Qualys Security Assessment Questionnaire (SAQ) – skladnost z GDPR

Qualys, vodilni ponudnik kot storitev dostavljenih rešitev za upravljanje z IT varnostnimi tveganji in skladnostjo, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.je predstavil nove zmogljivosti za platformo strežniških storitev Qualys Cloud Platform. Pravzaprav novem v tem času pomembne dodatke za obstoječo funkcionalnost Security Assessment Questionnaire (SAQ), za v pomoč pri gradnji varnih odnosov z drugimi organizacijami. Novi vzorci za sestavljanje vprašalnikov so že na razpolago, nove preglednice rezultatov specifičnih za GDPR pa bodo aktivirali avgusta 2018.

Sedaj, ko je strašni Maj 2018 mimo, svet pa GDPR navkljub kljub vsemu še stoji, je morda čas za trezno in postopno preverjanje in vzdrževanje skladnosti. Utopično je pričakovati aplikacijo, ki bi jo aktivirali v omrežje, pa bi izmerila stopnjo skladnosti. To moramo delati z zbiranjem informacij, povpraševanjem posameznih sodelavcev v organizaciji. Poleg notranje pa je pomembna tudi zunanja GDPR skladnost. T načeloma pomeni, da bi se morali prepričati, da so tudi vsi partnerji, s katerimi izmenjujemo osebne podatke kogarkoli, skladni z GDPR. Oziroma morali bi pridobiti njihovo potrdilo.

Take informacije, ki jih ni mogoče pridobiti od strojev, temveč od ljudi, je najlažje zbirati z raznimi vprašalniki oz. anketami. Qualys-ova strežniška storitev že nekaj časa vsebuje tudi zmogljivost za sestavljanje in upravljanje takega anketiranja, vključno z vzorci z varnostjo povezanih vprašalnikov. Ter že pripravljenimi preglednicami za prikaz rezultatov iz določenih področij. A doslej še ni bilo vprašalnikov specifičnih za GDPR.

Po novem po strankam na razpolago centralna preglednica za poganjanje GDPR kampanj, upravljanje GDPR vzorcev in nadzor tveganja / skladnosti za zunanje partnerje. Novo anketirane je mogoče pripraviti in zagnati v nekaj minutah. Rezultati o poteku ankete, sodelujočih, prisotnih in manjkajočih odgovorih, ocenah partnerjev in tveganja bodo na razpolago v novi preglednici. Z orodjem bo torej mogoče privarčevati precej časa in truda vloženega v GDPR skladnost.

V sklopu nove ponudbe bo sedem namenskih vprašalnikov:

 • GDPR Business Readiness Self-Assessment: identifikacija organizacijskih sprememb, ki so potrebne za doseganje in ohranjanje GDPR skladnosti, določanje prioritet.
 • GDPR Data Inventory and Mapping: odkrivanje in klasifikacija osebnih podatkov, mapiranja toka podatkov skozi delovni proces.
 • GDPR Accountability and Responsibility Assessment: odkrivanje in dodeljevanje odgovornosti za nadzor nad osebnimi podatki v skladu z GDPR.
 • GDPR Data Privacy Assessment in Operations: zbiranje informacij o, ter ocenjevanje učinkovitost že uveljavljenih tehničnih ukrepov za zaščito osebnih podatkov.
 • GDPR Third-Party Vendor Assessment: ocenjevanje deljenja osebnih podatkov s partnerji.
 • GDPR Data Incident and Breach Notification Assessment: ocenjevanje planiranih ukrepov v primeru incidenta z osebnimi podatki.
 • GDPR Data Protection and Privacy Impact Assessment: ocenjevanje stopnje zaščite podatkov in poslovnega tveganja.

Izjava, Philippe Courtot, director Qualys:

GDPR is a major turning point for organizations, and has incentivized them to accelerate their digital transformation efforts as well as build stronger businesses that can thrive and build trust with customers into the next decade. Our latest SAQ capabilities aim to streamline many of the mundane tasks for GDPR compliance and help customers document the security posture of both third-party vendors as well as their own, ultimately strengthening their cybersecurity practices and safeguarding customers’ data across on-premises, endpoints, mobile and cloud environments.

Qualys Cloud Platform

Qualys je že pred več leti pripravil množico storitev za upravljanje varnosti in tveganj (risk management, vulnerability scanning, etc.) iz strežniškega oblaka, ki so prejele številna prestižna priznanja in nagrade, imenovano tudi QualysGuard. V našem okolju se še vedno soočamo z nepripravljenostjo rabe takega tipa strežniške storitve, pri čemer stranke pogosto navajajo dvom v varnost v strežniškem oblaku hranjenih podatkov in rezultatov varnostnih pregledov omrežij, aplikacij ali spletnih strežnikov. Kar je dokaj zanimivo glede nam podporo te storitve s strani velikih mednarodnih korporacij ali vladnih ustanov na primer zahodnih držav, seveda tudi drugih držav z vseh delov globusa. Še en primer je vlada ZDA.

Seznam Qualys Cloud Platform aplikacij (apps, storitev):

 • Asset Inventory (AI), globalni inventar IT sredstev;
 • CMDB Sync (SYN), sinhronizacija inventarja med Qualys in ServiceNow CMDB;
 • Vulnerability Management (VM), odkrivanje in odpravljanje varnostnih pomanjkljivosti;
 • Threat Protection (TP), odkrivanje in posodabljanje najbolj kritičnih sistemov;
 • Continuous Monitoring (CM), sprotno obveščanje o nenavadnih stanjih omrežja;
 • Indication of Compromise (IOC), spremljanje, zaznavanje in preganjanje škodljivcev;
 • Container Security (CS), zaščita navideznih okolij na arhitekturi vsebnikov;
 • Web Application Scanning (WAS), varnostni pregled spletnih aplikacij;
 • Web Application Firewall (WAF), sprotna zaščita prometa do in od spletnih aplikacij;
 • Policy Compliance (PC), vzdrževanje skladnosti;
 • Payment Card Industry Compliance (PCI), skladnost s standardi finančnih transakcij;
 • File Integrity Monitoring (FIM), nadzor spreminjanja posameznih datotek;
 • Security Configuration Assessment (SCA), spremljanje in ocenjevanje konfiguracij;
 • Cloud Security Assessment (CSA), varnostno spremljanje javne strežniške infrastrukture;
 • Security Assessment Questionnaire (SAQ), za gradnjo varnih odnosov z drugimi organizacijami.