ISO 27701 и DigiSign – защото поверителността не е просто политика, а отговорност

Когато създадохме DigiSign, вярвахме, че електронното подписване може да бъде едновременно удобно, бързо и сигурно. С напредването на годините все повече хора започнаха да използват платформата – за договори, анекси, декларации или вътрешнофирмени документи.

Това ни накара да осъзнаем, че сигурността не се изчерпва само с криптиране и двуфакторна автентикация. Истинската сигурност започва с доверието. А доверието изисква прозрачност, контрол и отговорно боравене с личните данни.

Именно това беше отправната точка, от която тръгнахме към внедряването на ISO 27701 – международния стандарт, който поставя основите на управлението на поверителността в организациите.

Още от самото начало подходихме не просто като към проект, а като към стратегическа стъпка в изграждането на дългосрочно доверие между нас и потребителите на DigiSign.

ISO 27701 често се нарича "надграждането" на ISO 27001 – стандарта за информационна сигурност. Докато ISO 27001 гарантира, че една компания защитава информацията си чрез политики, контрол и технически мерки, ISO 27701 добавя слой, посветен на личните данни - тези, които принадлежат на реални хора.

На практика, това е стандарт, който помага на организациите да покажат, че управляват личните данни отговорно, съобразно принципите на GDPR и сродните регулации. Той описва как се идентифицират потоци на данни, как се определят ролите на "администратор" и "обработващ", как се оценява рискът за поверителността и как се гарантира правото на всеки човек да контролира собствената си информация.

За нас това беше и начин да систематизираме усилията, които вече полагахме за защита на личните данни – но в унифицирана, международно призната рамка.

Работим с чувствителна информация – договори, лични данни, електронни подписи, удостоверителни средства, които преминават през платформата всеки ден.

Клиентите ни се доверяват не само да обработим техните документи, но и да ги съхраняваме за определен период докато бъдат свалени от системата.

Сертифицирането по ISO 27701 беше логичната следваща стъпка в развитието на DigiSign. То ни позволи да надградим вече съществуващата система за управление на сигурността (ISO 27001) с процеси, насочени към защита на личните данни на потребителите.

С други думи: не просто да сме сигурни, че данните са защитени, а и че са защитени по правилния начин – така, че човекът зад всеки електронен подпис да има контрол и спокойствие.

На практика ISO 27701 ни позволи да интегрираме принципите на поверителност във всеки аспект на сигурността – от разработката на функционалности до обслужването на клиенти.

Процесът по внедряване на ISO 27701 започна с нещо съвсем просто – въпроси.

• Кои лични данни обработваме?
• Къде се съхраняват?
• Кой има достъп до тях?
• Колко дълго ги пазим?
• Как ги изтриваме?

Тези въпроси ни накараха да разгледаме отново всички процеси и да направим пълна карта на потоците от данни в DigiSign. Разгледахме всяка стъпка – от регистрацията на нов потребител, през качването и подписването на документ, до архивирането и изтриването. Всяко действие беше описано и анализирано.

Паралелно проведохме и т.нар. gap анализ – сравнение между съществуващите ни практики и изискванията на стандарта. Това ни помогна да идентифицираме областите, в които трябва да надградим – например проследимостта на заявките от субекти на данни и формализирането на процедурите за изтриване.

След това определихме ролите и отговорностите – кога нашата организация действа като администратор (например при подписване на документи от служители на компанията) и кога като обработващ (когато обслужваме клиентите ни). Това разграничение е ключово в ISO 27701, защото определя кои задължения поемаме ние съгласно закона и стандарта.

Това разграничение се оказа ключово не само за съответствие с GDPR, но и за по-ясно дефиниране на процесите в ежедневната работа между екипите.

Внедряването на ISO 27701 не е просто "още една сертификация". То изисква смяна в начина на мислене. Не става дума само за технологии, а за култура на поверителност.

Трябваше да синхронизираме работата на различни екипи – технически, правен, търговски и оперативен – така, че всички да говорят на един език. За целта изведохме и нова роля – Отговорник по управлението на поверителността (PIMS Officer), която пое координацията между екипите и следенето на напредъка по проекта.

Необходимо бе да променим начина, по който гледаме на данните – не просто като на информация, а като на отговорност.

Трябваше да синхронизираме различни екипи – техническото, правното, търговското звено по такъв начин, че всички да говорят на един език. И трябваше да изградим процеси, които не само отговарят на стандарта, а са реалистични и работещи в ежедневието.

Най-трудният момент беше балансът между сигурност и удобство. DigiSign е платформа, създадена, за да улесни хората. Но всеки нов контрол, всеки допълнителен слой защита има потенциал да добави сложност. Всяко решение минаваше през въпроса: Как платформата да остане лесна за ползване, без да се прави компромис със сигурността?

