DevOpsFort
Безопасность

Подтверждающие документы

ООО «Битапл» (сервис DevOpsFort) не размещает на сайте копии сертификатов, актов и отчётов по информационной безопасности. По обоснованному запросу контрагента мы содействуем в получении подтверждающих материалов у вендоров ИТ-инфраструктуры, аккредитованных организаций и иных уполномоченных источников — в объёме, допустимом законодательством и договорами с третьими лицами.

Важно. Перечень ниже описывает типы документов, которые заказчики нередко запрашивают при оценке поставщика. Наличие конкретного документа, его актуальная редакция, форма предоставления (копия, выписка, доступ под NDA) и срок получения в каждом случае определяются отдельно и могут существенно различаться. Ориентировочные сроки не являются публичной офертой и не гарантируются.

152-ФЗ

Материалы, подтверждающие соблюдение требований Федерального закона № 152-ФЗ «О персональных данных» в части используемой инфраструктуры (в т.ч. акты, заключения, положения — при их наличии у соответствующих операторов и подрядчиков).

Источник
Операторы и вендоры инфраструктуры, привлекаемые организации по оценке соответствия; при необходимости — сведения, доступные в рамках законодательства.
Срок
обычно от нескольких рабочих дней; зависит от состава ПДн и цепочки подрядчиков.

ГОСТ Р 57580

Документы, связанные с выполнением требований по защите информации в соответствии с ГОСТ Р 57580 (в т.ч. для организаций финансового сектора), — при их наличии у вендоров или в рамках проектов заказчика.

Источник
Вендоры облачной и ИТ-инфраструктуры, аккредитованные аудиторы и оценщики; иные уполномоченные организации по согласованию.
Срок
как правило, от 1 до 4 недель; при специализированных отчётах — дольше.

ISO / IEC

Подтверждения соответствия системам менеджмента информационной безопасности и облачным практикам (в т.ч. ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ГОСТ Р ИСО/МЭК 27001) — в форме сертификатов вендоров, выписок или иных материалов, предусмотренных договором.

Источник
Вендоры ИТ-инфраструктуры и хостинг-провайдеры; органы по сертификации и аудиторы — по запросу в рамках их регламентов.
Срок
от 3 рабочих дней (публичные сертификаты) до нескольких недель (отчёты под NDA).

SOC 2®

Отчёты независимой оценки по критериям SOC 2® (Service Organization Control) — при их наличии у вендоров инфраструктуры. SOC 2® является зарегистрированным товарным знаком AICPA.

Источник
Вендоры облачной инфраструктуры; предоставление, как правило, на условиях NDA вендора и только обоснованному запросу.
Срок
часто от 2 до 6 недель — согласование с вендором, NDA, квалификация запроса.

Иные материалы по запросу

По отдельному запросу можем содействовать в получении иных документов, если они относятся к используемой инфраструктуре или проекту, в том числе: PCI DSS (при применимости), акт оценки эффективности мер по УЗ-1, результаты оценки угроз, выписки из отчётов вендоров. Перечень не является исчерпывающим; фактическое содержание согласуется в переписке.

Как запросить

  1. Направьте запрос через форму на главной странице или на contact@betuple.com с указанием организации, цели запроса и перечня нужных документов.
  2. Мы подтвердим получение запроса и уточним, какие материалы можно запросить у вендоров или иных источников в вашем случае.
  3. После согласования условий (в т.ч. NDA, если требуется вендором) передадим материалы в допустимом формате либо сообщим об ограничениях и ориентировочные сроки.

Запросить документы