזקה לגבי הבטחת פרקטיקה ביחס לאבטחת מידע.
כאן ב ISMS.online, לעזור לארגונים לשמור על אבטחת הנתונים שלהם היא המשימה שלנו, וזו הסיבה שכבר בנינו את המסגרת לעמידה בתקן Xero לתוך הפלטפורמה הפשוטה אך החזקה שלנו. אם יש לך הערכה עצמית באופק, נוכל לעזור לך לעבור אותה בצורה מובנית ויעילה. על ידי ניהול, שיתוף פעולה והדגמה של התאימות שלך, הכל מנקודה אחת בענן, תהליך ההערכה העצמית הראשון - אחר כך השנתי - הופך לתרגיל פשוט, ולא לתהליך שלוקח זמן.
בעוד שההתמקדות של Xero היא בבקרה טכנולוגית, היא אינה מתייחסת לשניים מתחומי הפגיעות המשמעותיים ביותר במתן שירותים, תשתית פיזית ו משאבי אנוש. לכן אנו ממליצים על שילוב של מערכת הבקרות המינימלית בתוך תקן Xero וגישה אסטרטגית יותר לניהול אבטחת מידע באמצעות ISO 27001 הסמכה. ISO 27001 מחשיבה אנשים ותהליכים ארגוניים, כמו גם אבטחה פיזית והסמכה, הופכת במהירות לחובה לעשיית עסקים.
אם תרצה לדעת איך אנחנו יכולים לעזור לך להגיע לשם, הצוות שלנו מוכן לעזור.