Това изискваше чести обсъждания между DevOps и Product екипа и въвеждане на "privacy impact check" във всеки етап от разработката.

DigiSign винаги е използвал най-високите стандарти за защита, но ISO 27701 ни накара да вгледаме още по-дълбоко в техническите детайли:

• Криптиране – всички данни се криптират както при съхранение, така и при трансфер.
• Контрол на достъпа – достъп до данни имат само упълномощени лица, и то при ясно дефинирани правила.
• Одитна следа – всяко действие се записва, за да може да бъде проследено при нужда.
• Изтриване и архивиране – въведохме ясни срокове и процедури за изтриване на данни след изтичане на техния жизнен цикъл.
• Резервни копия и непрекъсваемост на бизнеса – в синхрон с ISO 22301, гарантираме, че платформата остава достъпна дори при извънредни обстоятелства.

Допълнително оптимизирахме системите за логване и мониторинг, за да осигурим по-добра проследимост на събития, свързани с обработка на лични данни.

Никакъв стандарт не може да бъде успешен без хората зад него. Затова вложихме усилия да направим темата за поверителността разбираема и реална за всеки член на екипа.

Организирахме обучения и вътрешни дискусии, в които говорихме не за параграфи и членове, а за истории от ежедневието – как една малка грешка в обработката на данни може да има големи последствия, и как всеки от нас може да предотврати това.

Използвахме практически казуси и симулирани инциденти, за да покажем какво означава "privacy in action".

Днес можем да кажем, че ISO 27701 ни помогна не просто да създадем правила, а да изградим осъзнатост, прилагайки принципа "privacy by design". При създаването на всяка нова функционалност се задава въпросът: Какво означава това за поверителността на данните на потребителите?

След месеци работа дойде ред на външния одит. Това е етапът, в който независим сертифициращ орган оценява дали компанията наистина прилага изискванията на стандарта.

И да - преминахме успешно. Не защото всичко беше перфектно, а защото подходихме честно и последователно. ISO 27701 не е състезание за най-добра документация - това е процес на учене. И в нашия случай – на утвърждаване, че пътят, който сме избрали, е правилният.

Одиторите оцениха зрелостта на процесите и факта, че значителна част от документацията е интегрирана с нашите вътрешни системи за управление на сигурността и съответствие. Благодарение на това преминахме сертификацията без сериозни несъответствия – потвърждение, че подходът ни е правилен.

След сертификацията не настъпи "край", а ново начало. Всяка година от тук нататък ще провеждаме вътрешни проверки и актуализираме политиките си, когато се появят нови регулаторни изисквания или технологични промени.

Създадохме и вътрешен календар за периодични проверки на PII процесите - свързани с личните данни, за да гарантираме, че процедурите остават релевантни и ефективни.

Най-голямата промяна обаче е в отношението. Днес всяко нововъдение или промяна в DigiSign започва със въпроса: "Как това засяга личните данни?"

Това е култура, която не се въвежда с документ, а се изгражда с време и последователност.

Внедряването на ISO 27701 има пряко отражение върху доверието, което потребителите имат към DigiSign. Благодарение на него можем с увереност да заявим, че:

• обработваме лични данни в пълно съответствие с GDPR;
• прилагаме "privacy by design" и "privacy by default" в архитектурата на платформата;
• имаме ясен процес за реакция при инциденти и уведомяване при нужда;
• гарантираме сигурност на данните не само на технологично, но и на организационно ниво.

Това доверие вече усещаме в разговорите с клиенти и партньори, които все по-често поставят ISO 27701 като изискване при оценка на доставчици.

С други думи: клиентите ни не просто поставят електронния си подпис върху документи - те го правят с увереност, че данните им са защитени открай докрай.

Най-ценното, което ISO 27701 ни даде, не беше сертификатът, а яснотата. Яснотата какви данни имаме, защо ги имаме и как ги управляваме.

Научи ни, че доверието е резултат от процес, не от кампания. И че поверителността не е проект със срок, а постоянен ангажимент към потребителите.

Научи ни, че поверителността не е отделен процес, а част от ДНК-то на всеки дигитален продукт. И че доверието се гради не с обещания, а с последователни действия и реални доказателства.

Внедряването на ISO 27701 беше естествена стъпка по пътя на DigiSign към още по-високо ниво на доверие и сигурност.

Днес можем да кажем, че не просто отговаряме на изискванията на регулациите, а ги надминаваме – защото поверителността е част от нашата философия, не само от нашите политики.