Как защитить данные при переходе на аутсорсинг. Пошаговая инструкция

Делимся советами, которые помогут не бояться утечек информации, когда нужно привлечь специалистов со стороны.

Аутсорсинг может показаться рискованным для безопасности, так как данные попадают за периметр компании. Однако надежный провайдер может защищать информацию даже лучше, чем его клиент. Главное — найти такого подрядчика и правильно передать ему данные.

Мы в UCMS Group предоставляем аутсорсинговые услуги по расчету заработной платы, кадровому делопроизводству и бухгалтерскому учету. Рассказываем, как выстроить безопасный переход на аутсорсинг и каким должен быть провайдер, чтобы вы могли не бояться утечек.

Важно выбирать партнера, который на рынке не первый год. Посмотрите позицию подрядчика в рейтингах — например, от агентства RAEX — и изучите отзывы клиентов о компании. Это поможет увидеть ее сильные и слабые стороны.

Узнайте, не было ли у провайдера инцидентов с безопасностью, — об этом могли писать СМИ. Также можно проверить организацию на сайте ФНС, портале судебных дел и судебных приставов.

Важно изучить, как в компании выстроена система безопасности, на каких стандартах и сертификатах она основана. Подрядчик может утверждать, что работает, например, по международному стандарту ISO/IEC 27001. Стоит проверить, соблюдает ли он его требования, — в этом поможет опросник по безопасности. Вы можете сами составить его и отправить провайдеру либо нанять для этого аудиторскую компанию.

Узнайте, как часто проходят внутренние проверки и внешние аудиты — желательно, чтобы это происходило не реже раза в год. Выясните, обучает ли провайдер своих сотрудников информационной безопасности. Изучите парольную политику компании — как часто она их меняет. Рекомендуется это делать не реже, чем через 40 дней.

В UCMS Group информационная безопасность выстроена на основе международного стандарта ISO/IEC 27001:2013. Его главные принципы — целостность, надежность и конфиденциальность данных.

Посмотрите, какие решения использует компания для защиты данных. Выделим основные моменты, важные для безопасности.

• Провайдер должен передавать данные в зашифрованном виде через защищенный канал связи.

• Желательно, чтобы подрядчик хранил данные на собственных серверах в дата-центрах, а не на облачных ресурсах.

• Уточните, делает ли компания резервные копии данных и как часто.

UCMS Group, например, проводит резервное копирование каждые сутки. Все копии хранятся два года в зашифрованном виде в собственной инфраструктуре компании — это уникальная практика среди аутсорсинг-компаний. Она позволяет в любой момент вернуться на полгода или полтора года назад и увидеть, где в данные закралась ошибка.

В договоре нужно указать ответственность провайдера за разглашение информации и санкции за нарушение конфиденциальности. Есть еще несколько пунктов, которые обязательно должны быть в документе.

• Как и с помощью каких технологий провайдер будет защищать данные.

• Как часто он должен обновлять программное обеспечение.

• С какой периодичностью будут проходить аудиты и как часто подрядчик должен отчитываться о работе.

• Что провайдер обязан сделать в случае утечки.

Важный момент — в договоре нужно подробно описать условия прекращения сотрудничества и возврата данных. Провайдер за время работы с базой может совершенствовать ее, вводить новые схемы расчетов, менять систему оплаты, а после завершения работы оставить эти доработки себе. Мы в UCMS Group отдаем их клиенту.

Еще один инструмент для контроля за безопасностью — соглашение об уровне оказания сервиса (SLA). Необходимо включить в документ показатели, которых вы ожидаете от провайдера.

Стоит передавать данные провайдеру через защищенные каналы связи. Нежелательно загружать их в облако — это небезопасно. Речь не только про утечки: владелец облачного ресурса может закрыть к нему доступ, и информацию будет не вернуть.

Чтобы не беспокоиться о своих данных, обращайте внимание на репутацию провайдера и отзывы других компаний о нем. Не бойтесь задавать много вопросов о том, с помощью каких решений подрядчик будет защищать информацию. Можно даже прийти к нему в офис и попросить показать, как работают технологии. Важно, чтобы ваша информация была защищена не только на бумаге.

UCMS Group сохраняет информацию клиентов в безопасности с помощью шифрования трафика, двухфакторной аутентификации, технологий Single-Sign On, Microsoft Authenticator и других решений. Пишите нам, если хотите перейти на аутсорсинг без тревоги за данные.