Politika outsourcingu vývoje

Politika outsourcingu vývoje (P28) stanovuje komplexní rámec pro bezpečné řízení projektů vývoje softwaru nebo systémů realizovaných externími dodavateli, dodavateli nebo agenturami. Jejím hlavním účelem je začlenit bezpečnostní opatření a mechanismy správy do celého životního cyklu vývoje – od plánování a vyjednávání smluv až po dodání, monitorování a činnosti po ukončení spolupráce. Tím, že nařizuje jasně definovaný soubor bezpečnostních povinností – od prověrky dodavatelů a posouzení rizik až po vynucované normy bezpečného kódování a smluvní požadavky – má politika za cíl chránit důvěrnost, integritu a dostupnost veškerého softwaru vyvíjeného pro organizaci. Rozsah politiky se vztahuje na jakoukoli iniciativu společnosti zahrnující vývoj třetí stranou, včetně webových a mobilních aplikací, vloženého kódu, rozhraní API, interních a komerčních platforem a automatizačních pracovních postupů. Zahrnuje také jakoukoli externí entitu vyžadující přístup ke zdrojovému kódu organizace, testovacím prostředím nebo CI/CD pipeline. Požadavky platí bez ohledu na to, kde nebo jak dodavatel působí, aby geografické či smluvní odlišnosti nevytvářely bezpečnostní mezery. Cíle politiky vycházejí z minimalizace expozice vůči hrozbám dodavatelského řetězce, právnímu nesouladu (např. s GDPR nebo DORA), krádeži duševního vlastnictví a nezabezpečeným postupům bezpečného kódování, které by mohly zavést zranitelnosti nebo regulační riziko. Za tímto účelem politika přiřazuje explicitní odpovědnosti vrcholovému vedení, řediteli informační bezpečnosti (CISO), pořizování a právnímu a compliance, vlastníkům projektů a produktů, týmu informační bezpečnosti a externím dodavatelům. Klíčovým prvkem je registr vývoje třetí stranou jako jednotný zdroj pravdy pro všechna zapojení dodavatelů, zjištění z prověrky dodavatelů, záznamy o výjimkách a stavy smluv. Požadavky správy zahrnují prověrku dodavatelů, posouzení bezpečnostních rizik a minimální smluvní kontroly, jako je dodržování rámců bezpečného kódování, bezpečnostní testování, specifikace vlastnictví duševního vlastnictví, uzavření dohody o mlčenlivosti a smluvní ustanovení o právu auditu. Zdrojový kód je spravován výhradně prostřednictvím platforem řízených podnikem, s ochranou větví, vzájemným hodnocením a přísnými protokoly výstupního procesu, které brání úniku kódu nebo neoprávněnému opětovnému použití. Veškerý přístup třetích stran je zřizován v režimu časově omezeného přístupu a zásady minimálních oprávnění, monitorován prostřednictvím auditních záznamů a rychle odebrán po ukončení spolupráce. Integrace repozitářů dodavatelů do podnikových bezpečnostních nástrojů pro analýzu kódu, vynucování politik CI/CD a správa výjimek je vyžadována, kdykoli je to proveditelné. Žádosti o výjimku jsou řešeny prostřednictvím formálního procesu ošetření rizik a schvalování vedeného ředitelem informační bezpečnosti (CISO), včetně dokumentace odůvodnění, zmírňujících opatření a termínů nápravy. Tým informační bezpečnosti provádí průběžné monitorování a audity souladu; porušení může vést k okamžitému odebrání přístupu, pozastavení projektu, právním krokům nebo disciplinárním opatřením dle vhodnosti. Tato politika je přezkoumávána alespoň jednou ročně nebo po změnách regulačního prostředí, zjištěních z reakce na incidenty či výstupech interního auditu. Všechny změny jsou spravovány v systémech správy verzí, komunikovány a odkazovány v dokumentaci postupů. Díky těmto mechanismům a úzkému mapování na přední mezinárodní normy a právní požadavky zajišťuje Politika outsourcingu vývoje, že dodávky softwaru třetí stranou zůstávají bezpečné a v souladu, a chrání organizaci před vyvíjejícími se riziky outsourcingu vývoje.